Kami melanjutkan rangkaian artikel kami yang ditujukan untuk analisis malware. DI DALAM Kami sebagian menceritakan bagaimana Ilya Pomerantsev, spesialis analisis malware di CERT Group-IB, melakukan analisis mendetail terhadap file yang diterima melalui surat dari salah satu perusahaan Eropa dan menemukan spyware di sana. AgenTesla. Pada artikel kali ini, Ilya memberikan hasil analisis langkah demi langkah modul utama AgenTesla.
Agen Tesla adalah perangkat lunak mata-mata modular yang didistribusikan menggunakan model malware-as-a-service dengan kedok produk keylogger yang sah. Agen Tesla mampu mengekstraksi dan mengirimkan kredensial pengguna dari browser, klien email, dan klien FTP ke server ke penyerang, merekam data clipboard, dan menangkap layar perangkat. Pada saat analisis, situs web resmi pengembang tidak tersedia.
Berkas konfigurasi
Tabel di bawah mencantumkan fungsionalitas mana yang berlaku untuk sampel yang Anda gunakan:
| Описание | Nilai |
| Tanda penggunaan KeyLogger | benar |
| Tanda penggunaan ScreenLogger | palsu |
| Interval pengiriman log KeyLogger dalam hitungan menit | 20 |
| Interval pengiriman log ScreenLogger dalam hitungan menit | 20 |
| Bendera penanganan kunci spasi mundur. Salah – hanya mencatat log. Benar – menghapus kunci sebelumnya | palsu |
| Tipe CNC. Pilihan: smtp, panel web, ftp | smtp |
| Tanda aktivasi thread untuk menghentikan proses dari daftar “%filter_list%” | palsu |
| Bendera penonaktifan UAC | palsu |
| Bendera penonaktifan pengelola tugas | palsu |
| Bendera penonaktifan CMD | palsu |
| Jalankan bendera penonaktifan jendela | palsu |
| Penampil Registri Nonaktifkan Bendera | palsu |
| Nonaktifkan tanda titik pemulihan sistem | benar |
| Bendera penonaktifan panel kontrol | palsu |
| Bendera penonaktifan MSCONFIG | palsu |
| Tandai untuk menonaktifkan menu konteks di Explorer | palsu |
| Sematkan bendera | palsu |
| Jalur untuk menyalin modul utama saat menyematkannya ke sistem | %startupfolder% %infolder%%namadalam% |
| Tandai untuk menyetel atribut “Sistem” dan “Tersembunyi” untuk modul utama yang ditetapkan ke sistem | palsu |
| Tandai untuk melakukan restart ketika disematkan ke sistem | palsu |
| Tandai untuk memindahkan modul utama ke folder sementara | palsu |
| Bendera bypass UAC | palsu |
| Format tanggal dan waktu untuk pencatatan | yyyy-MM-dd HH:mm:dd |
| Tandai untuk menggunakan filter program untuk KeyLogger | benar |
| Jenis pemfilteran program. 1 – nama program dicari di judul jendela 2 – nama program dicari di nama proses jendela |
1 |
| Penyaring program | "facebook" "twitter" "gmail" "Instagram" "film" "skype" "porno" "meretas" "ada apa" "perselisihan" |
Memasang modul utama ke sistem
Jika tanda yang sesuai disetel, modul utama disalin ke jalur yang ditentukan dalam konfigurasi sebagai jalur yang akan ditetapkan ke sistem.
Bergantung pada nilai dari konfigurasi, file tersebut diberi atribut “Tersembunyi” dan “Sistem”.
Autorun disediakan oleh dua cabang registri:
- Perangkat Lunak HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Sejak bootloader menyuntikkan ke dalam proses RegAsm, menyetel tanda persisten untuk modul utama menyebabkan konsekuensi yang cukup menarik. Alih-alih menyalin dirinya sendiri, malware tersebut melampirkan file asli ke sistem RegAsm.exe, selama penyuntikan dilakukan.
