Nou kontinye seri atik nou yo konsakre nan analiz malveyan. NAN An pati, nou te di ki jan Ilya Pomerantsev, yon espesyalis analiz malveyan nan CERT Group-IB, te fè yon analiz detaye sou yon dosye te resevwa pa lapòs nan men youn nan konpayi Ewopeyen yo epi dekouvri espyon la. Ajan Tesla. Nan atik sa a, Ilya bay rezilta yo nan yon analiz etap pa etap nan modil prensipal la Ajan Tesla.
Ajan Tesla se yon lojisyèl espyonaj modilè ki distribye lè l sèvi avèk yon modèl malveyan kòm yon sèvis anba laparans yon pwodwi keylogger lejitim. Ajan Tesla kapab ekstrè ak transmèt kalifikasyon itilizatè yo nan navigatè, kliyan imel ak kliyan FTP sou sèvè a atakè yo, anrejistre done clipboard, ak kaptire ekran aparèy la. Nan moman analiz la, sit entènèt ofisyèl devlopè yo pa t disponib.
Fichye konfigirasyon
Tablo ki anba a bay lis ki fonksyonalite ki aplike pou echantiyon w ap itilize a:
| Deskripsyon | Valè |
| Drapo itilizasyon KeyLogger | vrè |
| Drapo itilizasyon ScreenLogger | fo |
| KeyLogger journal voye entèval nan minit | 20 |
| ScreenLogger journal voye entèval an minit | 20 |
| Backspace manyen kle drapo. Fo - antre sèlman. Vre - efase kle anvan an | fo |
| Kalite CNC. Opsyon: smtp, webpanel, ftp | smp |
| Drapo activation fil pou mete fen nan pwosesis nan lis "%filter_list%" | fo |
| UAC enfim drapo | fo |
| Manadjè travay enfim drapo | fo |
| CMD enfim drapo | fo |
| Kouri fenèt enfim drapo | fo |
| Rejis Viewer Enfim Flag | fo |
| Enfim sistèm restore pwen drapo | vrè |
| Panèl kontwòl enfim drapo | fo |
| MSCONFIG enfim drapo | fo |
| Flag pou enfim meni kontèks la nan Explorer | fo |
| Pin drapo | fo |
| Chemen pou kopye modil prensipal la lè epeng li nan sistèm lan | %startupfolder% %insfolder%%insname% |
| Drapo pou mete atribi "Sistèm" ak "Kache" pou modil prensipal ki asiyen nan sistèm nan | fo |
| Flag pou fè yon rekòmanse lè kole nan sistèm nan | fo |
| Drapo pou deplase modil prensipal la nan yon katab tanporè | fo |
| Drapo kontoune UAC | fo |
| Fòma dat ak lè pou antre | aaaa-MM-jj HH:mm:ss |
| Flag pou itilize yon filtè pwogram pou KeyLogger | vrè |
| Kalite pwogram filtraj. 1 - yo chèche non pwogram nan nan tit fenèt yo 2 - se non pwogram nan gade pou nan non pwosesis fenèt la |
1 |
| Filtre pwogram | "facebook" "twitter" "gmail" "instagram" "fim" "skype" "pònografi" "pirate" "whatsapp" "diskòd" |
Tache modil prensipal la nan sistèm lan
Si yo mete drapo ki koresponn lan, modil prensipal la kopye sou chemen ki espesifye nan konfigirasyon an kòm chemen yo dwe asiyen nan sistèm nan.
Tou depan de valè ki soti nan konfigirasyon an, yo bay dosye a atribi "Hidden" ak "Sistèm".
Se de branch rejis ki bay Autorun:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Depi bootloader a enjekte nan pwosesis la RegAsm, mete drapo ki pèsistan pou modil prensipal la mennen nan konsekans byen enteresan. Olye pou yo kopye tèt li, malveyan an tache dosye orijinal la nan sistèm lan RegAsm.exe, pandan ki piki a te pote soti.
Entèaksyon ak C&C
Kèlkeswa metòd yo itilize a, kominikasyon rezo a kòmanse ak jwenn IP ekstèn viktim nan lè l sèvi avèk resous la [.]amazonaws[.]com/.
