Մենք շարունակում ենք մեր հոդվածների շարքը՝ նվիրված չարամիտ ծրագրերի վերլուծությանը։ IN Մասամբ մենք պատմեցինք, թե ինչպես է CERT Group-IB-ի չարամիտ ծրագրերի վերլուծության մասնագետ Իլյա Պոմերանցևը մանրամասն վերլուծել եվրոպական ընկերություններից մեկից փոստով ստացված ֆայլը և այնտեղ հայտնաբերել լրտեսող ծրագրեր։ ԳործակալՏեսլա. Այս հոդվածում Իլյան ներկայացնում է հիմնական մոդուլի քայլ առ քայլ վերլուծության արդյունքները ԳործակալՏեսլա.
Agent Tesla-ն մոդուլային լրտեսական ծրագրաշար է, որը տարածվում է չարամիտ-որպես ծառայություն մոդելի միջոցով՝ օրինական keylogger արտադրանքի քողի տակ: Գործակալ Tesla-ն ի վիճակի է բրաուզերներից, էլփոստի հաճախորդներից և FTP հաճախորդներից օգտատիրոջ հավատարմագրերը հանել և փոխանցել սերվերին հարձակվողներին, ձայնագրել clipboard-ի տվյալները և գրավել սարքի էկրանը: Վերլուծության պահին մշակողների պաշտոնական կայքը անհասանելի էր:
Կազմաձևման ֆայլ
Ստորև բերված աղյուսակը ցույց է տալիս, թե որ գործառույթն է կիրառվում ձեր օգտագործած նմուշի համար.
| Նկարագրություն | Արժեք |
| KeyLogger-ի օգտագործման դրոշակ | ճիշտ |
| ScreenLogger-ի օգտագործման դրոշակ | սուտ |
| KeyLogger տեղեկամատյանի ուղարկման ընդմիջումը րոպեներով | 20 |
| ScreenLogger տեղեկամատյան ուղարկելու ընդմիջումը րոպեներով | 20 |
| Backspace-ի բանալիների մշակման դրոշ: Սխալ – միայն գրանցում: Ճիշտ է – ջնջում է նախորդ բանալին | սուտ |
| CNC տեսակը. Ընտրանքներ՝ smtp, webpanel, ftp | SMTP |
| Թելերի ակտիվացման դրոշ՝ «%filter_list%» ցուցակից գործընթացներն ավարտելու համար | սուտ |
| UAC անջատել դրոշը | սուտ |
| Առաջադրանքների կառավարիչը անջատել դրոշը | սուտ |
| CMD անջատել դրոշը | սուտ |
| Գործարկել պատուհանի անջատման դրոշը | սուտ |
| Registry Viewer Անջատել դրոշը | սուտ |
| Անջատել համակարգի վերականգնման կետերի դրոշակը | ճիշտ |
| Կառավարման վահանակի անջատման դրոշը | սուտ |
| MSCONFIG անջատել դրոշը | սուտ |
| Դրոշակ՝ Explorer-ի համատեքստային ընտրացանկը անջատելու համար | սուտ |
| Փին դրոշ | սուտ |
| Հիմնական մոդուլը համակարգին ամրացնելիս պատճենելու ուղին | %startupfolder% %insfolder%%insname% |
| Համակարգին հատկացված հիմնական մոդուլի համար «Համակարգ» և «Թաքնված» ատրիբուտները սահմանելու դրոշակ | սուտ |
| Դրոշակ՝ համակարգին ամրացված ժամանակ վերագործարկելու համար | սուտ |
| Հիմնական մոդուլը ժամանակավոր պանակ տեղափոխելու դրոշակ | սուտ |
| UAC շրջանցման դրոշ | սուտ |
| Ամսաթվի և ժամի ձևաչափը գրանցման համար | yyyy-MM-dd HH:mm:ss |
| Նշել KeyLogger-ի համար ծրագրի զտիչ օգտագործելու համար | ճիշտ |
| Ծրագրի զտման տեսակը. 1 – ծրագրի անվանումը որոնվում է պատուհանների վերնագրերում 2 – ծրագրի անունը որոնվում է պատուհանի գործընթացի անվան մեջ |
1 |
| Ծրագրի զտիչ | «Ֆեյսբուք» «twitter» «gmail» «ինստագրամ» «ֆիլմ» «skype» «պոռնո» «կոտրել» «whatsapp» «տարաձայնություն» |
Հիմնական մոդուլի միացում համակարգին
Եթե համապատասխան դրոշը դրված է, ապա հիմնական մոդուլը պատճենվում է կոնֆիգուրայում նշված ուղու վրա՝ որպես համակարգին վերագրվող ուղի:
Կախված կոնֆիգուրացիայի արժեքից, ֆայլին տրվում են «Թաքնված» և «Համակարգ» ատրիբուտները:
Autorun-ը տրամադրվում է ռեգիստրի երկու մասնաճյուղերի կողմից.
