Folytatjuk a rosszindulatú programok elemzésével foglalkozó cikksorozatunkat. BAN BEN
Az Agent Tesla egy moduláris kémszoftver, amelyet egy malware-as-a-service modell segítségével terjesztenek egy legitim keylogger termék leple alatt. A Tesla ügynök képes kinyerni és továbbítani a felhasználói hitelesítő adatokat a böngészőkből, e-mail kliensekből és FTP-kliensekből a szerverre a támadóknak, rögzíteni a vágólap adatait, és rögzíteni az eszköz képernyőjét. Az elemzés időpontjában a fejlesztők hivatalos honlapja nem volt elérhető.
Konfigurációs fájl
Az alábbi táblázat felsorolja, hogy mely funkciók vonatkoznak az Ön által használt mintára:
Leírás | Érték |
KeyLogger használati jelző | igaz |
ScreenLogger használati jelző | hamis |
KeyLogger naplóküldési intervallum percben | 20 |
A ScreenLogger naplóküldési időköze percben | 20 |
Backspace billentyű kezelési jelző. False – csak naplózás. Igaz – törli az előző kulcsot | hamis |
CNC típus. Lehetőségek: smtp, webpanel, ftp | smtp |
Szálaktiválási jelző a „%filter_list%” listából származó folyamatok leállításához | hamis |
UAC letiltási jelző | hamis |
Feladatkezelő letiltási jelző | hamis |
CMD letiltási jelző | hamis |
Futtatás ablak letiltása jelző | hamis |
Registry Viewer Disable Flag | hamis |
Rendszer-visszaállítási pontok jelző letiltása | igaz |
Vezérlőpult tiltó jelző | hamis |
MSCONFIG letiltási jelző | hamis |
Jelölje meg a helyi menü letiltásához az Intézőben | hamis |
Pin zászló | hamis |
Útvonal a fő modul másolásához, amikor rögzíti a rendszerhez | %startupfolder% %insfolder%%insname% |
Jelölő a rendszerhez rendelt fő modul „Rendszer” és „Rejtett” attribútumainak beállításához | hamis |
Jelölje meg az újraindítás végrehajtásához, amikor a rendszerhez van rögzítve | hamis |
Zászló a fő modul ideiglenes mappába helyezéséhez | hamis |
UAC bypass zászló | hamis |
A naplózás dátum- és időformátuma | éééé-hh-nn ÓÓ:pp:pp |
Jelölje meg a KeyLogger programszűrőjének használatát | igaz |
Programszűrés típusa. 1 – a program nevét keresi az ablakcímekben 2 – a program nevét a program az ablak folyamatnevében keresi |
1 |
Programszűrő | "Facebook" "twitter" "gmail" "instagram" "film" "skype" "pornó" "csapkod" "Whatsapp" "viszály" |
A fő modul csatlakoztatása a rendszerhez
Ha a megfelelő jelző be van állítva, a fő modult a rendszer a konfigurációban megadott elérési útra másolja, mint a rendszerhez hozzárendelendő útvonalat.
A konfiguráció értékétől függően a fájl a „Hidden” és a „System” attribútumokat kapja.
Az automatikus futtatást két rendszerleíró ág biztosítja:
- HKCU szoftverMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Mivel a rendszerbetöltő beadja a folyamatot RegAsm, a fő modul állandó jelzőjének beállítása meglehetősen érdekes következményekhez vezet. A kártevő ahelyett, hogy másolta volna magát, az eredeti fájlt csatolta a rendszerhez RegAsm.exe, amelynek során az injekciót elvégezték.
Interakció a C&C-vel
Az alkalmazott módszertől függetlenül a hálózati kommunikáció az áldozat külső IP-címének megszerzésével kezdődik az erőforrás használatával
Az alábbiakban a szoftverben bemutatott hálózati interakciós módszereket ismertetjük.
webpanel
Az interakció a HTTP protokollon keresztül történik. A rosszindulatú program egy POST kérést hajt végre a következő fejlécekkel:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Csatlakozás: Keep-Alive
- Tartalom típusa: Application/x-www-form-urlencoded
A szerver címét az érték adja meg %PostURL%. A titkosított üzenet a paraméterben kerül elküldésre «P». A titkosítási mechanizmus leírása a fejezetben található "Titkosítási algoritmusok" (2. módszer).