Sa ki anba la a dekri metòd entèraksyon rezo prezante nan lojisyèl an.
webpanel
Entèraksyon an fèt atravè pwotokòl HTTP. Malveyan an egzekite yon demann POST ak tèt sa yo:
- Itilizatè-Ajan: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Koneksyon: Keep-Alive
- Content-Type: application/x-www-form-urlencoded
Adrès sèvè a espesifye pa valè a %PostURL%. Se mesaj la chiffres voye nan paramèt la «P». Mekanis chifreman an dekri nan seksyon an "Algoritm chifreman" (Metòd 2).
Mesaj transmèt la sanble sa a:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Paramèt kalite endike kalite mesaj la:
hwid — yon hash MD5 anrejistre nan valè nimewo seri plak mèr la ak ID processeur a. Gen plis chans itilize kòm yon ID itilizatè.
tan — sèvi pou transmèt lè ak dat aktyèl la.
pcname - defini kòm <Non itilizatè>/<Non òdinatè>.
logdata - done boutèy demi lit.
Lè w ap transmèt modpas, mesaj la sanble:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Sa ki anba la yo se deskripsyon done yo vòlè nan fòma a nclient[]={0}nlink[]={1}nusername[]={2}nmodpas[]={3}.
smp
Entèraksyon an fèt atravè pwotokòl SMTP. Lèt transmèt la se nan fòma HTML. Paramèt BODY sanble ak:
Tèt lèt la gen fòm jeneral: <NON ITIlizatè>/<NON ÒDINATÈ> <TIP KONTENI>. Sa ki nan lèt la, osi byen ke atachman li yo, yo pa chiffres.
Entèraksyon an pran plas atravè pwotokòl FTP la. Yon dosye ki gen non an transfere nan sèvè espesifye a <TIP KONTENIS>_<NON ITIlizatè>-<NON ORDINATÈ>_<DAT AK LÈ>.html. Sa ki nan dosye a pa chiffres.
Algoritm chifreman
Ka sa a sèvi ak metòd chifreman sa yo:
Metòd 1
Metòd sa a itilize pou ankripte strings nan modil prensipal la. Algorithm yo itilize pou chifreman se AES.
Antre a se yon nimewo desimal ki gen sis chif. Transfòmasyon sa a fèt sou li:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Valè a ki kapab lakòz se endèks la pou etalaj la done entegre.
Chak eleman etalaj se yon sekans DWORD. Lè fusion DWORD yo jwenn yon etalaj de bytes: premye 32 bytes yo se kle chifreman an, ki te swiv pa 16 bytes nan vektè inisyalizasyon an, ak bytes ki rete yo se done yo chiffres.
Metòd 2
Algorithm yo itilize 3DES nan mòd Eb ak padding nan byte antye (PKCS7).
Kle a espesifye pa paramèt la %urlkey%, sepandan, chifreman itilize hash MD5 li yo.
Fonksyonalite move
Echantiyon an ap etidye a sèvi ak pwogram sa yo pou aplike fonksyon move li yo:
key logger
Si gen yon drapo malveyan ki koresponn lè l sèvi avèk fonksyon WinAPI la SetWindowsHookEx bay pwòp jeran li pou evènman klavye sou klavye a. Fonksyon moun k ap okipe a kòmanse pa jwenn tit fenèt aktif la.
