Մենք շարունակում ենք մեր հոդվածների շարքը՝ նվիրված չարամիտ ծրագրերի վերլուծությանը։ IN
Agent Tesla-ն մոդուլային լրտեսական ծրագրաշար է, որը տարածվում է չարամիտ-որպես ծառայություն մոդելի միջոցով՝ օրինական keylogger արտադրանքի քողի տակ: Գործակալ Tesla-ն ի վիճակի է բրաուզերներից, էլփոստի հաճախորդներից և FTP հաճախորդներից օգտատիրոջ հավատարմագրերը հանել և փոխանցել սերվերին հարձակվողներին, ձայնագրել clipboard-ի տվյալները և գրավել սարքի էկրանը: Վերլուծության պահին մշակողների պաշտոնական կայքը անհասանելի էր:
Կազմաձևման ֆայլ
Ստորև բերված աղյուսակը ցույց է տալիս, թե որ գործառույթն է կիրառվում ձեր օգտագործած նմուշի համար.
Նկարագրություն | Արժեք |
KeyLogger-ի օգտագործման դրոշակ | ճիշտ |
ScreenLogger-ի օգտագործման դրոշակ | սուտ |
KeyLogger տեղեկամատյանի ուղարկման ընդմիջումը րոպեներով | 20 |
ScreenLogger տեղեկամատյան ուղարկելու ընդմիջումը րոպեներով | 20 |
Backspace-ի բանալիների մշակման դրոշ: Սխալ – միայն գրանցում: Ճիշտ է – ջնջում է նախորդ բանալին | սուտ |
CNC տեսակը. Ընտրանքներ՝ smtp, webpanel, ftp | SMTP |
Թելերի ակտիվացման դրոշ՝ «%filter_list%» ցուցակից գործընթացներն ավարտելու համար | սուտ |
UAC անջատել դրոշը | սուտ |
Առաջադրանքների կառավարիչը անջատել դրոշը | սուտ |
CMD անջատել դրոշը | սուտ |
Գործարկել պատուհանի անջատման դրոշը | սուտ |
Registry Viewer Անջատել դրոշը | սուտ |
Անջատել համակարգի վերականգնման կետերի դրոշակը | ճիշտ |
Կառավարման վահանակի անջատման դրոշը | սուտ |
MSCONFIG անջատել դրոշը | սուտ |
Դրոշակ՝ Explorer-ի համատեքստային ընտրացանկը անջատելու համար | սուտ |
Փին դրոշ | սուտ |
Հիմնական մոդուլը համակարգին ամրացնելիս պատճենելու ուղին | %startupfolder% %insfolder%%insname% |
Համակարգին հատկացված հիմնական մոդուլի համար «Համակարգ» և «Թաքնված» ատրիբուտները սահմանելու դրոշակ | սուտ |
Դրոշակ՝ համակարգին ամրացված ժամանակ վերագործարկելու համար | սուտ |
Հիմնական մոդուլը ժամանակավոր պանակ տեղափոխելու դրոշակ | սուտ |
UAC շրջանցման դրոշ | սուտ |
Ամսաթվի և ժամի ձևաչափը գրանցման համար | yyyy-MM-dd HH:mm:ss |
Նշել KeyLogger-ի համար ծրագրի զտիչ օգտագործելու համար | ճիշտ |
Ծրագրի զտման տեսակը. 1 – ծրագրի անվանումը որոնվում է պատուհանների վերնագրերում 2 – ծրագրի անունը որոնվում է պատուհանի գործընթացի անվան մեջ |
1 |
Ծրագրի զտիչ | «Ֆեյսբուք» «twitter» «gmail» «ինստագրամ» «ֆիլմ» «skype» «պոռնո» «կոտրել» «whatsapp» «տարաձայնություն» |
Հիմնական մոդուլի միացում համակարգին
Եթե համապատասխան դրոշը դրված է, ապա հիմնական մոդուլը պատճենվում է կոնֆիգուրայում նշված ուղու վրա՝ որպես համակարգին վերագրվող ուղի:
Կախված կոնֆիգուրացիայի արժեքից, ֆայլին տրվում են «Թաքնված» և «Համակարգ» ատրիբուտները:
Autorun-ը տրամադրվում է ռեգիստրի երկու մասնաճյուղերի կողմից.