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun %insregname%
Քանի որ bootloader-ը ներարկում է գործընթացին RegAsm, հիմնական մոդուլի համար մշտական դրոշը դնելը հանգեցնում է բավականին հետաքրքիր հետևանքների։ Ինքն իրեն պատճենելու փոխարեն չարամիտ ծրագիրը կցել է բնօրինակ ֆայլը համակարգին RegAsm.exe, որի ընթացքում կատարվել է ներարկումը։
Փոխազդեցություն C&C-ի հետ
Անկախ օգտագործված մեթոդից, ցանցային հաղորդակցությունը սկսվում է ռեսուրսի օգտագործմամբ տուժածի արտաքին IP-ն ստանալուց [.]amazonaws[.]com/.
Հետևյալը նկարագրում է ծրագրաշարում ներկայացված ցանցային փոխգործակցության մեթոդները:
վեբ վահանակ
Փոխազդեցությունը տեղի է ունենում HTTP արձանագրության միջոցով: Չարամիտ ծրագիրը կատարում է POST հարցում հետևյալ վերնագրերով.
- Օգտատիրոջ գործակալ՝ Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Միացում՝ Keep-Alive
- Բովանդակության տեսակը՝ դիմում/x-www-form-urlencoded
Սերվերի հասցեն նշված է արժեքով %PostURL%. Կոդավորված հաղորդագրությունն ուղարկվում է պարամետրով «P». Գաղտնագրման մեխանիզմը նկարագրված է բաժնում «Կոդավորման ալգորիթմներ» (մեթոդ 2).
Հաղորդված հաղորդագրությունն ունի հետևյալ տեսքը.
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter տիպ ցույց է տալիս հաղորդագրության տեսակը.
hwid — MD5 հեշը գրանցվում է մայր տախտակի սերիական համարի և պրոցեսորի ID-ի արժեքներից: Ամենայն հավանականությամբ օգտագործվում է որպես Օգտվողի ID:
ժամանակ — ծառայում է ընթացիկ ժամը և ամսաթիվը փոխանցելու համար:
pcname - սահմանվում է որպես /.
logdata - գրանցամատյանի տվյալներ:
Գաղտնաբառերը փոխանցելիս հաղորդագրությունը նման է.
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Ստորև ներկայացված են գողացված տվյալների նկարագրությունները ձևաչափով nclient[]={0}nlink[]={1}username[]={2}nգաղտնաբառ[]={3}.
SMTP
Փոխազդեցությունը տեղի է ունենում SMTP արձանագրության միջոցով: Փոխանցված նամակը HTML ձևաչափով է: Պարամետր BODY ունի ձև.
Նամակի վերնագիրն ունի ընդհանուր ձև. / . Նամակի բովանդակությունը, ինչպես նաև դրա հավելվածները գաղտնագրված չեն:
Փոխազդեցությունը տեղի է ունենում FTP արձանագրության միջոցով: Անունով ֆայլը փոխանցվում է նշված սերվերին _-_.html. Ֆայլի բովանդակությունը կոդավորված չէ:
Կոդավորման ալգորիթմներ
Այս դեպքում օգտագործվում են գաղտնագրման հետևյալ մեթոդները.
1 մեթոդը
Այս մեթոդը օգտագործվում է հիմնական մոդուլում տողերի գաղտնագրման համար: Գաղտնագրման համար օգտագործվող ալգորիթմն է AES.
Մուտքը վեցանիշ տասնորդական թիվ է: Դրա վրա կատարվում է հետևյալ փոխակերպումը.
