Jumlah pemilih gagal: mari kita paparkan AgentTesla ke air bersih. Bagian 1

Baru-baru ini, produsen peralatan instalasi listrik Eropa menghubungi Group-IB - karyawannya menerima surat mencurigakan dengan lampiran berbahaya melalui pos. Ilya Pomerantsev, spesialis analisis malware di CERT Group-IB, melakukan analisis mendetail terhadap file ini, menemukan spyware AgentTesla di sana dan memberi tahu apa yang diharapkan dari malware tersebut dan betapa berbahayanya.

Dengan postingan ini kami membuka serangkaian artikel tentang cara menganalisis file yang berpotensi berbahaya, dan kami menunggu yang paling penasaran pada tanggal 5 Desember untuk webinar interaktif gratis tentang topik tersebut. “Analisis Malware: Analisis Kasus Nyata”. Semua detailnya ada di bawah potongan.

Mekanisme distribusi

Kita tahu bahwa malware mencapai mesin korban melalui email phishing. Penerima surat itu mungkin adalah BCC.

Analisis header menunjukkan bahwa pengirim surat itu palsu. Faktanya, surat itu tertinggal vps56[.]oneworldhosting[.]com.

Lampiran email berisi arsip WinRar qoute_jpeg56a.r15 dengan file eksekusi berbahaya QOUTE_JPEG56A.exe dalam.

Ekosistem perangkat lunak jahat

Sekarang mari kita lihat seperti apa ekosistem malware yang diteliti. Diagram di bawah menunjukkan strukturnya dan arah interaksi komponen-komponennya.

Sekarang mari kita lihat masing-masing komponen malware secara lebih detail.

Pemuat

Berkas asli QOUTE_JPEG56A.exe adalah kompilasi Otomatis v3 naskah.

Untuk mengaburkan skrip asli, obfuscator dengan yang serupa PELock AutoIT-Obfuscator karakteristik.
Deobfuscation dilakukan dalam tiga tahap:

1. Menghapus kebingungan Untuk-Jika

   Langkah pertama adalah memulihkan aliran kontrol skrip. Perataan Aliran Kontrol adalah salah satu cara paling umum untuk melindungi kode biner aplikasi dari analisis. Transformasi yang membingungkan secara dramatis meningkatkan kompleksitas ekstraksi dan pengenalan algoritma dan struktur data.

   

2. Pemulihan baris

   Dua fungsi digunakan untuk mengenkripsi string:

   • gdorizabegkvfca - Melakukan decoding seperti Base64

     

   • xgacyukcyzxz - XOR byte-byte sederhana dari string pertama dengan panjang string kedua

     

   

3. Menghapus kebingungan BinerToString и Eksekusi

   

Beban utama disimpan dalam bentuk terbagi dalam direktori Font bagian sumber daya file.

Urutan pengelemannya adalah sebagai berikut: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Fungsi WinAPI digunakan untuk mendekripsi data yang diekstraksi CryptDecrypt, dan kunci sesi yang dihasilkan berdasarkan nilai digunakan sebagai kunci fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

File executable yang didekripsi dikirim ke input fungsi RunPE, yang melaksanakan Proses Suntikan в RegAsm.exe menggunakan bawaan Kode Shell (juga dikenal sebagai JalankanPE ShellCode). Kepengarangan milik pengguna forum Spanyol tidak terdeteksi[.]net dengan julukan Wardow.

Perlu juga dicatat bahwa di salah satu topik forum ini, ada obfuscator untuk Otomatis dengan sifat serupa yang diidentifikasi selama analisis sampel.

Diri Kode Shell cukup sederhana dan menarik perhatian hanya dipinjam dari kelompok hacker AnunakCarbanak. Fungsi hashing panggilan API.