A továbbított üzenet így néz ki:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Paraméter típus jelzi az üzenet típusát:
hwid — MD5 hash kerül rögzítésre az alaplap sorozatszámának és processzorazonosítójának értékéből. Valószínűleg felhasználói azonosítóként használják.
idő — az aktuális idő és dátum továbbítására szolgál.
pcname - ként meghatározott /.
logdata — naplóadatok.
Jelszavak továbbításakor az üzenet így néz ki:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Az alábbiakban az ellopott adatok leírása található formátumban nclient[]={0}nlink[]={1}felhasználónév[]={2}npassword[]={3}.
smtp
Az interakció az SMTP protokollon keresztül történik. A továbbított levél HTML formátumú. Paraméter BODY úgy néz ki, mint a:
A levél fejlécének általános formája: / . A levél tartalma, valamint a mellékletei nem titkosítottak.
Az interakció az FTP protokollon keresztül történik. A névvel rendelkező fájl átkerül a megadott szerverre _-_.html. A fájl tartalma nincs titkosítva.
Titkosítási algoritmusok
Ez az eset a következő titkosítási módszereket használja:
Az 1 módszer
Ez a módszer a fő modulban található karakterláncok titkosítására szolgál. A titkosításhoz használt algoritmus a AES.
A bemenet egy hatjegyű decimális szám. A következő átalakítást hajtják végre rajta:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Az eredményül kapott érték a beágyazott adattömb indexe.
Minden tömbelem egy sorozat DWORD. Egyesítéskor DWORD bájttömböt kapunk: az első 32 bájt a titkosítási kulcs, ezt követi az inicializálási vektor 16 bájtja, a fennmaradó bájtok pedig a titkosított adatok.
Az 2 módszer
Használt algoritmus 3DES módban EKB kiegészítéssel egész bájtokban (PKCS7).
A kulcsot a paraméter határozza meg %urlkey%A titkosítás azonban az MD5 hash-ét használja.
Rosszindulatú funkciók
A vizsgált minta a következő programokat használja rosszindulatú funkciójának megvalósításához:
Billentyűzetfigyelő
Ha van egy megfelelő rosszindulatú programjelző a WinAPI függvény használatával SetWindowsHookEx saját kezelőt rendel a billentyűzet billentyűlenyomási eseményeihez. A kezelő funkció az aktív ablak címének lekérésével kezdődik.
Ha az alkalmazásszűrési jelző be van állítva, a szűrés a megadott típustól függően történik:
- a program nevét az ablakcímekben kell keresni
- a program nevét az ablak folyamatnévben keresi
Ezután egy rekord kerül a naplóba az aktív ablakkal kapcsolatos információkkal a következő formátumban:
Ezután a megnyomott billentyűvel kapcsolatos információ rögzítésre kerül:
kulcs | rekord |
Backspace | A Backspace billentyű feldolgozási jelzőjétől függően: False – {VISSZA} Igaz – törli az előző kulcsot |
CAPSLOCK | {CAPSLOCK} |
ESC | {KILÉPÉS} |
PageUp | {Oldal fel} |
Lefelé | ↓ |
DELETE | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
Tér | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
END | {END} |
F4 | {F4} |
F2 | {F2} |
CTRL | {CTRL} |
F6 | {F6} |
Jobb | → |
Up | ↑ |
F1 | {F1} |
Bal | ← |
PageDown | {Lapozás lefelé} |
betétlap | {Insert} |
győzelem | {Győzelem} |
NumLock | {Szám zár} |
F11 | {F11} |
F3 | {F3} |
HOME | {ITTHON} |
BELÉPÉS | {BELÉP} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
Másik kulcs | A karakter a CapsLock és a Shift billentyűk pozíciójától függően nagy- vagy kisbetűs |
Az összegyűjtött napló meghatározott gyakorisággal elküldésre kerül a szervernek. Ha az átvitel sikertelen, a napló mentésre kerül egy fájlba %TEMP%log.tmp formátumban:
Amikor az időzítő elindul, a fájl átkerül a szerverre.