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Ստացված արժեքը ներկառուցված տվյալների զանգվածի ինդեքսն է:
Զանգվածի յուրաքանչյուր տարր հաջորդականություն է DWORD. Միաձուլման ժամանակ DWORD ստացվում է բայթերի զանգված. առաջին 32 բայթը գաղտնագրման բանալին է, որին հաջորդում է սկզբնավորման վեկտորի 16 բայթը, իսկ մնացած բայթերը գաղտնագրված տվյալներն են:
2 մեթոդը
Օգտագործված ալգորիթմ 3 ԴԵՍ ռեժիմում ԵԿԲ - ամբողջական բայթերով լցոնումով (PKCS7).
Բանալին նշված է պարամետրով %urlkey%, այնուամենայնիվ, գաղտնագրումն օգտագործում է իր MD5 հեշը:
Վնասակար գործառույթ
Ուսումնասիրվող նմուշը օգտագործում է հետևյալ ծրագրերը՝ իր վնասակար ֆունկցիան իրականացնելու համար.
բանալին լոգեր
Եթե կա համապատասխան չարամիտ դրոշ, օգտագործելով WinAPI գործառույթը SetWindowsHookEx ստեղնաշարի վրա ստեղնաշարի սեղմման իրադարձությունների համար հատկացնում է իր սեփական մշակիչը: Բեռնարկիչի ֆունկցիան սկսվում է՝ ստանալով ակտիվ պատուհանի վերնագիրը:
Եթե հավելվածի զտման դրոշը սահմանված է, զտումն իրականացվում է կախված նշված տեսակից.
- ծրագրի անվանումը որոնվում է պատուհանների վերնագրերում
- ծրագրի անունը փնտրվում է պատուհանի գործընթացի անվան մեջ
Հաջորդը գրանցամատյանում ավելացվում է գրառում՝ ակտիվ պատուհանի մասին տեղեկատվությամբ՝ ձևաչափով.
Այնուհետև սեղմված ստեղնի մասին տեղեկատվությունը գրանցվում է.
| Բանալին | Գրառում |
| Backspace | Կախված Backspace ստեղնի մշակման դրոշից՝ False – {BACK} Ճիշտ է – ջնջում է նախորդ բանալին |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Էջ վերև | {PageUp} |
| Down | ↓ |
| ՋՆՋԵԼ | {DEL} |
| " | « |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Տիեզերք | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| Իրավունք | → |
| Up | ↑ |
| F1 | {F1} |
| Left | ← |
| PageDown | {PageDown} |
| Տեղադրել | {Տեղադրել} |
| Նվաճել | {Հաղթել} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| ԳԼԽԱՎՈՐ | {ՏՈՒՆ} |
| ՄՏՆԵԼ | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Այլ բանալի | Նիշը մեծ կամ փոքրատառով է՝ կախված CapsLock և Shift ստեղների դիրքերից |
Նշված հաճախականությամբ հավաքագրված տեղեկամատյանը ուղարկվում է սերվեր: Եթե փոխանցումն անհաջող է, գրանցամատյանը պահվում է ֆայլում %TEMP%log.tmp ձևաչափով:
Երբ ժամաչափը գործարկվի, ֆայլը կտեղափոխվի սերվեր:
ScreenLogger
Նշված հաճախականության դեպքում չարամիտ ծրագիրը ձևաչափով սքրինշոթ է ստեղծում Jpeg արժեքով որակ հավասար է 50-ի և այն պահում է ֆայլում %APPDATA %.jpg. Փոխանցումից հետո ֆայլը ջնջվում է:
ClipboardLogger
Եթե դրված է համապատասխան դրոշակ, փոխարինումներ են կատարվում ընդհատված տեքստում՝ համաձայն ստորև բերված աղյուսակի:
Դրանից հետո տեքստը տեղադրվում է գրանցամատյանում.
