ProHoster > blog > berita internet > Jumlah pemilih gagal: mari kita paparkan AgentTesla ke air bersih. Bagian 1
Jumlah pemilih gagal: mari kita paparkan AgentTesla ke air bersih. Bagian 1
Baru-baru ini, produsen peralatan instalasi listrik Eropa menghubungi Group-IB - karyawannya menerima surat mencurigakan dengan lampiran berbahaya melalui pos. Ilya Pomerantsev, spesialis analisis malware di CERT Group-IB, melakukan analisis mendetail terhadap file ini, menemukan spyware AgentTesla di sana dan memberi tahu apa yang diharapkan dari malware tersebut dan betapa berbahayanya.
Dengan postingan ini kami membuka serangkaian artikel tentang cara menganalisis file yang berpotensi berbahaya, dan kami menunggu yang paling penasaran pada tanggal 5 Desember untuk webinar interaktif gratis tentang topik tersebut. βAnalisis Malware: Analisis Kasus Nyataβ. Semua detailnya ada di bawah potongan.
Mekanisme distribusi
Kita tahu bahwa malware mencapai mesin korban melalui email phishing. Penerima surat itu mungkin adalah BCC.
Analisis header menunjukkan bahwa pengirim surat itu palsu. Faktanya, surat itu tertinggal vps56[.]oneworldhosting[.]com.
Lampiran email berisi arsip WinRar qoute_jpeg56a.r15 dengan file eksekusi berbahaya QOUTE_JPEG56A.exe dalam.
Ekosistem perangkat lunak jahat
Sekarang mari kita lihat seperti apa ekosistem malware yang diteliti. Diagram di bawah menunjukkan strukturnya dan arah interaksi komponen-komponennya.
Sekarang mari kita lihat masing-masing komponen malware secara lebih detail.
Pemuat
Berkas asli QOUTE_JPEG56A.exe adalah kompilasi Otomatis v3 naskah.
Untuk mengaburkan skrip asli, obfuscator dengan yang serupa PELock AutoIT-Obfuscator karakteristik.
Deobfuscation dilakukan dalam tiga tahap:
Menghapus kebingungan Untuk-Jika
Langkah pertama adalah memulihkan aliran kontrol skrip. Perataan Aliran Kontrol adalah salah satu cara paling umum untuk melindungi kode biner aplikasi dari analisis. Transformasi yang membingungkan secara dramatis meningkatkan kompleksitas ekstraksi dan pengenalan algoritma dan struktur data.
Pemulihan baris
Dua fungsi digunakan untuk mengenkripsi string:
gdorizabegkvfca - Melakukan decoding seperti Base64
xgacyukcyzxz - XOR byte-byte sederhana dari string pertama dengan panjang string kedua
Menghapus kebingungan BinerToString ΠΈ Eksekusi
Beban utama disimpan dalam bentuk terbagi dalam direktori Font bagian sumber daya file.
Urutan pengelemannya adalah sebagai berikut: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Fungsi WinAPI digunakan untuk mendekripsi data yang diekstraksi CryptDecrypt, dan kunci sesi yang dihasilkan berdasarkan nilai digunakan sebagai kunci fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
File executable yang didekripsi dikirim ke input fungsi RunPE, yang melaksanakan Proses Suntikan Π² RegAsm.exe menggunakan bawaan Kode Shell (juga dikenal sebagai JalankanPE ShellCode). Kepengarangan milik pengguna forum Spanyol tidak terdeteksi[.]net dengan julukan Wardow.
Perlu juga dicatat bahwa di salah satu topik forum ini, ada obfuscator untuk Otomatis dengan sifat serupa yang diidentifikasi selama analisis sampel.
Diri Kode Shell cukup sederhana dan menarik perhatian hanya dipinjam dari kelompok hacker AnunakCarbanak. Fungsi hashing panggilan API.
Kami juga mengetahui kasus penggunaan Shellcode Perancis versi yang berbeda.
Selain fungsi yang dijelaskan, kami juga mengidentifikasi fungsi tidak aktif:
Memblokir penghentian proses manual di pengelola tugas
Memulai ulang proses anak ketika proses tersebut berakhir
Lewati UAC
Menyimpan payload ke file
Demonstrasi jendela modal
Menunggu posisi kursor mouse berubah
AntiVM dan AntiSandbox
penghancuran diri
Memompa muatan dari jaringan
Kita tahu bahwa fungsi seperti itu khas untuk pelindung CypherIT, yang tampaknya merupakan bootloader yang dimaksud.
Modul utama perangkat lunak
Selanjutnya, kami akan menjelaskan secara singkat modul utama malware tersebut, dan mempertimbangkannya lebih detail di artikel kedua. Dalam hal ini, ini adalah aplikasi aktif NET..
Selama analisis, kami menemukan bahwa obfuscator digunakan BingungEX.
IELibrary.dll
Perpustakaan disimpan sebagai sumber daya modul utama dan merupakan plugin yang terkenal AgenTesla, yang menyediakan fungsionalitas untuk mengekstraksi berbagai informasi dari browser Internet Explorer dan Edge.
Agen Tesla adalah perangkat lunak mata-mata modular yang didistribusikan menggunakan model malware-as-a-service dengan kedok produk keylogger yang sah. Agen Tesla mampu mengekstraksi dan mengirimkan kredensial pengguna dari browser, klien email, dan klien FTP ke server ke penyerang, merekam data clipboard, dan menangkap layar perangkat. Pada saat analisis, situs web resmi pengembang tidak tersedia.
Titik masuknya adalah fungsinya Dapatkan Kata Sandi Tersimpan kelas InternetExplorer.
Secara umum, eksekusi kode bersifat linier dan tidak mengandung perlindungan apa pun terhadap analisis. Hanya fungsi yang belum terealisasi yang patut mendapat perhatian Dapatkan Cookie Tersimpan. Rupanya, fungsi plugin seharusnya diperluas, tetapi hal ini tidak pernah dilakukan.
Memasang bootloader ke sistem
Mari pelajari bagaimana bootloader terpasang pada sistem. Spesimen yang diteliti tidak berlabuh, tetapi pada kejadian serupa terjadi menurut skema berikut:
Dalam folder C:PenggunaPublik skrip dibuat Visual Basic
Contoh skrip:
Isi file loader diisi dengan karakter null dan disimpan ke folder %Temp%<Nama folder khusus><Nama file>
Kunci autorun dibuat di registri untuk file skrip HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Nama skrip>
Jadi, berdasarkan hasil analisis bagian pertama, kami dapat menentukan nama keluarga seluruh komponen malware yang diteliti, menganalisis pola infeksi, dan juga memperoleh objek untuk penulisan tanda tangan. Kami akan melanjutkan analisis kami terhadap objek ini di artikel berikutnya, di mana kami akan melihat modul utama secara lebih rinci AgenTesla. Jangan lewatkan!
Omong-omong, pada tanggal 5 Desember kami mengundang semua pembaca ke webinar interaktif gratis dengan topik βAnalisis malware: analisis kasus nyataβ, di mana penulis artikel ini, seorang spesialis CERT-GIB, akan menunjukkan secara online tahap pertama dari analisis malware - pembongkaran sampel secara semi-otomatis menggunakan contoh tiga kasus kecil nyata dari praktik, dan Anda dapat mengambil bagian dalam analisis. Webinar ini cocok untuk spesialis yang sudah memiliki pengalaman dalam menganalisis file berbahaya. Pendaftaran hanya dari email perusahaan: daftar. Menunggumu!