A részvétel sikertelen: tegyük ki az AgentTeslát tiszta víznek. 1. rész

A közelmúltban egy európai villanyszerelési berendezéseket gyártó felvette a kapcsolatot az IB-csoporttal – munkatársa levélben kapott egy gyanús levelet, rosszindulatú melléklettel. Ilja Pomerancev, a CERT Group-IB malware-elemző szakértője részletes elemzést végzett a fájlon, felfedezte az AgentTesla spyware-t, és elmondta, hogy mire számíthatunk az ilyen kártevőktől, és mennyire veszélyesek.

Ezzel a bejegyzéssel cikksorozatot nyitunk az ilyen potenciálisan veszélyes fájlok elemzéséről, a legkíváncsibbakat pedig december 5-én egy ingyenes interaktív webináriumra várjuk a témában. „A rosszindulatú programok elemzése: valós esetek elemzése”. Minden részlet a vágás alatt van.

Elosztási mechanizmus

Úgy tudjuk, hogy a kártevő adathalász e-maileken keresztül jutott el az áldozat gépére. A levél címzettje valószínűleg BCC-vel rendelkezett.

A fejlécek elemzése azt mutatja, hogy a levél feladóját hamisították. Valójában a levélben maradt vps56[.]oneworldhosting[.]com.

Az e-mail melléklete WinRar archívumot tartalmaz qoute_jpeg56a.r15 rosszindulatú futtatható fájllal QOUTE_JPEG56A.exe belül.

Malware ökoszisztéma

Most pedig nézzük meg, hogyan néz ki a vizsgált kártevő ökoszisztémája. Az alábbi diagram bemutatja annak szerkezetét és a komponensek kölcsönhatási irányait.

Most nézzük meg részletesebben a rosszindulatú programok egyes összetevőit.

Rakodó

Eredeti fájl QOUTE_JPEG56A.exe egy összeállított AutoIt v3 forgatókönyv.

Az eredeti forgatókönyv elhomályosítására egy hasonlóval rendelkező obfuszkátor PELock AutoIT-Obfuszkátor jellemzők.
A deobfuszkáció három szakaszban történik:

1. Az elhomályosítás eltávolítása For-If

   Az első lépés a szkript vezérlési folyamatának visszaállítása. A Control Flow Flattening az egyik leggyakoribb módja annak, hogy megvédje az alkalmazás bináris kódját az elemzéstől. A zavaró átalakítások drámaian megnövelik az algoritmusok és adatstruktúrák kinyerésének és felismerésének bonyolultságát.

   

2. Sor helyreállítása

   A karakterláncok titkosításához két függvény használható:

   • gdorizabegkvfca – Base64-szerű dekódolást hajt végre

     

   • xgacyukcyzxz - az első karakterlánc egyszerű bájt-byte XOR-ja a második hosszával

     

   

3. Az elhomályosítás eltávolítása BinaryToString и Végrehajt

   

A fő terhelés osztott formában tárolódik a könyvtárban betűtípusok a fájl forrásrészei.

A ragasztás sorrendje a következő: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

A WinAPI függvény a kivont adatok visszafejtésére szolgál CryptDecrypt, és az érték alapján generált munkamenetkulcsot használjuk kulcsként fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

A dekódolt végrehajtható fájl elküldésre kerül a függvénybemenetre RunPE, amely elvégzi ProcessInject в RegAsm.exe beépített használatával ShellCode (más néven RunPE ShellCode). A szerzőség a spanyol fórum felhasználója észlelhetőek[.]net Wardow becenéven.

Azt is érdemes megjegyezni, hogy ennek a fórumnak az egyik szálában egy obfuszkátor a Kocsi a mintaelemzés során azonosított hasonló tulajdonságokkal.

Önmaga ShellCode meglehetősen egyszerű, és csak az AnunakCarbanak hackercsoporttól kölcsönözve vonzza a figyelmet. API-hívás kivonatolási funkciója.