ScreenLogger
A rosszindulatú program meghatározott gyakorisággal képernyőképet hoz létre a formátumban Jpeg jelentéssel Minőség egyenlő 50-nel, és elmenti egy fájlba %APPDATA %.jpg. Az átvitel után a fájl törlődik.
ClipboardLogger
Ha a megfelelő jelző be van állítva, akkor az elfogott szövegben az alábbi táblázat szerint cseréket kell végrehajtani.
Ezt követően a szöveg bekerül a naplóba:
PasswordStealer
A rosszindulatú program a következő alkalmazásokból tud jelszavakat letölteni:
Браузеры | Levelező kliensek | FTP kliensek |
króm | Outlook | FileZilla |
Firefox | Thunderbird | WS_FTP |
IE/Edge | foxmail | WinSCP |
Safari | Opera Mail | CoreFTP |
Opera Browser | IncrediMail | FTP navigátor |
Yandex | Pocomail | FlashFXP |
Comodo | Eudora | SmartFTP |
ChromePlus | A denevér | FTPCommander |
Króm | Postbox | |
Zseblámpa | ClawsMail | |
7Star | ||
Barát | ||
BraveSoftware | Jabber ügyfelek | VPN kliensek |
CentBrowser | Pszi/Pszi+ | Nyissa meg a VPN-t |
Chedot | ||
CocCoc | ||
Elemek böngészője | Letöltéskezelők | |
Epikus adatvédelmi böngésző | Letöltés kezelő | |
Üstökös | JDownloader | |
orbitum | ||
Szputnyik | ||
uCozMedia | ||
Vivaldi | ||
SeaMonkey | ||
Flock böngésző | ||
UC böngésző | ||
Fekete héja | ||
Cyber Fox | ||
K-Meleon | ||
jégmacska | ||
Icedragon | ||
Sápadt Hold | ||
víziróka | ||
Falcon böngésző |
Ellenállás a dinamikus elemzéshez
- A funkció használata alvás. Lehetővé teszi néhány homokozó megkerülését időtúllépéssel
- Egy szál elpusztítása Zóna. Azonosító. Lehetővé teszi egy fájl internetről történő letöltésének tényének elrejtését
- A paraméterben %filter_list% meghatározza azon folyamatok listáját, amelyeket a rosszindulatú program egy másodperces időközönként leállít
- lekapcsolás UAC
- A feladatkezelő letiltása
- lekapcsolás CMD
- Ablak letiltása "Fuss"
- A Vezérlőpult letiltása
- Eszköz letiltása RegEdit
- A rendszer-visszaállítási pontok letiltása
- Tiltsa le a helyi menüt az Intézőben
- lekapcsolás MSCONFIG
- Kitérő UAC:
A fő modul inaktív funkciói
A fő modul elemzése során azonosították azokat a funkciókat, amelyek felelősek a hálózaton való terjedésért és az egér pozíciójának követéséért.
Féreg
A cserélhető adathordozók csatlakoztatásával kapcsolatos eseményeket külön szál figyeli. Csatlakozáskor a rosszindulatú program a fájlrendszer gyökerébe másolódik scr.exe, ami után megkeresi a kiterjesztésű fájlokat lnk. Mindenki csapata lnk módosul cmd.exe /c start scr.exe&start & kilépés.
Az adathordozó gyökérkönyvtárai mindegyikéhez tartozik egy attribútum "Rejtett" és létrejön egy fájl a kiterjesztéssel lnk a rejtett könyvtár nevével és a paranccsal cmd.exe /c start scr.exe&explorer /root,"%CD%" és kilépés.
MouseTracker
Az elfogás végrehajtásának módja hasonló a billentyűzetnél használthoz. Ez a funkció még fejlesztés alatt áll.