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun %insregname%
Քանի որ bootloader-ը ներարկում է գործընթացին RegAsm, հիմնական մոդուլի համար մշտական դրոշը դնելը հանգեցնում է բավականին հետաքրքիր հետևանքների։ Ինքն իրեն պատճենելու փոխարեն չարամիտ ծրագիրը կցել է բնօրինակ ֆայլը համակարգին RegAsm.exe, որի ընթացքում կատարվել է ներարկումը։
Փոխազդեցություն C&C-ի հետ
Անկախ օգտագործված մեթոդից, ցանցային հաղորդակցությունը սկսվում է ռեսուրսի օգտագործմամբ տուժածի արտաքին IP-ն ստանալուց
Հետևյալը նկարագրում է ծրագրաշարում ներկայացված ցանցային փոխգործակցության մեթոդները:
վեբ վահանակ
Փոխազդեցությունը տեղի է ունենում HTTP արձանագրության միջոցով: Չարամիտ ծրագիրը կատարում է POST հարցում հետևյալ վերնագրերով.
- Օգտատիրոջ գործակալ՝ Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Միացում՝ Keep-Alive
- Բովանդակության տեսակը՝ դիմում/x-www-form-urlencoded
Սերվերի հասցեն նշված է արժեքով %PostURL%. Կոդավորված հաղորդագրությունն ուղարկվում է պարամետրով «P». Գաղտնագրման մեխանիզմը նկարագրված է բաժնում «Կոդավորման ալգորիթմներ» (մեթոդ 2).
Հաղորդված հաղորդագրությունն ունի հետևյալ տեսքը.
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter տիպ ցույց է տալիս հաղորդագրության տեսակը.
hwid — MD5 հեշը գրանցվում է մայր տախտակի սերիական համարի և պրոցեսորի ID-ի արժեքներից: Ամենայն հավանականությամբ օգտագործվում է որպես Օգտվողի ID:
ժամանակ — ծառայում է ընթացիկ ժամը և ամսաթիվը փոխանցելու համար:
pcname - սահմանվում է որպես /.
logdata - գրանցամատյանի տվյալներ:
Գաղտնաբառերը փոխանցելիս հաղորդագրությունը նման է.
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Ստորև ներկայացված են գողացված տվյալների նկարագրությունները ձևաչափով nclient[]={0}nlink[]={1}username[]={2}nգաղտնաբառ[]={3}.
SMTP
Փոխազդեցությունը տեղի է ունենում SMTP արձանագրության միջոցով: Փոխանցված նամակը HTML ձևաչափով է: Պարամետր BODY ունի ձև.
Նամակի վերնագիրն ունի ընդհանուր ձև. / . Նամակի բովանդակությունը, ինչպես նաև դրա հավելվածները գաղտնագրված չեն:
Փոխազդեցությունը տեղի է ունենում FTP արձանագրության միջոցով: Անունով ֆայլը փոխանցվում է նշված սերվերին _-_.html. Ֆայլի բովանդակությունը կոդավորված չէ:
Կոդավորման ալգորիթմներ
Այս դեպքում օգտագործվում են գաղտնագրման հետևյալ մեթոդները.
1 մեթոդը
Այս մեթոդը օգտագործվում է հիմնական մոդուլում տողերի գաղտնագրման համար: Գաղտնագրման համար օգտագործվող ալգորիթմն է AES.
Մուտքը վեցանիշ տասնորդական թիվ է: Դրա վրա կատարվում է հետևյալ փոխակերպումը.
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Ստացված արժեքը ներկառուցված տվյալների զանգվածի ինդեքսն է:
Զանգվածի յուրաքանչյուր տարր հաջորդականություն է DWORD. Միաձուլման ժամանակ DWORD ստացվում է բայթերի զանգված. առաջին 32 բայթը գաղտնագրման բանալին է, որին հաջորդում է սկզբնավորման վեկտորի 16 բայթը, իսկ մնացած բայթերը գաղտնագրված տվյալներն են:
2 մեթոդը
Օգտագործված ալգորիթմ 3 ԴԵՍ ռեժիմում ԵԿԲ - ամբողջական բայթերով լցոնումով (PKCS7).
