Patisipasyon echwe: ann ekspoze AgentTesla nan dlo pwòp. Pati 1

Dènyèman, yon manifakti Ewopeyen an nan ekipman enstalasyon elektrik kontakte Group-IB - anplwaye li yo te resevwa yon lèt sispèk ak yon atachman move pa lapòs. Ilya Pomerantsev, yon espesyalis analiz malveyan nan CERT Group-IB, te fè yon analiz detaye sou dosye sa a, dekouvri espyon AgentTesla la epi li te di kisa pou atann de malveyan sa yo ak kijan li danjere.

Ak pòs sa a nou ap louvri yon seri de atik sou kòman yo analize dosye sa yo potansyèlman danjere, epi nou ap tann pi kirye a 5 desanm pou yon webinar gratis entèaktif sou sijè a. "Analiz malveyan: analiz de ka reyèl". Tout detay yo anba koupe a.

Mekanis distribisyon

Nou konnen ke malveyan an rive nan machin viktim nan atravè imèl èskrokri. Moun k ap resevwa lèt la te pwobableman BCCed.

Analiz nan tèt yo montre ke moun k ap voye lèt la te twonpe. An reyalite, lèt la te kite ak vps56[.]oneworldhosting[.]com.

Tachman imel la gen yon achiv WinRar qoute_jpeg56a.r15 ak yon dosye ègzekutabl move QOUTE_JPEG56A.exe andedan.

Ekosistèm malveyan

Koulye a, kite a wè ki sa ekosistèm nan malveyan ki anba etid la sanble. Dyagram ki anba a montre estrikti li yo ak direksyon entèraksyon eleman yo.

Koulye a, kite a gade nan chak nan eleman malveyan yo nan plis detay.

Chargeur

Fichye orijinal la QOUTE_JPEG56A.exe se yon konpile AutoIt v3 script.

Pou bouche script orijinal la, yon obfuscator ak menm jan an PELock AutoIT-Obfuscator karakteristik yo.
Deobfuscation fèt nan twa etap:

1. Retire obfuscation Pou-Si

   Premye etap la se retabli koule kontwòl script la. Kontwòl Flow Flattening se youn nan fason ki pi komen pou pwoteje kòd binè aplikasyon an kont analiz. Transfòmasyon konfizyon ogmante konpleksite ekstrèm ak rekonèt algoritm ak estrikti done yo.

   

2. Ranje rekiperasyon

   Yo itilize de fonksyon pou ankripte kòd:

   • gdorizabegkvfca - Fè dekodaj ki sanble ak Base64

     

   • xgacyukcyzxz - senp byte-byte XOR nan premye fisèl la ak longè dezyèm lan.

     

   

3. Retire obfuscation BinaryToString и Egzekite

   

Se chaj prensipal la ki estoke nan yon fòm divize nan anyè a Polis seksyon resous nan dosye a.

Lòd kole a se jan sa a: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Fonksyon WinAPI itilize pou dechifre done yo ekstrè CryptDecrypt, ak kle sesyon ki te pwodwi ki baze sou valè a itilize kòm kle a fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Yo voye dosye a ègzèkutabl dechifre nan opinyon fonksyon an RunPE, ki pote soti Pwosesis Enjekte в RegAsm.exe lè l sèvi avèk bati-an ShellCode (li rele tou RunPE ShellCode). Patè fè pati itilizatè a nan fowòm nan Panyòl endetectables[.]net anba tinon Wardow.

Li se tou vo sonje ke nan youn nan fil yo nan fowòm sa a, yon obfuscator pou Nan do kay la ak pwopriyete menm jan yo idantifye pandan analiz echantiyon.

Tèt li ShellCode byen senp epi atire atansyon sèlman prete nan men gwoup la pirate AnunakCarbanak. API apèl fonksyon hachage.

