Մասնակցությունը ձախողվեց. եկեք AgentTesla-ին ենթարկենք մաքուր ջրի: Մաս 1
Վերջերս էլեկտրական տեղադրման սարքավորումների եվրոպական արտադրողը կապ է հաստատել Group-IB-ի հետ. նրա աշխատակիցը փոստով ստացել է կասկածելի նամակ՝ վնասակար հավելվածով: Իլյա ՊոմերանցևCERT Group-IB-ի չարամիտ ծրագրերի վերլուծության մասնագետը, այս ֆայլի մանրամասն վերլուծություն է անցկացրել, այնտեղ հայտնաբերել AgentTesla լրտեսող ծրագիրը և պատմել, թե ինչ սպասել նման չարամիտ ծրագրերից և որքանով է այն վտանգավոր:
Այս գրառմամբ մենք բացում ենք հոդվածների շարք այն մասին, թե ինչպես կարելի է վերլուծել նման պոտենցիալ վտանգավոր ֆայլերը, և սպասում ենք ամենահետաքրքրասերներին դեկտեմբերի 5-ին թեմայի վերաբերյալ անվճար ինտերակտիվ վեբինարին: «Չարամիտ ծրագրերի վերլուծություն. իրական դեպքերի վերլուծություն». Բոլոր դետալները կտրվածքի տակ են։
Բաշխման մեխանիզմ
Մենք գիտենք, որ չարամիտ ծրագիրը հասել է տուժողի ապարատին ֆիշինգի նամակների միջոցով: Նամակի ստացողին, հավանաբար, եղել է BCC:
Վերնագրերի վերլուծությունը ցույց է տալիս, որ նամակ ուղարկողը կեղծվել է: Փաստորեն, նամակը թողել է vps56[.]oneworldhosting[.]com.
Էլփոստի հավելվածը պարունակում է WinRar արխիվ qoute_jpeg56a.r15 վնասակար գործարկվող ֆայլով QOUTE_JPEG56A.exe ներսում:
Չարամիտ էկոհամակարգ
Այժմ տեսնենք, թե ինչպիսի տեսք ունի ուսումնասիրվող չարամիտ ծրագրի էկոհամակարգը։ Ստորև բերված դիագրամը ցույց է տալիս դրա կառուցվածքը և բաղադրիչների փոխազդեցության ուղղությունները:
Այժմ եկեք ավելի մանրամասն նայենք չարամիտ ծրագրերից յուրաքանչյուրին:
Բեռնիչ
Բնօրինակ ֆայլ QOUTE_JPEG56A.exe կազմված է AutoIt v3 սցենար.
Բնօրինակի սցենարը խճճելու համար, նմանակով բծախնդիր PELock AutoIT-Obfuscator բնութագրերը.
Դեբֆուսիկացիան իրականացվում է երեք փուլով.
Խճճվածության վերացում Համար-Եթե
Առաջին քայլը սցենարի կառավարման հոսքի վերականգնումն է: Control Flow Flattening-ը հավելվածի երկուական կոդը վերլուծությունից պաշտպանելու ամենատարածված միջոցներից մեկն է: Շփոթեցնող փոխակերպումները կտրուկ մեծացնում են ալգորիթմների և տվյալների կառուցվածքների արդյունահանման և ճանաչման բարդությունը:
Շարքի վերականգնում
Տողերի գաղտնագրման համար օգտագործվում են երկու գործառույթ.
gdorizabegkvfca - Կատարում է Base64-ի նման վերծանում
xgacyukcyzxz - առաջին տողի պարզ բայթ-բայթ XOR երկրորդի երկարությամբ
Խճճվածության վերացում BinaryToString и Կատարել
Հիմնական բեռը պահվում է բաժանված ձևով գրացուցակում Fonts ֆայլի ռեսուրսների բաժինները:
Սոսնձման կարգը հետևյալն է. TIEQHCXWFG, ԵՍ ԻՆՁ, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI ֆունկցիան օգտագործվում է արդյունահանված տվյալները վերծանելու համար CryptDecrypt, և արժեքի հիման վրա ստեղծված նստաշրջանի բանալին օգտագործվում է որպես բանալի fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ապակոդավորված գործարկվող ֆայլն ուղարկվում է ֆունկցիայի մուտքագրմանը RunPE, որն իրականացնում է ProcessInject в RegAsm.exe օգտագործելով ներկառուցված ShellCode (հայտնի է նաեւ որպես RunPE ShellCode) Հեղինակությունը պատկանում է իսպանական ֆորումի օգտագործողին indetectables[.]net Wardow մականունով:
Հարկ է նաև նշել, որ այս ֆորումի թեմաներից մեկում տեղադրվել է խաբեբա Տանիքում նմուշների վերլուծության ժամանակ հայտնաբերված նմանատիպ հատկություններով:
Իրեն ShellCode բավականին պարզ և ուշադրություն է գրավում միայն AnunakCarbanak հաքերային խմբից փոխառված: API զանգերի հեշավորման գործառույթ:
Մենք նաև տեղյակ ենք օգտագործման դեպքերի մասին Frenchy Shellcode տարբեր տարբերակներ։
Բացի նկարագրված ֆունկցիոնալությունից, մենք նաև հայտնաբերեցինք ոչ ակտիվ գործառույթներ.
