A részvétel sikertelen: tegyük ki az AgentTeslát tiszta víznek. 1. rész
A közelmúltban egy európai villanyszerelési berendezéseket gyártó felvette a kapcsolatot az IB-csoporttal – munkatársa levélben kapott egy gyanús levelet, rosszindulatú melléklettel. Ilja Pomerancev, a CERT Group-IB malware-elemző szakértője részletes elemzést végzett a fájlon, felfedezte az AgentTesla spyware-t, és elmondta, hogy mire számíthatunk az ilyen kártevőktől, és mennyire veszélyesek.
Ezzel a bejegyzéssel cikksorozatot nyitunk az ilyen potenciálisan veszélyes fájlok elemzéséről, a legkíváncsibbakat pedig december 5-én egy ingyenes interaktív webináriumra várjuk a témában. „A rosszindulatú programok elemzése: valós esetek elemzése”. Minden részlet a vágás alatt van.
Elosztási mechanizmus
Úgy tudjuk, hogy a kártevő adathalász e-maileken keresztül jutott el az áldozat gépére. A levél címzettje valószínűleg BCC-vel rendelkezett.
A fejlécek elemzése azt mutatja, hogy a levél feladóját hamisították. Valójában a levélben maradt vps56[.]oneworldhosting[.]com.
Az e-mail melléklete WinRar archívumot tartalmaz qoute_jpeg56a.r15 rosszindulatú futtatható fájllal QOUTE_JPEG56A.exe belül.
Malware ökoszisztéma
Most pedig nézzük meg, hogyan néz ki a vizsgált kártevő ökoszisztémája. Az alábbi diagram bemutatja annak szerkezetét és a komponensek kölcsönhatási irányait.
Most nézzük meg részletesebben a rosszindulatú programok egyes összetevőit.
Rakodó
Eredeti fájl QOUTE_JPEG56A.exe egy összeállított AutoIt v3 forgatókönyv.
Az eredeti forgatókönyv elhomályosítására egy hasonlóval rendelkező obfuszkátor PELock AutoIT-Obfuszkátor jellemzők.
A deobfuszkáció három szakaszban történik:
Az elhomályosítás eltávolítása For-If
Az első lépés a szkript vezérlési folyamatának visszaállítása. A Control Flow Flattening az egyik leggyakoribb módja annak, hogy megvédje az alkalmazás bináris kódját az elemzéstől. A zavaró átalakítások drámaian megnövelik az algoritmusok és adatstruktúrák kinyerésének és felismerésének bonyolultságát.
Sor helyreállítása
A karakterláncok titkosításához két függvény használható:
gdorizabegkvfca – Base64-szerű dekódolást hajt végre
xgacyukcyzxz - az első karakterlánc egyszerű bájt-byte XOR-ja a második hosszával
Az elhomályosítás eltávolítása BinaryToString и Végrehajt
A fő terhelés osztott formában tárolódik a könyvtárban betűtípusok a fájl forrásrészei.
A ragasztás sorrendje a következő: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
A WinAPI függvény a kivont adatok visszafejtésére szolgál CryptDecrypt, és az érték alapján generált munkamenetkulcsot használjuk kulcsként fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
A dekódolt végrehajtható fájl elküldésre kerül a függvénybemenetre RunPE, amely elvégzi ProcessInject в RegAsm.exe beépített használatával ShellCode (más néven RunPE ShellCode). A szerzőség a spanyol fórum felhasználója észlelhetőek[.]net Wardow becenéven.
Azt is érdemes megjegyezni, hogy ennek a fórumnak az egyik szálában egy obfuszkátor a Kocsi a mintaelemzés során azonosított hasonló tulajdonságokkal.
Önmaga ShellCode meglehetősen egyszerű, és csak az AnunakCarbanak hackercsoporttól kölcsönözve vonzza a figyelmet. API-hívás kivonatolási funkciója.
Felhasználási esetekkel is tisztában vagyunk Frenchy Shellcode különböző verziók.
A leírt funkciókon kívül inaktív funkciókat is azonosítottunk:
A folyamat manuális leállításának blokkolása a feladatkezelőben
Gyermekfolyamat újraindítása, amikor az leáll
UAC megkerülése
A rakomány mentése fájlba
Modális ablakok bemutatása
Várakozás az egérkurzor pozíciójának megváltozására
AntiVM és AntiSandbox
önpusztítás
Hasznos teher szivattyúzása a hálózatról
Tudjuk, hogy ez a funkció a védőre jellemző CypherIT, amely nyilvánvalóan a kérdéses rendszerbetöltő.
A szoftver fő modulja
Ezután röviden ismertetjük a rosszindulatú program fő modulját, és a második cikkben részletesebben megvizsgáljuk. Ebben az esetben egy alkalmazásról van szó . NET.
Az elemzés során felfedeztük, hogy obfuszkátort használtak ConfuserEX.
IELibrary.dll
A könyvtár fő modul-erőforrásként van tárolva, és egy jól ismert bővítmény a számára AgentTesla, amely különféle információk kinyerésére szolgál az Internet Explorer és Edge böngészőkből.
Az Agent Tesla egy moduláris kémszoftver, amelyet egy malware-as-a-service modell segítségével terjesztenek egy legitim keylogger termék leple alatt. A Tesla ügynök képes kinyerni és továbbítani a felhasználói hitelesítő adatokat a böngészőkből, e-mail kliensekből és FTP-kliensekből a szerverre a támadóknak, rögzíteni a vágólap adatait, és rögzíteni az eszköz képernyőjét. Az elemzés időpontjában a fejlesztők hivatalos honlapja nem volt elérhető.
A belépési pont a függvény GetSavedPasswords osztályú InternetExplorer.
Általában a kódvégrehajtás lineáris, és nem tartalmaz védelmet az elemzés ellen. Csak a meg nem valósult funkció érdemel figyelmet GetSavedCookies. Úgy tűnik, a bővítmény funkcionalitását bővíteni kellett volna, de ez soha nem történt meg.
A rendszerbetöltő csatlakoztatása a rendszerhez
Vizsgáljuk meg, hogyan kapcsolódik a rendszerbetöltő a rendszerhez. A vizsgált példány nem horgonyzik le, de hasonló eseményeknél a következő séma szerint történik:
A rendszerbetöltő fájl tartalma null karakterrel van kitöltve, és elmentődik a mappába %Temp%
A rendszerleíró adatbázisban létrejön egy automatikus futtatási kulcs a parancsfájlhoz HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Az elemzés első részének eredményei alapján tehát sikerült megállapítanunk a vizsgált kártevő összes komponensének családnevét, elemeztük a fertőzési mintát, és objektumokat is szereztünk az aláírások írásához. Ennek az objektumnak az elemzését a következő cikkben folytatjuk, ahol részletesebben megvizsgáljuk a fő modult AgentTesla. Ne hagyja ki!
December 5-én egyébként ingyenes interaktív webináriumra invitálunk minden olvasót „A rosszindulatú programok elemzése: valós esetek elemzése” témában, ahol a cikk szerzője, a CERT-GIB szakértője online mutatja be a program első szakaszát. malware elemzés - a minták félautomata kicsomagolása három valódi mini-eset példáján a gyakorlatból, és Ön részt vehet az elemzésben. A webinárium olyan szakemberek számára alkalmas, akik már rendelkeznek tapasztalattal a rosszindulatú fájlok elemzésében. A regisztráció szigorúan vállalati e-mailből történik: nyilvántartás. Várok rád!