Բանալին նշված է պարամետրով %urlkey%, այնուամենայնիվ, գաղտնագրումն օգտագործում է իր MD5 հեշը:
Վնասակար գործառույթ
Ուսումնասիրվող նմուշը օգտագործում է հետևյալ ծրագրերը՝ իր վնասակար ֆունկցիան իրականացնելու համար.
բանալին լոգեր
Եթե կա համապատասխան չարամիտ դրոշ, օգտագործելով WinAPI գործառույթը SetWindowsHookEx ստեղնաշարի վրա ստեղնաշարի սեղմման իրադարձությունների համար հատկացնում է իր սեփական մշակիչը: Բեռնարկիչի ֆունկցիան սկսվում է՝ ստանալով ակտիվ պատուհանի վերնագիրը:
Եթե հավելվածի զտման դրոշը սահմանված է, զտումն իրականացվում է կախված նշված տեսակից.
- ծրագրի անվանումը որոնվում է պատուհանների վերնագրերում
- ծրագրի անունը փնտրվում է պատուհանի գործընթացի անվան մեջ
Հաջորդը գրանցամատյանում ավելացվում է գրառում՝ ակտիվ պատուհանի մասին տեղեկատվությամբ՝ ձևաչափով.
Այնուհետև սեղմված ստեղնի մասին տեղեկատվությունը գրանցվում է.
Բանալին | Գրառում |
Backspace | Կախված Backspace ստեղնի մշակման դրոշից՝ False – {BACK} Ճիշտ է – ջնջում է նախորդ բանալին |
CAPSLOCK | {CAPSLOCK} |
ESC | {ESC} |
Էջ վերև | {PageUp} |
Down | ↓ |
ՋՆՋԵԼ | {DEL} |
" | « |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
Տիեզերք | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
END | {END} |
F4 | {F4} |
F2 | {F2} |
Ctrl | {CTRL} |
F6 | {F6} |
Իրավունք | → |
Up | ↑ |
F1 | {F1} |
Left | ← |
PageDown | {PageDown} |
Տեղադրել | {Տեղադրել} |
Նվաճել | {Հաղթել} |
NumLock | {NumLock} |
F11 | {F11} |
F3 | {F3} |
ԳԼԽԱՎՈՐ | {ՏՈՒՆ} |
ՄՏՆԵԼ | {ENTER} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
Այլ բանալի | Նիշը մեծ կամ փոքրատառով է՝ կախված CapsLock և Shift ստեղների դիրքերից |
Նշված հաճախականությամբ հավաքագրված տեղեկամատյանը ուղարկվում է սերվեր: Եթե փոխանցումն անհաջող է, գրանցամատյանը պահվում է ֆայլում %TEMP%log.tmp ձևաչափով:
Երբ ժամաչափը գործարկվի, ֆայլը կտեղափոխվի սերվեր:
ScreenLogger
Նշված հաճախականության դեպքում չարամիտ ծրագիրը ձևաչափով սքրինշոթ է ստեղծում Jpeg արժեքով որակ հավասար է 50-ի և այն պահում է ֆայլում %APPDATA %.jpg. Փոխանցումից հետո ֆայլը ջնջվում է:
ClipboardLogger
Եթե դրված է համապատասխան դրոշակ, փոխարինումներ են կատարվում ընդհատված տեքստում՝ համաձայն ստորև բերված աղյուսակի:
Դրանից հետո տեքստը տեղադրվում է գրանցամատյանում.
PasswordStealer
Չարամիտ ծրագիրը կարող է գաղտնաբառեր ներբեռնել հետևյալ հավելվածներից.
