Folytatjuk a rosszindulatú programok elemzésével foglalkozó cikksorozatunkat. BAN BEN Részben elmeséltük, hogy Ilya Pomerantsev, a CERT Group-IB malware-elemző szakértője részletes elemzést végzett az egyik európai cégtől levélben kapott fájlról, és kémprogramokat fedezett fel ott. AgentTesla. Ebben a cikkben Ilya bemutatja a fő modul lépésről lépésre történő elemzésének eredményeit AgentTesla.
Az Agent Tesla egy moduláris kémszoftver, amelyet egy malware-as-a-service modell segítségével terjesztenek egy legitim keylogger termék leple alatt. A Tesla ügynök képes kinyerni és továbbítani a felhasználói hitelesítő adatokat a böngészőkből, e-mail kliensekből és FTP-kliensekből a szerverre a támadóknak, rögzíteni a vágólap adatait, és rögzíteni az eszköz képernyőjét. Az elemzés időpontjában a fejlesztők hivatalos honlapja nem volt elérhető.
Konfigurációs fájl
Az alábbi táblázat felsorolja, hogy mely funkciók vonatkoznak az Ön által használt mintára:
| Leírás | Érték |
| KeyLogger használati jelző | igaz |
| ScreenLogger használati jelző | hamis |
| KeyLogger naplóküldési intervallum percben | 20 |
| A ScreenLogger naplóküldési időköze percben | 20 |
| Backspace billentyű kezelési jelző. False – csak naplózás. Igaz – törli az előző kulcsot | hamis |
| CNC típus. Lehetőségek: smtp, webpanel, ftp | smtp |
| Szálaktiválási jelző a „%filter_list%” listából származó folyamatok leállításához | hamis |
| UAC letiltási jelző | hamis |
| Feladatkezelő letiltási jelző | hamis |
| CMD letiltási jelző | hamis |
| Futtatás ablak letiltása jelző | hamis |
| Registry Viewer Disable Flag | hamis |
| Rendszer-visszaállítási pontok jelző letiltása | igaz |
| Vezérlőpult tiltó jelző | hamis |
| MSCONFIG letiltási jelző | hamis |
| Jelölje meg a helyi menü letiltásához az Intézőben | hamis |
| Pin zászló | hamis |
| Útvonal a fő modul másolásához, amikor rögzíti a rendszerhez | %startupfolder% %insfolder%%insname% |
| Jelölő a rendszerhez rendelt fő modul „Rendszer” és „Rejtett” attribútumainak beállításához | hamis |
| Jelölje meg az újraindítás végrehajtásához, amikor a rendszerhez van rögzítve | hamis |
| Zászló a fő modul ideiglenes mappába helyezéséhez | hamis |
| UAC bypass zászló | hamis |
| A naplózás dátum- és időformátuma | éééé-hh-nn ÓÓ:pp:pp |
| Jelölje meg a KeyLogger programszűrőjének használatát | igaz |
| Programszűrés típusa. 1 – a program nevét keresi az ablakcímekben 2 – a program nevét a program az ablak folyamatnevében keresi |
1 |
| Programszűrő | "Facebook" "twitter" "gmail" "instagram" "film" "skype" "pornó" "csapkod" "Whatsapp" "viszály" |
A fő modul csatlakoztatása a rendszerhez
Ha a megfelelő jelző be van állítva, a fő modult a rendszer a konfigurációban megadott elérési útra másolja, mint a rendszerhez hozzárendelendő útvonalat.
A konfiguráció értékétől függően a fájl a „Hidden” és a „System” attribútumokat kapja.
Az automatikus futtatást két rendszerleíró ág biztosítja:
- HKCU szoftverMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Mivel a rendszerbetöltő beadja a folyamatot RegAsm, a fő modul állandó jelzőjének beállítása meglehetősen érdekes következményekhez vezet. A kártevő ahelyett, hogy másolta volna magát, az eredeti fájlt csatolta a rendszerhez RegAsm.exe, amelynek során az injekciót elvégezték.