Fájltevékenység
Ösvény | Leírás |
%Temp%temp.tmp | Tartalmaz egy számlálót az UAC megkerülési kísérleteihez |
%startupfolder%%insfolder%%insname% | A HPE rendszerhez hozzárendelendő elérési út |
%Temp%tmpG{Jelenlegi idő ezredmásodpercben}.tmp | A fő modul biztonsági mentésének elérési útja |
%Temp%log.tmp | Log fájl |
%AppData%{10 karakterből álló tetszőleges sorozat}.jpeg | Pillanatképek |
C:UsersPublic{10 karakterből álló tetszőleges sorozat}.vbs | Egy vbs fájl elérési útja, amelyet a rendszerbetöltő használhat a rendszerhez való csatoláshoz |
%Temp%{Egyéni mappanév}{Fájlnév} | A rendszerbetöltő által a rendszerhez való csatlakozáshoz használt útvonal |
Támadó profil
A merevkódolt hitelesítési adatoknak köszönhetően hozzáférhettünk az irányítóközponthoz.
Ez lehetővé tette számunkra, hogy azonosítsuk a támadók végső e-mailjét:
junaid[.]in***@gmail[.]com.
A parancsnoki központ domain neve regisztrálva van a levélben sg***@gmail[.]com.
Következtetés
A támadásban használt rosszindulatú program részletes elemzése során sikerült megállapítanunk annak működőképességét, és megszerezni az eset szempontjából releváns kompromittációs indikátorok legteljesebb listáját. A rosszindulatú programok közötti hálózati interakció mechanizmusainak megértése lehetővé tette az információbiztonsági eszközök működésének beállítására vonatkozó ajánlások megfogalmazását, valamint stabil IDS-szabályok írását.
Fő veszély AgentTesla mint a DataStealer, mivel nem kell elköteleznie magát a rendszerhez, vagy várnia egy vezérlőparancsra a feladatai végrehajtásához. A gépre kerülve azonnal elkezdi gyűjteni a személyes adatokat, és továbbítja azokat a CnC-nek. Ez az agresszív viselkedés bizonyos tekintetben hasonlít a ransomware viselkedéséhez, azzal a különbséggel, hogy az utóbbiak nem is igényelnek hálózati kapcsolatot. Ha ezzel a családdal találkozik, a fertőzött rendszer kártevőtől való megtisztítása után feltétlenül módosítsa az összes jelszót, amely legalább elméletileg elmenthető a fent felsorolt alkalmazások valamelyikében.
Ha előre tekintünk, tegyük fel, hogy a támadók küldenek AgentTesla, a kezdeti rendszertöltő nagyon gyakran változik. Ez lehetővé teszi, hogy a statikus szkennerek és heurisztikus analizátorok észrevétlenül maradjanak a támadás idején. És az a tendencia, hogy ez a család azonnal megkezdi tevékenységét, használhatatlanná teszi a rendszerfigyelőket. Az AgentTesla elleni küzdelem legjobb módja a homokozóban végzett előzetes elemzés.
A sorozat harmadik cikkében megvizsgáljuk a többi használt rendszerbetöltőt AgentTesla, és tanulmányozzák a félautomata kicsomagolásuk folyamatát is. Ne hagyja ki!
Hash
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
iktató hivatal |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexek
Nincsenek mutatók.
Fájlok
Fájltevékenység |
%Temp%temp.tmp |
%startupfolder%%insfolder%%insname% |
%Temp%tmpG{Jelenlegi idő ezredmásodpercben}.tmp |
%Temp%log.tmp |
%AppData%{10 karakterből álló tetszőleges sorozat}.jpeg |
C:UsersPublic{10 karakterből álló tetszőleges sorozat}.vbs |
%Temp%{Egyéni mappanév}{Fájlnév} |
Minták Info
Név | ismeretlen |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
típus | PE (.NET) |
Méret | 327680 |
Eredeti Név | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
Dátum bélyegző | 01.07.2019 |
fordítóprogram | VB.NET |
Név | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
típus | PE (.NET DLL) |
Méret | 16896 |
Eredeti Név | IELibrary.dll |
Dátum bélyegző | 11.10.2016 |
fordítóprogram | Microsoft Linker (48.0*) |
Forrás: will.com