Браузеры | Փոստի հաճախորդներ | FTP հաճախորդներ |
Chrome | Հեռանկար | FileZilla |
firefox | Thunderbird- ը | WS_FTP |
IE/Edge | Foxmail | WinSCP- ն |
Safari | Օպերային փոստ | CoreFTP |
Opera Browser | IncrediMail- ը | FTP նավիգատոր |
Yandex | Pocomail | FlashFXP |
Comodo | Eudora | SmartFTP- ը |
ChromePlus | The Bat | FTP հրամանատար |
Chromium | Փոստարկղը | |
Ջահ | ClawsMail | |
7Star | ||
Ընկեր | ||
BraveSoftware | Jabber հաճախորդներ | VPN հաճախորդներ |
CentBrowser | Psi/Psi+ | Բացեք VPN- ն |
Չեդոտ | ||
CocCoc | ||
Elements զննարկիչ | Ներբեռնեք մենեջերներ | |
Epic գաղտնիության զննարկիչ | Internet Download Manager | |
Կոմետա | JDownloader | |
Orbitum | ||
Սպուտնիկ | ||
uCozMedia | ||
Vivaldi | ||
SeaMonkey- ն | ||
Flock զննարկիչ | ||
UC Browser- ը | ||
BlackHawk | ||
Cyber Fox | ||
Կ-Մելեոն | ||
Սառցե կատու | ||
icedragon | ||
PaleMoon- ը | ||
ջրաղվես | ||
Falkon բրաուզեր |
Դինամիկ վերլուծության հակազդեցություն
- Օգտագործելով գործառույթը Քնել. Թույլ է տալիս շրջանցել որոշ ավազարկղեր՝ ըստ ժամանակի ընդմիջման
- Թել քանդելը Գոտի. Իդենտիֆիկատոր. Թույլ է տալիս թաքցնել ինտերնետից ֆայլ ներբեռնելու փաստը
- Պարամետրով %filter_list% նշում է գործընթացների ցանկը, որոնք չարամիտ ծրագիրը կդադարեցվի մեկ վայրկյան ընդմիջումներով
- Անջատում UAC
- Առաջադրանքների կառավարչի անջատում
- Անջատում CMD
- Պատուհանի անջատում «Վազիր»
- Կառավարման վահանակի անջատում
- Գործիքի անջատում RegEdit- ը
- Համակարգի վերականգնման կետերի անջատում
- Անջատեք համատեքստի ընտրացանկը Explorer-ում
- Անջատում MSCONFIG- ը
- Շրջանցում UAC:
Հիմնական մոդուլի ոչ ակտիվ առանձնահատկությունները
Հիմնական մոդուլի վերլուծության ընթացքում բացահայտվեցին գործառույթներ, որոնք պատասխանատու էին ցանցով տարածվելու և մկնիկի դիրքը հետևելու համար:
Սողալ
Շարժական լրատվամիջոցների միացման իրադարձությունները վերահսկվում են առանձին թեմայում: Երբ միացված է, անունով չարամիտ ծրագիրը պատճենվում է ֆայլային համակարգի արմատին scr.exe, որից հետո որոնում է ընդլայնումով ֆայլեր lnk. Բոլորի թիմը lnk փոփոխություններ դեպի cmd.exe /c start scr.exe&start & ելք.
Մեդիա հիմքում գտնվող յուրաքանչյուր գրացուցակին տրվում է հատկանիշ «Թաքնված» և ընդլայնմամբ ստեղծվում է ֆայլ lnk թաքնված գրացուցակի անունով և հրամանով cmd.exe /c start scr.exe&explorer /root,"%CD%" և դուրս գալ.
MouseTracker
Գաղտնալսման մեթոդը նման է ստեղնաշարի համար օգտագործվող մեթոդին: Այս ֆունկցիոնալությունը դեռ մշակման փուլում է:
Ֆայլի գործունեություն
Ճանապարհ | Նկարագրություն |
%Temp%temp.tmp | Պարունակում է UAC շրջանցման փորձերի հաշվիչ |
%startupfolder%%insfolder%%insname% | HPE համակարգին հատկացվող ուղի |
%Temp%tmpG{Ընթացիկ ժամանակը միլիվայրկյաններով}.tmp | Հիմնական մոդուլի կրկնօրինակման ուղի |
%Temp%log.tmp | Մատյան ֆայլ |
%AppData%{10 նիշից բաղկացած կամայական հաջորդականություն}.jpeg | Screenshots |
C:UsersPublic{10 նիշից բաղկացած կամայական հաջորդականություն}.vbs | Ուղ դեպի vbs ֆայլ, որը bootloader-ը կարող է օգտագործել համակարգին կցելու համար |
%Temp%{Պատկերական թղթապանակի անունը}{Ֆայլի անուն} | Ճանապարհ, որն օգտագործվում է bootloader-ի կողմից համակարգին միանալու համար |
Հարձակվողի պրոֆիլը
Կոշտ կոդավորված վավերացման տվյալների շնորհիվ մենք կարողացանք մուտք գործել հրամանի կենտրոն:
Սա մեզ թույլ տվեց բացահայտել հարձակվողների վերջնական էլ.
junaid[.]in***@gmail[.]com.