Nou konnen tou ka itilize yo Frenchy Shellcode diferan vèsyon.
Anplis de fonksyon ki dekri a, nou idantifye tou fonksyon inaktif:

• Bloke revokasyon pwosesis manyèl nan manadjè travay

  

• Rekòmanse yon pwosesis timoun lè li fini

  

• Bypass UAC

  

• Sove chaj la nan yon dosye

  

• Demonstrasyon nan fenèt modal

  

• Ap tann pou pozisyon kurseur sourit la chanje

  

• AntiVM ak AntiSandbox

  

• Oto-destriksyon

  

• Ponpe chaj ki soti nan rezo a

  

Nou konnen ke fonksyonalite sa yo tipik pou pwoteksyon an CypherIT, ki, aparamman, se bootloader nan kesyon an.

Modil prensipal nan lojisyèl

Apre sa, nou pral yon ti tan dekri modil prensipal malveyan an, epi konsidere li an plis detay nan dezyèm atik la. Nan ka sa a, li se yon aplikasyon sou . NET.

Pandan analiz la, nou dekouvri ke yo te itilize yon obfuscator ConfuserEX.

IELibrary.dll

Se bibliyotèk la ki estoke kòm yon resous modil prensipal epi li se yon plugin byen li te ye pou Ajan Tesla, ki bay fonksyonalite pou ekstrè divès enfòmasyon ki soti nan navigatè Internet Explorer ak Edge.

Ajan Tesla se yon lojisyèl espyonaj modilè ki distribye lè l sèvi avèk yon modèl malveyan kòm yon sèvis anba laparans yon pwodwi keylogger lejitim. Ajan Tesla kapab ekstrè ak transmèt kalifikasyon itilizatè yo nan navigatè, kliyan imel ak kliyan FTP sou sèvè a atakè yo, anrejistre done clipboard, ak kaptire ekran aparèy la. Nan moman analiz la, sit entènèt ofisyèl devlopè yo pa t disponib.

Pwen antre a se fonksyon an GetSavedPasswords klas InternetExplorer.

An jeneral, ekzekisyon kòd se lineyè epi li pa genyen okenn pwoteksyon kont analiz. Se sèlman fonksyon ki pa reyalize ki merite atansyon GetSavedCookies. Aparamman, fonksyonalite Plugin la te sipoze elaji, men sa pa t janm fè.

Tache bootloader a nan sistèm lan

Ann etidye ki jan bootloader la tache ak sistèm nan. Espesimèn nan etid la pa jere lank, men nan evènman menm jan an li rive selon konplo sa a:

1. Nan katab la C: UsersPublic script kreye Vizyèl Debaz

   Egzanp script:

   

2. Sa ki nan dosye bootloader la ranpli ak yon karaktè nil epi yo sove nan katab la %Temp%<Personalize folder name><File name>
3. Yo kreye yon kle autorun nan rejis la pou fichye script la HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Script name>

Se konsa, baze sou rezilta yo nan premye pati nan analiz la, nou te kapab etabli non yo nan fanmi yo nan tout eleman nan malveyan ki anba etid la, analize modèl enfeksyon an, epi tou jwenn objè pou ekri siyati. Nou pral kontinye analiz nou an sou objè sa a nan pwochen atik la, kote nou pral gade modil prensipal la an plis detay Ajan Tesla. Pa manke!

By wout la, sou Desanm 5 nou envite tout lektè nan yon webinar gratis entèaktif sou sijè a "Analiz de malveyan: analiz de ka reyèl", kote otè a nan atik sa a, yon espesyalis CERT-GIB, pral montre sou entènèt premye etap la nan. analiz malveyan - semi-otomatik debalaj echantiyon lè l sèvi avèk egzanp twa reyèl mini-ka soti nan pratik, epi ou ka patisipe nan analiz la. Webinar a apwopriye pou espesyalis ki deja gen eksperyans nan analize dosye move. Enskripsyon se entèdi soti nan imel antrepriz: enskri. Map tann ou!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hash

Non	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Kalite	Achiv WinRAR
Kantite moun ki	823014

Non	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Kalite	PE (Konpile AutoIt Script)
Kantite moun ki	1327616
OriginalName	Unknown
DateStamp	15.07.2019
linker	Microsoft Linker (12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Kalite	ShellCode
Kantite moun ki	1474

Sous: www.habr.com