PasswordStealer
Չարամիտ ծրագիրը կարող է գաղտնաբառեր ներբեռնել հետևյալ հավելվածներից.
| Браузеры | Փոստի հաճախորդներ | FTP հաճախորդներ |
| Chrome | Հեռանկար | FileZilla |
| firefox | Thunderbird- ը | WS_FTP |
| IE/Edge | Foxmail | WinSCP- ն |
| Safari | Օպերային փոստ | CoreFTP |
| Opera Browser | IncrediMail- ը | FTP նավիգատոր |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP- ը |
| ChromePlus | The Bat | FTP հրամանատար |
| Chromium | Փոստարկղը | |
| Ջահ | ClawsMail | |
| 7Star | ||
| Ընկեր | ||
| BraveSoftware | Jabber հաճախորդներ | VPN հաճախորդներ |
| CentBrowser | Psi/Psi+ | Բացեք VPN- ն |
| Չեդոտ | ||
| CocCoc | ||
| Elements զննարկիչ | Ներբեռնեք մենեջերներ | |
| Epic գաղտնիության զննարկիչ | Internet Download Manager | |
| Կոմետա | JDownloader | |
| Orbitum | ||
| Սպուտնիկ | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey- ն | ||
| Flock զննարկիչ | ||
| UC Browser- ը | ||
| BlackHawk | ||
| Cyber Fox | ||
| Կ-Մելեոն | ||
| Սառցե կատու | ||
| icedragon | ||
| PaleMoon- ը | ||
| ջրաղվես | ||
| Falkon բրաուզեր |
Դինամիկ վերլուծության հակազդեցություն
- Օգտագործելով գործառույթը Քնել. Թույլ է տալիս շրջանցել որոշ ավազարկղեր՝ ըստ ժամանակի ընդմիջման
- Թել քանդելը Գոտի. Իդենտիֆիկատոր. Թույլ է տալիս թաքցնել ինտերնետից ֆայլ ներբեռնելու փաստը
- Պարամետրով %filter_list% նշում է գործընթացների ցանկը, որոնք չարամիտ ծրագիրը կդադարեցվի մեկ վայրկյան ընդմիջումներով
- Անջատում UAC
- Առաջադրանքների կառավարչի անջատում
- Անջատում CMD
- Պատուհանի անջատում «Վազիր»
- Կառավարման վահանակի անջատում
- Գործիքի անջատում RegEdit- ը
- Համակարգի վերականգնման կետերի անջատում
- Անջատեք համատեքստի ընտրացանկը Explorer-ում
- Անջատում MSCONFIG- ը
- Շրջանցում UAC:
Հիմնական մոդուլի ոչ ակտիվ առանձնահատկությունները
Հիմնական մոդուլի վերլուծության ընթացքում բացահայտվեցին գործառույթներ, որոնք պատասխանատու էին ցանցով տարածվելու և մկնիկի դիրքը հետևելու համար:
Սողալ
Շարժական լրատվամիջոցների միացման իրադարձությունները վերահսկվում են առանձին թեմայում: Երբ միացված է, անունով չարամիտ ծրագիրը պատճենվում է ֆայլային համակարգի արմատին scr.exe, որից հետո որոնում է ընդլայնումով ֆայլեր lnk. Բոլորի թիմը lnk փոփոխություններ դեպի cmd.exe /c start scr.exe&start & ելք.
Մեդիա հիմքում գտնվող յուրաքանչյուր գրացուցակին տրվում է հատկանիշ «Թաքնված» և ընդլայնմամբ ստեղծվում է ֆայլ lnk թաքնված գրացուցակի անունով և հրամանով cmd.exe /c start scr.exe&explorer /root,"%CD%" և դուրս գալ.
MouseTracker
Գաղտնալսման մեթոդը նման է ստեղնաշարի համար օգտագործվող մեթոդին: Այս ֆունկցիոնալությունը դեռ մշակման փուլում է:
Ֆայլի գործունեություն
| Ճանապարհ | Նկարագրություն |
| %Temp%temp.tmp | Պարունակում է UAC շրջանցման փորձերի հաշվիչ |
| %startupfolder%%insfolder%%insname% | HPE համակարգին հատկացվող ուղի |
| %Temp%tmpG{Ընթացիկ ժամանակը միլիվայրկյաններով}.tmp | Հիմնական մոդուլի կրկնօրինակման ուղի |
| %Temp%log.tmp | Մատյան ֆայլ |
| %AppData%{10 նիշից բաղկացած կամայական հաջորդականություն}.jpeg | Screenshots |
| C:UsersPublic{10 նիշից բաղկացած կամայական հաջորդականություն}.vbs | Ուղ դեպի vbs ֆայլ, որը bootloader-ը կարող է օգտագործել համակարգին կցելու համար |
| %Temp%{Պատկերական թղթապանակի անունը}{Ֆայլի անուն} | Ճանապարհ, որն օգտագործվում է bootloader-ի կողմից համակարգին միանալու համար |
Հարձակվողի պրոֆիլը
Կոշտ կոդավորված վավերացման տվյալների շնորհիվ մենք կարողացանք մուտք գործել հրամանի կենտրոն:
Սա մեզ թույլ տվեց բացահայտել հարձակվողների վերջնական էլ.
junaid[.]in***@gmail[.]com.
