🥇Izgled neuspješan: AgentTeslu dovodimo na čistu vodu. 1. dio

Nedavno je europski proizvođač elektroinstalacijske opreme kontaktirao Group-IB - njegov je zaposlenik poštom primio sumnjivo pismo sa zlonamjernim privitkom. Ilya Pomerantsev, stručnjak za analizu zlonamjernog softvera u CERT Group-IB, proveo je detaljnu analizu ove datoteke, otkrio tamo špijunski softver AgentTesla i rekao što očekivati od takvog zlonamjernog softvera i koliko je opasan.

Ovim postom otvaramo seriju članaka o tome kako analizirati takve potencijalno opasne datoteke, a one najznatiželjnije 5. prosinca čekamo na besplatnom interaktivnom webinaru na tu temu “Analiza zlonamjernog softvera: analiza stvarnih slučajeva”. Svi detalji su ispod kroja.

Mehanizam distribucije

Znamo da je zlonamjerni softver došao do žrtvinog stroja putem phishing e-pošte. Primatelj pisma vjerojatno je BCCed.

Analiza zaglavlja pokazuje da je pošiljatelj pisma lažiran. Zapravo, pismo je otišlo s vps56[.]oneworldhosting[.]com.

Privitak e-pošte sadrži WinRar arhivu qoute_jpeg56a.r15 sa zlonamjernom izvršnom datotekom QOUTE_JPEG56A.exe unutra.

Ekosustav zlonamjernog softvera

Sada da vidimo kako izgleda ekosustav zlonamjernog softvera koji se proučava. Donji dijagram prikazuje njegovu strukturu i smjer interakcije komponenti.

Sada pogledajmo detaljnije svaku od komponenti zlonamjernog softvera.

Utovarivač

Izvorna datoteka QOUTE_JPEG56A.exe je sastavljen AutoIt v3 skripta.

Za maskiranje izvorne skripte, maskator sa sličnim PELock AutoIT-Obfuscator karakteristike.
Demaskiranje se provodi u tri faze:

Uklanjanje zamagljivanja Za-Ako
Prvi korak je vratiti kontrolni tok skripte. Control Flow Flattening jedan je od najčešćih načina zaštite binarnog koda aplikacije od analize. Zbunjujuće transformacije dramatično povećavaju složenost izdvajanja i prepoznavanja algoritama i struktura podataka.
Oporavak reda
Za šifriranje nizova koriste se dvije funkcije:
- gdorizabegkvfca - Izvodi dekodiranje slično Base64
- xgacyukcyzxz - jednostavni bajt-bajt XOR prvog niza s duljinom drugog
Uklanjanje zamagljivanja BinaryToString и Izvršiti

Glavni teret pohranjuje se u podijeljenom obliku u direktoriju Krstionica odjeljci resursa datoteke.

Redoslijed lijepljenja je sljedeći: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Funkcija WinAPI koristi se za dešifriranje ekstrahiranih podataka CryptDecrypt, a ključ sesije generiran na temelju vrijednosti koristi se kao ključ fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Dekriptirana izvršna datoteka šalje se na ulaz funkcije Pokreni PE, koji provodi ProcessInject в RegAsm.exe pomoću ugrađenog ShellCode (također poznat kao Pokreni PE ShellCode). Autorstvo pripada korisniku španjolskog foruma neotkriveni[.]net pod nadimkom Wardow.

Također je vrijedno napomenuti da je u jednoj od tema ovog foruma maskir za AutoIt sa sličnim svojstvima utvrđenim tijekom analize uzorka.

sam ShellCode prilično jednostavan i privlači pozornost samo posuđen od hakerske skupine AnunakCarbanak. API funkcija raspršivanja poziva.

Također smo svjesni slučajeva upotrebe Francuski Shellcode različite verzije.
Uz opisanu funkcionalnost, identificirali smo i neaktivne funkcije:

Blokiranje ručnog prekida procesa u upravitelju zadataka
Ponovno pokretanje podređenog procesa kada završi
Zaobići UAC
Spremanje nosivosti u datoteku
Demonstracija modalnih prozora
Čeka se promjena položaja pokazivača miša
AntiVM i AntiSandbox
Samouništenje
Crpanje korisnog tereta iz mreže

Znamo da je takva funkcionalnost tipična za zaštitnik CypherIT, koji je, očito, dotični bootloader.

Glavni modul softvera

Zatim ćemo ukratko opisati glavni modul zlonamjernog softvera i detaljnije ga razmotriti u drugom članku. U ovom slučaju radi se o aplikaciji na NET..

Tijekom analize otkrili smo da je korišten obfuscator ConfuserEX.

IELibrary.dll

Knjižnica je pohranjena kao izvor glavnog modula i dobro je poznati dodatak za Agent Tesla, koji pruža funkcionalnost za izdvajanje raznih informacija iz preglednika Internet Explorer i Edge.

Agent Tesla modularni je softver za špijuniranje koji se distribuira pomoću modela malware-as-a-service pod krinkom legitimnog keylogger proizvoda. Agent Tesla može izvući i prenijeti korisničke vjerodajnice iz preglednika, klijenata e-pošte i FTP klijenata na poslužitelj napadačima, snimati podatke međuspremnika i snimati zaslon uređaja. U vrijeme analize službena web stranica programera bila je nedostupna.

Ulazna točka je funkcija GetSavedPasswords klasa InternetExplorer.

Općenito, izvršavanje koda je linearno i ne sadrži nikakvu zaštitu od analize. Samo nerealizirana funkcija zaslužuje pozornost GetSavedCookies. Navodno je funkcionalnost dodatka trebala biti proširena, ali to nikada nije učinjeno.

Priključivanje bootloadera na sustav

Proučimo kako je bootloader priključen na sustav. Uzorak koji se proučava ne sidri se, ali u sličnim slučajevima to se događa prema sljedećoj shemi:

U mapi C:UsersPublic skripta je stvorena Visual Basic
Primjer skripte:
Sadržaj datoteke za učitavanje dopunjava se nultim znakom i sprema u mapu %Temp%<naziv prilagođene mape><naziv datoteke>
Ključ za automatsko pokretanje stvara se u registru za datoteku skripte HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Naziv skripte>

Dakle, na temelju rezultata prvog dijela analize, uspjeli smo utvrditi imena obitelji svih komponenti zlonamjernog softvera koji se proučava, analizirati obrazac infekcije i također dobiti objekte za pisanje potpisa. Nastavit ćemo našu analizu ovog objekta u sljedećem članku, gdje ćemo detaljnije pogledati glavni modul Agent Tesla. Ne propustite!

Usput, 5. prosinca pozivamo sve čitatelje na besplatni interaktivni webinar na temu “Analiza zlonamjernog softvera: analiza stvarnih slučajeva”, gdje će autor ovog članka, stručnjak CERT-GIB-a, online pokazati prvu fazu malware analiza - poluautomatsko raspakiranje uzoraka na primjeru tri stvarna mini-slučaja iz prakse, au analizi možete sudjelovati i sami. Webinar je prikladan za stručnjake koji već imaju iskustva u analizi zlonamjernih datoteka. Registracija je isključivo putem poslovne e-pošte: prijaviti. Čekam te!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hashovi

Ime i Prezime	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Tip	Arhivirajte WinRAR
Veličina	823014

Ime i Prezime	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Tip	PE (kompilirana AutoIt skripta)
Veličina	1327616
OriginalName	nepoznat
DateStamp	15.07.2019
Linkovi	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Tip	ShellCode
Veličina	1474

Izvor: www.habr.com

Izlaznost nije uspjela: izložimo AgentTeslu čistoj vodi. 1. dio