Interakció a C&C-vel
Az alkalmazott módszertől függetlenül a hálózati kommunikáció az áldozat külső IP-címének megszerzésével kezdődik az erőforrás használatával [.]amazonaws[.]com/.
Az alábbiakban a szoftverben bemutatott hálózati interakciós módszereket ismertetjük.
webpanel
Az interakció a HTTP protokollon keresztül történik. A rosszindulatú program egy POST kérést hajt végre a következő fejlécekkel:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Csatlakozás: Keep-Alive
- Tartalom típusa: Application/x-www-form-urlencoded
A szerver címét az érték adja meg %PostURL%. A titkosított üzenet a paraméterben kerül elküldésre «P». A titkosítási mechanizmus leírása a fejezetben található "Titkosítási algoritmusok" (2. módszer).
A továbbított üzenet így néz ki:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Paraméter típus jelzi az üzenet típusát:
hwid — MD5 hash kerül rögzítésre az alaplap sorozatszámának és processzorazonosítójának értékéből. Valószínűleg felhasználói azonosítóként használják.
idő — az aktuális idő és dátum továbbítására szolgál.
pcname - ként meghatározott /.
logdata — naplóadatok.
Jelszavak továbbításakor az üzenet így néz ki:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Az alábbiakban az ellopott adatok leírása található formátumban nclient[]={0}nlink[]={1}felhasználónév[]={2}npassword[]={3}.
smtp
Az interakció az SMTP protokollon keresztül történik. A továbbított levél HTML formátumú. Paraméter BODY úgy néz ki, mint a:
A levél fejlécének általános formája: / . A levél tartalma, valamint a mellékletei nem titkosítottak.
Az interakció az FTP protokollon keresztül történik. A névvel rendelkező fájl átkerül a megadott szerverre _-_.html. A fájl tartalma nincs titkosítva.
Titkosítási algoritmusok
Ez az eset a következő titkosítási módszereket használja:
Az 1 módszer
Ez a módszer a fő modulban található karakterláncok titkosítására szolgál. A titkosításhoz használt algoritmus a AES.
A bemenet egy hatjegyű decimális szám. A következő átalakítást hajtják végre rajta:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Az eredményül kapott érték a beágyazott adattömb indexe.
Minden tömbelem egy sorozat DWORD. Egyesítéskor DWORD bájttömböt kapunk: az első 32 bájt a titkosítási kulcs, ezt követi az inicializálási vektor 16 bájtja, a fennmaradó bájtok pedig a titkosított adatok.
Az 2 módszer
Használt algoritmus 3DES módban EKB kiegészítéssel egész bájtokban (PKCS7).
A kulcsot a paraméter határozza meg %urlkey%A titkosítás azonban az MD5 hash-ét használja.
Rosszindulatú funkciók
A vizsgált minta a következő programokat használja rosszindulatú funkciójának megvalósításához:
Billentyűzetfigyelő
Ha van egy megfelelő rosszindulatú programjelző a WinAPI függvény használatával SetWindowsHookEx saját kezelőt rendel a billentyűzet billentyűlenyomási eseményeihez. A kezelő funkció az aktív ablak címének lekérésével kezdődik.
Ha az alkalmazásszűrési jelző be van állítva, a szűrés a megadott típustól függően történik:
- a program nevét az ablakcímekben kell keresni
- a program nevét az ablak folyamatnévben keresi
Ezután egy rekord kerül a naplóba az aktív ablakkal kapcsolatos információkkal a következő formátumban:
Ezután a megnyomott billentyűvel kapcsolatos információ rögzítésre kerül:
| kulcs | rekord |
| Backspace | A Backspace billentyű feldolgozási jelzőjétől függően: False – {VISSZA} Igaz – törli az előző kulcsot |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {KILÉPÉS} |
| PageUp | {Oldal fel} |
| Lefelé | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Tér | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Jobb | → |
| Up | ↑ |
| F1 | {F1} |
| Bal | ← |
| PageDown | {Lapozás lefelé} |
| betétlap | {Insert} |
| győzelem | {Győzelem} |
| NumLock | {Szám zár} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {ITTHON} |
| BELÉPÉS | {BELÉP} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Másik kulcs | A karakter a CapsLock és a Shift billentyűk pozíciójától függően nagy- vagy kisbetűs |
Az összegyűjtött napló meghatározott gyakorisággal elküldésre kerül a szervernek. Ha az átvitel sikertelen, a napló mentésre kerül egy fájlba %TEMP%log.tmp formátumban:
Amikor az időzítő elindul, a fájl átkerül a szerverre.