Felhasználási esetekkel is tisztában vagyunk Frenchy Shellcode különböző verziók.
A leírt funkciókon kívül inaktív funkciókat is azonosítottunk:

• A folyamat manuális leállításának blokkolása a feladatkezelőben

  

• Gyermekfolyamat újraindítása, amikor az leáll

  

• UAC megkerülése

  

• A rakomány mentése fájlba

  

• Modális ablakok bemutatása

  

• Várakozás az egérkurzor pozíciójának megváltozására

  

• AntiVM és AntiSandbox

  

• önpusztítás

  

• Hasznos teher szivattyúzása a hálózatról

  

Tudjuk, hogy ez a funkció a védőre jellemző CypherIT, amely nyilvánvalóan a kérdéses rendszerbetöltő.

A szoftver fő modulja

Ezután röviden ismertetjük a rosszindulatú program fő modulját, és a második cikkben részletesebben megvizsgáljuk. Ebben az esetben egy alkalmazásról van szó . NET.

Az elemzés során felfedeztük, hogy obfuszkátort használtak ConfuserEX.

IELibrary.dll

A könyvtár fő modul-erőforrásként van tárolva, és egy jól ismert bővítmény a számára AgentTesla, amely különféle információk kinyerésére szolgál az Internet Explorer és Edge böngészőkből.

Az Agent Tesla egy moduláris kémszoftver, amelyet egy malware-as-a-service modell segítségével terjesztenek egy legitim keylogger termék leple alatt. A Tesla ügynök képes kinyerni és továbbítani a felhasználói hitelesítő adatokat a böngészőkből, e-mail kliensekből és FTP-kliensekből a szerverre a támadóknak, rögzíteni a vágólap adatait, és rögzíteni az eszköz képernyőjét. Az elemzés időpontjában a fejlesztők hivatalos honlapja nem volt elérhető.

A belépési pont a függvény GetSavedPasswords osztályú InternetExplorer.

Általában a kódvégrehajtás lineáris, és nem tartalmaz védelmet az elemzés ellen. Csak a meg nem valósult funkció érdemel figyelmet GetSavedCookies. Úgy tűnik, a bővítmény funkcionalitását bővíteni kellett volna, de ez soha nem történt meg.

A rendszerbetöltő csatlakoztatása a rendszerhez

Vizsgáljuk meg, hogyan kapcsolódik a rendszerbetöltő a rendszerhez. A vizsgált példány nem horgonyzik le, de hasonló eseményeknél a következő séma szerint történik:

1. Mappában C:UsersPublic script létrejön Visual Basic

   Szkript példa:

   

2. A rendszerbetöltő fájl tartalma null karakterrel van kitöltve, és elmentődik a mappába %Temp%
3. A rendszerleíró adatbázisban létrejön egy automatikus futtatási kulcs a parancsfájlhoz HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Az elemzés első részének eredményei alapján tehát sikerült megállapítanunk a vizsgált kártevő összes komponensének családnevét, elemeztük a fertőzési mintát, és objektumokat is szereztünk az aláírások írásához. Ennek az objektumnak az elemzését a következő cikkben folytatjuk, ahol részletesebben megvizsgáljuk a fő modult AgentTesla. Ne hagyja ki!

December 5-én egyébként ingyenes interaktív webináriumra invitálunk minden olvasót „A rosszindulatú programok elemzése: valós esetek elemzése” témában, ahol a cikk szerzője, a CERT-GIB szakértője online mutatja be a program első szakaszát. malware elemzés - a minták félautomata kicsomagolása három valódi mini-eset példáján a gyakorlatból, és Ön részt vehet az elemzésben. A webinárium olyan szakemberek számára alkalmas, akik már rendelkeznek tapasztalattal a rosszindulatú fájlok elemzésében. A regisztráció szigorúan vállalati e-mailből történik: nyilvántartás. Várok rád!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hash

Név	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
típus	Archívum WinRAR
Méret	823014

Név	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
típus	PE (Compiled AutoIt Script)
Méret	1327616
Eredeti Név	ismeretlen
Dátum bélyegző	15.07.2019
Linker	Microsoft Linker (12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
típus	ShellCode
Méret	1474

Forrás: will.com