Si yo mete drapo filtraj aplikasyon an, filtraj fèt selon kalite espesifye a:
- yo chèche non pwogram nan nan tit fenèt yo
- se non pwogram nan gade moute nan non an pwosesis fenèt
Apre sa, yo ajoute yon dosye nan boutèy la ak enfòmasyon sou fenèt aktif la nan fòma a:
Lè sa a, enfòmasyon sou kle a peze yo anrejistre:
| Kle | Ekri |
| Backspace | Tou depan de drapo pwosesis kle Backspace la: Fo – {TOUNEN} Vre - efase kle anvan an |
| MAJISKIL | {MAJISKIL} |
| ESC | {ESC} |
| Page Up | {Page Up} |
| Desann | ↓ |
| efase | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Espas | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| FEN | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ktrl | {CTRL} |
| F6 | {F6} |
| Dwa | → |
| Up | ↑ |
| F1 | {F1} |
| Left | ← |
| PageDown | {PageDown} |
| Antre | {Antre} |
| Genyen | {Genyen} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {AKAY} |
| MAKE | {ANTRE} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Lòt kle | Karaktè a se nan majiskil oswa miniskil depann sou pozisyon yo nan CapsLock ak Shift kle yo |
Nan yon frekans espesifye, boutèy la kolekte yo voye nan sèvè a. Si transfè a pa reyisi, boutèy la sove nan yon dosye %TEMP%log.tmp nan fòma:
Lè revèy la dife, dosye a pral transfere nan sèvè a.
ScreenLogger
Nan yon frekans espesifik, malveyan an kreye yon D nan fòma a Jpeg ak siyifikasyon Kalite egal a 50 epi sove li nan yon dosye %APPDATA %<Sekans o aza 10 karaktè>.jpg. Apre transfè a, yo efase dosye a.
ClipboardLogger
Si yo mete drapo apwopriye a, yo fè ranplasman nan tèks entèsepte a dapre tablo ki anba a.
Apre sa, tèks la antre nan boutèy la:
PasswordStealer
Malveyan yo ka telechaje modpas nan aplikasyon sa yo:
| Navigatè | Kliyan lapòs | Kliyan FTP |
| Chrome | pespektiv | FileZilla |
| Firefox | Tonèr | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Navigatè Opera | IncrediMail | FTP Navigatè |
| Yandèks | Pokomail | FlashFXP |
| Komodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| CHROMIUM | Bwat postal | |
| Torch | ClawsMail | |
| 7Star | ||
| Zanmi | ||
| BraveSoftware | Kliyan Jabber | Kliyan VPN |
| CentBrowser | Psi/Psi+ | Louvri VPN |
| Chedot | ||
| CocCoc | ||
| Eleman navigatè | Telechaje Manadjè yo | |
| Sezon Navigatè Privacy | Entènèt Download Manadjè | |
| Komèt | JDownloader | |
| Bitbit | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Browser bann mouton | ||
| UC Navigatè | ||
| Malfini nwa | ||
| CyberFox | ||
| K-meleon | ||
| chat glas | ||
| icedragon | ||
| PaleMoon | ||
| waterfox | ||
| Falkon navigatè |
Kontreksyon nan analiz dinamik
- Sèvi ak fonksyon an Dòmi. Pèmèt ou kontoune kèk sandboxes pa timeout
- Detwi yon fil Zòn.Idantifye. Pèmèt ou kache reyalite a nan telechaje yon dosye soti nan entènèt la
- Nan paramèt %filter_list% espesifye yon lis pwosesis ke malveyan an pral mete fen nan entèval yon segonn
- Dekoneksyon UAC
- Enfim manadjè travay la
- Dekoneksyon Km
- Enfim yon fenèt "Выполнить"
- Enfim Panel Kontwòl la
- Enfim yon zouti Regeit
- Enfimite pwen restore sistèm yo
- Enfim meni kontèks la nan Explorer
- Dekoneksyon MSCONFIG
- Bypass uak:
Karakteristik inaktif nan modil prensipal la
Pandan analiz modil prensipal la, yo te idantifye fonksyon ki responsab gaye atravè rezo a epi swiv pozisyon sourit la.
vè k'ap manje kadav
Evènman pou konekte medya detachable yo kontwole nan yon fil separe. Lè yo konekte, malveyan ki gen non an kopye nan rasin sistèm dosye a scr.exe, apre sa li chèche dosye ki gen ekstansyon an lnk. Ekip tout moun lnk chanjman nan cmd.exe /c kòmanse scr.exe&kòmanse <orijinal kòmand>& sòti.
Chak anyè nan rasin medya yo bay yon atribi "Kache" epi yo kreye yon dosye ak ekstansyon an lnk ak non anyè kache a ak kòmandman an cmd.exe /c kòmanse scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & sòti.