Հրամանատարության կենտրոնի տիրույթի անունը գրանցված է փոստին sg***@gmail[.]com.
Ամփոփում
Հարձակման ժամանակ օգտագործված չարամիտ ծրագրի մանրամասն վերլուծության ընթացքում մենք կարողացանք հաստատել դրա ֆունկցիոնալությունը և ստանալ այս գործին առնչվող փոխզիջման ցուցանիշների առավել ամբողջական ցանկը: Չարամիտ ծրագրերի միջև ցանցային փոխգործակցության մեխանիզմների ըմբռնումը թույլ տվեց առաջարկություններ տալ տեղեկատվական անվտանգության գործիքների աշխատանքը կարգավորելու, ինչպես նաև կայուն IDS կանոններ գրելու համար:
Հիմնական վտանգը ԳործակալՏեսլա ինչպես DataStealer-ը, որովհետև այն կարիք չունի պարտավորվելու համակարգին կամ սպասել կառավարման հրամանի՝ իր առաջադրանքները կատարելու համար: Մեքենայի վրա միանալուց հետո այն անմիջապես սկսում է անձնական տեղեկություններ հավաքել և այն փոխանցել CnC: Այս ագրեսիվ պահվածքը որոշ առումներով նման է փրկագին ծրագրերի վարքագծին, միայն այն տարբերությամբ, որ վերջիններս նույնիսկ ցանցային միացում չեն պահանջում։ Եթե հանդիպեք այս ընտանիքին, ապա վարակված համակարգը հենց չարամիտ ծրագրից մաքրելուց հետո դուք անպայման պետք է փոխեք բոլոր գաղտնաբառերը, որոնք գոնե տեսականորեն կարող են պահպանվել վերը թվարկված հավելվածներից մեկում:
Առաջ նայելով, ասենք, որ հարձակվողները ուղարկում են ԳործակալՏեսլա, սկզբնական բեռնիչը շատ հաճախ փոխվում է։ Սա թույլ է տալիս հարձակման պահին աննկատ մնալ ստատիկ սկաներների և էվրիստիկ անալիզատորների կողմից: Իսկ այս ընտանիքի՝ անմիջապես իրենց գործունեությունը սկսելու միտումը անօգուտ է դարձնում համակարգի մոնիտորները։ AgentTesla-ի դեմ պայքարելու լավագույն միջոցը նախնական վերլուծությունն է ավազատուփում:
Այս շարքի երրորդ հոդվածում մենք կանդրադառնանք օգտագործված այլ bootloaders-ներին ԳործակալՏեսլա, ինչպես նաև ուսումնասիրել դրանց կիսաավտոմատ ապափաթեթավորման գործընթացը։ Բաց մի թող:
Խանգարել
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
Ռեեստրը |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun%insregname% |
Mutex
Ցուցանիշներ չկան։
Ֆայլեր
Ֆայլի գործունեություն |
%Temp%temp.tmp |
%startupfolder%%insfolder%%insname% |
%Temp%tmpG{Ընթացիկ ժամանակը միլիվայրկյաններով}.tmp |
%Temp%log.tmp |
%AppData%{10 նիշից բաղկացած կամայական հաջորդականություն}.jpeg |
C:UsersPublic{10 նիշից բաղկացած կամայական հաջորդականություն}.vbs |
%Temp%{Պատկերական թղթապանակի անունը}{Ֆայլի անուն} |
Նմուշների մասին տեղեկատվություն
Անուն | Անհայտ |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
Տիպ | PE (.NET) |
չափ | 327680 |
Բնօրինակի անունը | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
Ամսաթիվ դրոշմ | 01.07.2019 |
Կազմող | VB.NET |
Անուն | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
Տիպ | PE (.NET DLL) |
չափ | 16896 |
Բնօրինակի անունը | IELibrary.dll |
Ամսաթիվ դրոշմ | 11.10.2016 |
Կազմող | Microsoft Linker (48.0*) |
Source: www.habr.com