Interaksi dengan K&C
Terlepas dari metode yang digunakan, komunikasi jaringan dimulai dengan memperoleh IP eksternal korban menggunakan sumber daya [.]amazonaws[.]com/.
Berikut ini menjelaskan metode interaksi jaringan yang disajikan dalam perangkat lunak.
panel web
Interaksi terjadi melalui protokol HTTP. Malware mengeksekusi permintaan POST dengan header berikut:
- Agen-Pengguna: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Koneksi: Tetap Hidup
- Tipe Konten: application/x-www-form-urlencoded
Alamat server ditentukan oleh nilainya %URL Pos%. Pesan terenkripsi dikirim dalam parameter «P». Mekanisme enkripsi dijelaskan di bagian "Algoritma Enkripsi" (Metode 2).
Pesan yang dikirimkan terlihat seperti ini:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter mengetik menunjukkan jenis pesan:
bagaimana — hash MD5 dicatat dari nilai nomor seri motherboard dan ID prosesor. Kemungkinan besar digunakan sebagai User ID.
waktu — berfungsi untuk mengirimkan waktu dan tanggal saat ini.
nama pc - didefinisikan sebagai <Nama Pengguna>/<Nama Komputer>.
data log — mencatat data.
Saat mengirimkan kata sandi, pesannya terlihat seperti:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Berikut penjelasan data yang dicuri dalam format tersebut nclient[]={0}nlink[]={1}nama pengguna[]={2}nkata sandi[]={3}.
smtp
Interaksi terjadi melalui protokol SMTP. Surat yang dikirimkan dalam format HTML. Parameter TUBUH memiliki bentuk:
Tajuk surat mempunyai bentuk umum: <NAMA PENGGUNA>/<NAMA KOMPUTER> <JENIS KONTEN>. Isi surat dan lampirannya tidak dienkripsi.
Interaksi terjadi melalui protokol FTP. File dengan nama ditransfer ke server yang ditentukan <JENIS KONTEN>_<NAMA PENGGUNA>-<NAMA KOMPUTER>_<TANGGAL DAN WAKTU>.html. Isi file tidak dienkripsi.
Algoritma enkripsi
Kasus ini menggunakan metode enkripsi berikut:
Metode 1
Metode ini digunakan untuk mengenkripsi string di modul utama. Algoritma yang digunakan untuk enkripsi adalah AES.
Inputnya adalah angka desimal enam digit. Transformasi berikut dilakukan padanya:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Nilai yang dihasilkan adalah indeks untuk larik data yang disematkan.
Setiap elemen array adalah suatu urutan DWORD. Saat bergabung DWORD diperoleh array byte: 32 byte pertama adalah kunci enkripsi, diikuti oleh 16 byte vektor inisialisasi, dan byte sisanya adalah data terenkripsi.
Metode 2
Algoritma yang digunakan 3DES dalam mode ECB dengan padding dalam seluruh byte (PKCS7).
Kuncinya ditentukan oleh parameter %kunci url%, namun enkripsi menggunakan hash MD5-nya.
Fungsionalitas berbahaya
Sampel yang diteliti menggunakan program berikut untuk mengimplementasikan fungsi jahatnya:
Pencatat Kunci
Jika ada tanda malware yang sesuai, gunakan fungsi WinAPI Setel WindowsHookEx menugaskan pengendalinya sendiri untuk peristiwa penekanan tombol pada keyboard. Fungsi handler dimulai dengan mendapatkan judul jendela yang aktif.