Հրամանատարության կենտրոնի տիրույթի անունը գրանցված է փոստին sg***@gmail[.]com.
Ամփոփում
Հարձակման ժամանակ օգտագործված չարամիտ ծրագրի մանրամասն վերլուծության ընթացքում մենք կարողացանք հաստատել դրա ֆունկցիոնալությունը և ստանալ այս գործին առնչվող փոխզիջման ցուցանիշների առավել ամբողջական ցանկը: Չարամիտ ծրագրերի միջև ցանցային փոխգործակցության մեխանիզմների ըմբռնումը թույլ տվեց առաջարկություններ տալ տեղեկատվական անվտանգության գործիքների աշխատանքը կարգավորելու, ինչպես նաև կայուն IDS կանոններ գրելու համար:
Հիմնական վտանգը ԳործակալՏեսլա ինչպես DataStealer-ը, որովհետև այն կարիք չունի պարտավորվելու համակարգին կամ սպասել կառավարման հրամանի՝ իր առաջադրանքները կատարելու համար: Մեքենայի վրա միանալուց հետո այն անմիջապես սկսում է անձնական տեղեկություններ հավաքել և այն փոխանցել CnC: Այս ագրեսիվ պահվածքը որոշ առումներով նման է փրկագին ծրագրերի վարքագծին, միայն այն տարբերությամբ, որ վերջիններս նույնիսկ ցանցային միացում չեն պահանջում։ Եթե հանդիպեք այս ընտանիքին, ապա վարակված համակարգը հենց չարամիտ ծրագրից մաքրելուց հետո դուք անպայման պետք է փոխեք բոլոր գաղտնաբառերը, որոնք գոնե տեսականորեն կարող են պահպանվել վերը թվարկված հավելվածներից մեկում:
Առաջ նայելով, ասենք, որ հարձակվողները ուղարկում են ԳործակալՏեսլա, սկզբնական բեռնիչը շատ հաճախ փոխվում է։ Սա թույլ է տալիս հարձակման պահին աննկատ մնալ ստատիկ սկաներների և էվրիստիկ անալիզատորների կողմից: Իսկ այս ընտանիքի՝ անմիջապես իրենց գործունեությունը սկսելու միտումը անօգուտ է դարձնում համակարգի մոնիտորները։ AgentTesla-ի դեմ պայքարելու լավագույն միջոցը նախնական վերլուծությունն է ավազատուփում:
Այս շարքի երրորդ հոդվածում մենք կանդրադառնանք օգտագործված այլ bootloaders-ներին ԳործակալՏեսլա, ինչպես նաև ուսումնասիրել դրանց կիսաավտոմատ ապափաթեթավորման գործընթացը։ Բաց մի թող:
Խանգարել
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Ռեեստրը |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun%insregname% |
Mutex
Ցուցանիշներ չկան։
Ֆայլեր
| Ֆայլի գործունեություն |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Ընթացիկ ժամանակը միլիվայրկյաններով}.tmp |
| %Temp%log.tmp |
| %AppData%{10 նիշից բաղկացած կամայական հաջորդականություն}.jpeg |
| C:UsersPublic{10 նիշից բաղկացած կամայական հաջորդականություն}.vbs |
| %Temp%{Պատկերական թղթապանակի անունը}{Ֆայլի անուն} |
Նմուշների մասին տեղեկատվություն
| Անուն | Անհայտ |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Տիպ | PE (.NET) |
| չափ | 327680 |
| Բնօրինակի անունը | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Ամսաթիվ դրոշմ | 01.07.2019 |
| Կազմող | VB.NET |
| Անուն | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Տիպ | PE (.NET DLL) |
| չափ | 16896 |
| Բնօրինակի անունը | IELibrary.dll |
| Ամսաթիվ դրոշմ | 11.10.2016 |
| Կազմող | Microsoft Linker (48.0*) |
Source: www.habr.com