Մենք գիտենք, որ նման ֆունկցիոնալությունը բնորոշ է պաշտպանին CypherIT, որը, ըստ երևույթին, բեռնախցիկի մասին է:
Ծրագրային ապահովման հիմնական մոդուլ
Հաջորդը, մենք համառոտ նկարագրելու ենք չարամիտ ծրագրի հիմնական մոդուլը և այն ավելի մանրամասն կդիտարկենք երկրորդ հոդվածում: Այս դեպքում դա դիմում է : NET.
Վերլուծության ընթացքում մենք հայտնաբերեցինք, որ օգտագործվել է խաբեբա ConfuserEX.
IELibrary.dll
Գրադարանը պահվում է որպես հիմնական մոդուլի ռեսուրս և հայտնի հավելված է ԳործակալՏեսլա, որն ապահովում է Internet Explorer-ի և Edge բրաուզերներից տարբեր տեղեկություններ հանելու գործառույթ։
Agent Tesla-ն մոդուլային լրտեսական ծրագրաշար է, որը տարածվում է չարամիտ-որպես ծառայություն մոդելի միջոցով՝ օրինական keylogger արտադրանքի քողի տակ: Գործակալ Tesla-ն ի վիճակի է բրաուզերներից, էլփոստի հաճախորդներից և FTP հաճախորդներից օգտատիրոջ հավատարմագրերը հանել և փոխանցել սերվերին հարձակվողներին, ձայնագրել clipboard-ի տվյալները և գրավել սարքի էկրանը: Վերլուծության պահին մշակողների պաշտոնական կայքը անհասանելի էր:
Մուտքի կետը գործառույթն է GetSavedPasswords դասի InternetExplorer.
Ընդհանուր առմամբ, կոդի կատարումը գծային է և չի պարունակում որևէ պաշտպանություն վերլուծությունից: Միայն չիրականացված ֆունկցիան է արժանի ուշադրության GetSavedCookies. Ըստ երևույթին, պլագինի ֆունկցիոնալությունը պետք է ընդլայնվեր, բայց դա երբեք չի արվել:
Բեռնիչի միացում համակարգին
Եկեք ուսումնասիրենք, թե ինչպես է bootloader-ը կցվում համակարգին: Ուսումնասիրվող նմուշը չի խարսխվում, բայց նմանատիպ իրադարձությունների դեպքում այն տեղի է ունենում հետևյալ սխեմայի համաձայն.
Թղթապանակում C:UsersPublic ստեղծվում է սցենար Visual Basic
Սցենարի օրինակ.
Bootloader ֆայլի բովանդակությունը լրացվում է զրոյական նիշով և պահվում թղթապանակում %Temp%<Պատկերացված թղթապանակի անուն>Ֆայլի անուն>
Սցենարի ֆայլի ռեեստրում ստեղծվում է autorun բանալի HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Script name>
Այսպիսով, վերլուծության առաջին մասի արդյունքների հիման վրա մենք կարողացանք հաստատել ուսումնասիրվող չարամիտ ծրագրի բոլոր բաղադրիչների ընտանիքների անունները, վերլուծել վարակի ձևը, ինչպես նաև ձեռք բերել օբյեկտներ ստորագրություններ գրելու համար: Այս օբյեկտի մեր վերլուծությունը կշարունակենք հաջորդ հոդվածում, որտեղ ավելի մանրամասն կանդրադառնանք հիմնական մոդուլին ԳործակալՏեսլա. Բաց մի թողեք!
Ի դեպ, դեկտեմբերի 5-ին բոլոր ընթերցողներին հրավիրում ենք անվճար ինտերակտիվ վեբինարի՝ «Վնասակար ծրագրերի վերլուծություն. իրական դեպքերի վերլուծություն» թեմայով, որտեղ այս հոդվածի հեղինակը՝ CERT-GIB մասնագետը, առցանց կցուցադրի ծրագրի առաջին փուլը։ չարամիտ ծրագրերի վերլուծություն - նմուշների կիսաավտոմատ ապափաթեթավորում՝ օգտագործելով պրակտիկայի երեք իրական մինի դեպքերի օրինակը, և դուք կարող եք մասնակցել վերլուծությանը: Վեբինարը հարմար է այն մասնագետների համար, ովքեր արդեն ունեն վնասակար ֆայլերի վերլուծության փորձ: Գրանցումը բացառապես կորպորատիվ էլ. գրանցվել. Սպասում եմ քեզ!