MouseTracker
Metòd pou fè entèsepsyon se menm jan ak sa yo itilize pou klavye a. Fonksyonalite sa a toujou sou devlopman.
File aktivite
| Chemen | Deskripsyon |
| %Temp%temp.tmp | Gen yon kontwa pou tantativ kontoune UAC |
| %startupfolder%%insfolder%%insname% | Chemen yo dwe asiyen nan sistèm HPE a |
| %Temp%tmpG{Tan aktyèl an milisgond}.tmp | Chemen pou backup modil prensipal la |
| %Temp%log.tmp | Log fichye |
| %AppData%{Yon sekans abitrè 10 karaktè}.jpeg | Ekran |
| C:UsersPublic{Yon sekans abitrè 10 karaktè}.vbs | Chemen nan yon dosye vbs ke bootloader a ka itilize pou tache ak sistèm nan |
| %Temp%{Personalize folder name}{File name} | Chemen ki itilize pa bootloader la pou tache tèt li ak sistèm lan |
pwofil atakè
Gras a done otantifikasyon kode, nou te kapab jwenn aksè nan sant lòd la.
Sa a te pèmèt nou idantifye imel final atakè yo:
junaid[.]in***@gmail[.]com.
Non domèn sant kòmand la anrejistre nan lapòs la sg***@gmail[.]com.
Konklizyon
Pandan yon analiz detaye sou malveyan yo itilize nan atak la, nou te kapab etabli fonksyonalite li yo epi jwenn lis ki pi konplè nan endikatè konpwomi ki gen rapò ak ka sa a. Konprann mekanis rezo entèraksyon ant malveyan fè li posib pou bay rekòmandasyon pou ajiste operasyon an nan zouti sekirite enfòmasyon, osi byen ke ekri règ IDS ki estab.
Prensipal danje Ajan Tesla tankou DataStealer nan ke li pa bezwen komèt nan sistèm nan oswa tann pou yon lòd kontwòl fè travay li yo. Yon fwa sou machin nan, li imedyatman kòmanse kolekte enfòmasyon prive epi transfere li nan CnC. Konpòtman agresif sa a se nan kèk fason menm jan ak konpòtman an nan ransomware, ak diferans lan sèlman se ke lèt la pa menm mande pou yon koneksyon rezo. Si ou rankontre fanmi sa a, apre w fin netwaye sistèm ki enfekte a soti nan malveyan nan tèt li, ou ta dwe definitivman chanje tout modpas ki ta ka, omwen teyorikman, dwe sove nan youn nan aplikasyon yo ki nan lis pi wo a.
Gade pi devan, an n di ke atakè voye Ajan Tesla, loader inisyal bòt la chanje trè souvan. Sa a pèmèt ou rete inapèsi pa eskanè estatik ak analizeur euristik nan moman atak la. Ak tandans fanmi sa a imedyatman kòmanse aktivite yo fè monitè sistèm yo pa itil. Pi bon fason pou konbat AgentTesla se analiz preliminè nan yon bwat sab.
Nan twazyèm atik la nan seri sa a nou pral gade lòt bootloaders yo itilize Ajan Tesla, epi tou etidye pwosesis la nan semi-otomatik debalaj yo. Pa manke!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Rejis |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Non script} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutex
Pa gen okenn endikatè.
Dosye
| File aktivite |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Tan aktyèl an milisgond}.tmp |
| %Temp%log.tmp |
| %AppData%{Yon sekans abitrè 10 karaktè}.jpeg |
| C:UsersPublic{Yon sekans abitrè 10 karaktè}.vbs |
| %Temp%{Personalize folder name}{File name} |
Enfòmasyon sou echantiyon
| Non | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Kalite | PE (.NET) |
| Kantite moun ki | 327680 |
| OriginalName | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| Compiler | VB.NET |
| Non | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Kalite | PE (.NET DLL) |
| Kantite moun ki | 16896 |
| OriginalName | IELibrary.dll |
| DateStamp | 11.10.2016 |
| Compiler | Microsoft Linker (48.0 *) |
Sous: www.habr.com