ScreenLogger
A rosszindulatú program meghatározott gyakorisággal képernyőképet hoz létre a formátumban Jpeg jelentéssel Minőség egyenlő 50-nel, és elmenti egy fájlba %APPDATA %.jpg. Az átvitel után a fájl törlődik.
ClipboardLogger
Ha a megfelelő jelző be van állítva, akkor az elfogott szövegben az alábbi táblázat szerint cseréket kell végrehajtani.
Ezt követően a szöveg bekerül a naplóba:
PasswordStealer
A rosszindulatú program a következő alkalmazásokból tud jelszavakat letölteni:
| Браузеры | Levelező kliensek | FTP kliensek |
| króm | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | foxmail | WinSCP |
| Safari | Opera Mail | CoreFTP |
| Opera Browser | IncrediMail | FTP navigátor |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | A denevér | FTPCommander |
| Króm | Postbox | |
| Zseblámpa | ClawsMail | |
| 7Star | ||
| Barát | ||
| BraveSoftware | Jabber ügyfelek | VPN kliensek |
| CentBrowser | Pszi/Pszi+ | Nyissa meg a VPN-t |
| Chedot | ||
| CocCoc | ||
| Elemek böngészője | Letöltéskezelők | |
| Epikus adatvédelmi böngésző | Letöltés kezelő | |
| Üstökös | JDownloader | |
| orbitum | ||
| Szputnyik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock böngésző | ||
| UC böngésző | ||
| Fekete héja | ||
| Cyber Fox | ||
| K-Meleon | ||
| jégmacska | ||
| Icedragon | ||
| Sápadt Hold | ||
| víziróka | ||
| Falcon böngésző |
Ellenállás a dinamikus elemzéshez
- A funkció használata alvás. Lehetővé teszi néhány homokozó megkerülését időtúllépéssel
- Egy szál elpusztítása Zóna. Azonosító. Lehetővé teszi egy fájl internetről történő letöltésének tényének elrejtését
- A paraméterben %filter_list% meghatározza azon folyamatok listáját, amelyeket a rosszindulatú program egy másodperces időközönként leállít
- lekapcsolás UAC
- A feladatkezelő letiltása
- lekapcsolás CMD
- Ablak letiltása "Fuss"
- A Vezérlőpult letiltása
- Eszköz letiltása RegEdit
- A rendszer-visszaállítási pontok letiltása
- Tiltsa le a helyi menüt az Intézőben
- lekapcsolás MSCONFIG
- Kitérő UAC:
A fő modul inaktív funkciói
A fő modul elemzése során azonosították azokat a funkciókat, amelyek felelősek a hálózaton való terjedésért és az egér pozíciójának követéséért.
Féreg
A cserélhető adathordozók csatlakoztatásával kapcsolatos eseményeket külön szál figyeli. Csatlakozáskor a rosszindulatú program a fájlrendszer gyökerébe másolódik scr.exe, ami után megkeresi a kiterjesztésű fájlokat lnk. Mindenki csapata lnk módosul cmd.exe /c start scr.exe&start & kilépés.
Az adathordozó gyökérkönyvtárai mindegyikéhez tartozik egy attribútum "Rejtett" és létrejön egy fájl a kiterjesztéssel lnk a rejtett könyvtár nevével és a paranccsal cmd.exe /c start scr.exe&explorer /root,"%CD%" és kilépés.
MouseTracker
Az elfogás végrehajtásának módja hasonló a billentyűzetnél használthoz. Ez a funkció még fejlesztés alatt áll.