Kami juga mengetahui kasus penggunaan Shellcode Perancis versi yang berbeda.
Selain fungsi yang dijelaskan, kami juga mengidentifikasi fungsi tidak aktif:

• Memblokir penghentian proses manual di pengelola tugas

  

• Memulai ulang proses anak ketika proses tersebut berakhir

  

• Lewati UAC

  

• Menyimpan payload ke file

  

• Demonstrasi jendela modal

  

• Menunggu posisi kursor mouse berubah

  

• AntiVM dan AntiSandbox

  

• penghancuran diri

  

• Memompa muatan dari jaringan

  

Kita tahu bahwa fungsi seperti itu khas untuk pelindung CypherIT, yang tampaknya merupakan bootloader yang dimaksud.

Modul utama perangkat lunak

Selanjutnya, kami akan menjelaskan secara singkat modul utama malware tersebut, dan mempertimbangkannya lebih detail di artikel kedua. Dalam hal ini, ini adalah aplikasi aktif NET..

Selama analisis, kami menemukan bahwa obfuscator digunakan BingungEX.

IELibrary.dll

Perpustakaan disimpan sebagai sumber daya modul utama dan merupakan plugin yang terkenal AgenTesla, yang menyediakan fungsionalitas untuk mengekstraksi berbagai informasi dari browser Internet Explorer dan Edge.

Agen Tesla adalah perangkat lunak mata-mata modular yang didistribusikan menggunakan model malware-as-a-service dengan kedok produk keylogger yang sah. Agen Tesla mampu mengekstraksi dan mengirimkan kredensial pengguna dari browser, klien email, dan klien FTP ke server ke penyerang, merekam data clipboard, dan menangkap layar perangkat. Pada saat analisis, situs web resmi pengembang tidak tersedia.

Titik masuknya adalah fungsinya Dapatkan Kata Sandi Tersimpan kelas InternetExplorer.

Secara umum, eksekusi kode bersifat linier dan tidak mengandung perlindungan apa pun terhadap analisis. Hanya fungsi yang belum terealisasi yang patut mendapat perhatian Dapatkan Cookie Tersimpan. Rupanya, fungsi plugin seharusnya diperluas, tetapi hal ini tidak pernah dilakukan.

Memasang bootloader ke sistem

Mari pelajari bagaimana bootloader terpasang pada sistem. Spesimen yang diteliti tidak berlabuh, tetapi pada kejadian serupa terjadi menurut skema berikut:

1. Dalam folder C:PenggunaPublik skrip dibuat Visual Basic

   Contoh skrip:

   

2. Isi file loader diisi dengan karakter null dan disimpan ke folder %Temp%<Nama folder khusus><Nama file>
3. Kunci autorun dibuat di registri untuk file skrip HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Nama skrip>

Jadi, berdasarkan hasil analisis bagian pertama, kami dapat menentukan nama keluarga seluruh komponen malware yang diteliti, menganalisis pola infeksi, dan juga memperoleh objek untuk penulisan tanda tangan. Kami akan melanjutkan analisis kami terhadap objek ini di artikel berikutnya, di mana kami akan melihat modul utama secara lebih rinci AgenTesla. Jangan lewatkan!

Omong-omong, pada tanggal 5 Desember kami mengundang semua pembaca ke webinar interaktif gratis dengan topik “Analisis malware: analisis kasus nyata”, di mana penulis artikel ini, seorang spesialis CERT-GIB, akan menunjukkan secara online tahap pertama dari analisis malware - pembongkaran sampel secara semi-otomatis menggunakan contoh tiga kasus kecil nyata dari praktik, dan Anda dapat mengambil bagian dalam analisis. Webinar ini cocok untuk spesialis yang sudah memiliki pengalaman dalam menganalisis file berbahaya. Pendaftaran hanya dari email perusahaan: daftar. Menunggumu!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hash

Nama	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Tipe	Arsip WinRAR
Ukuran	823014

Nama	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Tipe	PE (Skrip AutoIt yang Dikompilasi)
Ukuran	1327616
Nama asli	tidak diketahui
Cap tanggal	15.07.2019
Linker	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Tipe	Kode Shell
Ukuran	1474

Sumber: www.habr.com