Fájltevékenység
| Ösvény | Leírás |
| %Temp%temp.tmp | Tartalmaz egy számlálót az UAC megkerülési kísérleteihez |
| %startupfolder%%insfolder%%insname% | A HPE rendszerhez hozzárendelendő elérési út |
| %Temp%tmpG{Jelenlegi idő ezredmásodpercben}.tmp | A fő modul biztonsági mentésének elérési útja |
| %Temp%log.tmp | Log fájl |
| %AppData%{10 karakterből álló tetszőleges sorozat}.jpeg | Pillanatképek |
| C:UsersPublic{10 karakterből álló tetszőleges sorozat}.vbs | Egy vbs fájl elérési útja, amelyet a rendszerbetöltő használhat a rendszerhez való csatoláshoz |
| %Temp%{Egyéni mappanév}{Fájlnév} | A rendszerbetöltő által a rendszerhez való csatlakozáshoz használt útvonal |
Támadó profil
A merevkódolt hitelesítési adatoknak köszönhetően hozzáférhettünk az irányítóközponthoz.
Ez lehetővé tette számunkra, hogy azonosítsuk a támadók végső e-mailjét:
junaid[.]in***@gmail[.]com.
A parancsnoki központ domain neve regisztrálva van a levélben sg***@gmail[.]com.
Következtetés
A támadásban használt rosszindulatú program részletes elemzése során sikerült megállapítanunk annak működőképességét, és megszerezni az eset szempontjából releváns kompromittációs indikátorok legteljesebb listáját. A rosszindulatú programok közötti hálózati interakció mechanizmusainak megértése lehetővé tette az információbiztonsági eszközök működésének beállítására vonatkozó ajánlások megfogalmazását, valamint stabil IDS-szabályok írását.
Fő veszély AgentTesla mint a DataStealer, mivel nem kell elköteleznie magát a rendszerhez, vagy várnia egy vezérlőparancsra a feladatai végrehajtásához. A gépre kerülve azonnal elkezdi gyűjteni a személyes adatokat, és továbbítja azokat a CnC-nek. Ez az agresszív viselkedés bizonyos tekintetben hasonlít a ransomware viselkedéséhez, azzal a különbséggel, hogy az utóbbiak nem is igényelnek hálózati kapcsolatot. Ha ezzel a családdal találkozik, a fertőzött rendszer kártevőtől való megtisztítása után feltétlenül módosítsa az összes jelszót, amely legalább elméletileg elmenthető a fent felsorolt alkalmazások valamelyikében.
Ha előre tekintünk, tegyük fel, hogy a támadók küldenek AgentTesla, a kezdeti rendszertöltő nagyon gyakran változik. Ez lehetővé teszi, hogy a statikus szkennerek és heurisztikus analizátorok észrevétlenül maradjanak a támadás idején. És az a tendencia, hogy ez a család azonnal megkezdi tevékenységét, használhatatlanná teszi a rendszerfigyelőket. Az AgentTesla elleni küzdelem legjobb módja a homokozóban végzett előzetes elemzés.
A sorozat harmadik cikkében megvizsgáljuk a többi használt rendszerbetöltőt AgentTesla, és tanulmányozzák a félautomata kicsomagolásuk folyamatát is. Ne hagyja ki!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| iktató hivatal |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexek
Nincsenek mutatók.
Fájlok
| Fájltevékenység |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Jelenlegi idő ezredmásodpercben}.tmp |
| %Temp%log.tmp |
| %AppData%{10 karakterből álló tetszőleges sorozat}.jpeg |
| C:UsersPublic{10 karakterből álló tetszőleges sorozat}.vbs |
| %Temp%{Egyéni mappanév}{Fájlnév} |
Minták Info
| Név | ismeretlen |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| típus | PE (.NET) |
| Méret | 327680 |
| Eredeti Név | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Dátum bélyegző | 01.07.2019 |
| fordítóprogram | VB.NET |
| Név | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| típus | PE (.NET DLL) |
| Méret | 16896 |
| Eredeti Név | IELibrary.dll |
| Dátum bélyegző | 11.10.2016 |
| fordítóprogram | Microsoft Linker (48.0*) |
Forrás: will.com