Jika tanda pemfilteran aplikasi disetel, pemfilteran dilakukan bergantung pada jenis yang ditentukan:
- nama program dicari di judul jendela
- nama program dicari di nama proses jendela
Selanjutnya, catatan ditambahkan ke log dengan informasi tentang jendela aktif dalam format:
Kemudian informasi tentang tombol yang ditekan dicatat:
| Kunci | Catatan |
| Backspace | Tergantung pada tanda pemrosesan kunci Backspace: False – {BACK} Benar – menghapus kunci sebelumnya |
| KUNCI HURUF KAPITAL | {KUNCI HURUF KAPITAL} |
| ESC | {ESC} |
| PageUp | {PageUp} |
| Turun | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Spasi | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| AKHIR | {AKHIR} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Kanan | → |
| Up | ↑ |
| F1 | {F1} |
| kiri | ← |
| PageDown | {Halaman bawah} |
| Menyisipkan | {Menyisipkan} |
| menang | {Menang} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {RUMAH} |
| ENTER | {MEMASUKI} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Kunci lainnya | Karakternya dalam huruf besar atau kecil tergantung pada posisi tombol CapsLock dan Shift |
Pada frekuensi tertentu, log yang dikumpulkan dikirim ke server. Jika transfer tidak berhasil, log disimpan ke file %TEMP%log.tmp dalam format:
Saat pengatur waktu menyala, file akan ditransfer ke server.
Pencatat Layar
Pada frekuensi tertentu, malware membuat tangkapan layar dalam format Jpeg dengan makna Kualitas sama dengan 50 dan menyimpannya ke file %APPDATA %<Urutan acak 10 karakter>.jpg. Setelah ditransfer, file tersebut dihapus.
Pencatat Papan Klip
Jika tanda yang sesuai disetel, penggantian dilakukan pada teks yang dicegat sesuai dengan tabel di bawah.
Setelah ini, teks dimasukkan ke dalam log:
Pencuri Kata Sandi
Malware dapat mengunduh kata sandi dari aplikasi berikut:
| Browser | Klien email | klien FTP |
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| YAITU/Tepi | surat rubah | WinSCP |
| Safari | Opera Mail | intiFTP |
| Browser Opera | IncrediMail | Navigator FTP |
| Yandex | email pocom | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Kelelawar | Komandan FTP |
| Khrom | Kotak pos | |
| Obor | ClawsMail | |
| 7Star | ||
| amigo | ||
| Perangkat Lunak Berani | klien jabber | klien VPN |
| Peramban Pusat | Psi/Psi+ | Buka VPN |
| Chedot | ||
| CocCoc | ||
| Peramban Elemen | Pengelola Unduhan | |
| Browser Privasi Epik | Internet Download Manager | |
| Kometa | JDownloader | |
| Orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Browser Flock | ||
| UC Browser | ||
| Elang Hitam | ||
| Rubah Siber | ||
| K-meleon | ||
| kucing es | ||
| Naga Es | ||
| Bulan pucat | ||
| rubah air | ||
| Peramban Falkon |
Penangkal analisis dinamis
- Menggunakan fungsi tersebut tidur. Memungkinkan Anda melewati beberapa kotak pasir berdasarkan batas waktu
- Menghancurkan utas Zona.Identifier. Memungkinkan Anda menyembunyikan fakta mengunduh file dari Internet
- Dalam parameter %filter_daftar% menentukan daftar proses yang akan dihentikan malware dengan interval satu detik
- Memutus koneksi UAC
- Menonaktifkan pengelola tugas
- Memutus koneksi CMD
- Menonaktifkan jendela "Lari"
- Menonaktifkan Panel Kontrol
- Menonaktifkan alat RegEdit
- Menonaktifkan titik pemulihan sistem
- Nonaktifkan menu konteks di Explorer
- Memutus koneksi MSCONFIG
- Jalan pintas UAC:
Fitur tidak aktif dari modul utama
Selama analisis modul utama, fungsi diidentifikasi yang bertanggung jawab untuk menyebar ke seluruh jaringan dan melacak posisi mouse.
Cacing
Peristiwa untuk menghubungkan media yang dapat dipindahkan dipantau di thread terpisah. Saat terhubung, malware dengan nama tersebut disalin ke root sistem file scr.exe, setelah itu mencari file dengan ekstensi lnk. Tim semua orang lnk berubah menjadi cmd.exe /c mulai scr.exe&mulai <perintah asli>& keluar.
Setiap direktori di root media diberi atribut "Tersembunyi" dan sebuah file dibuat dengan ekstensi lnk dengan nama direktori tersembunyi dan perintahnya cmd.exe /c mulai scr.exe&explorer /root,"%CD%<NAMA DIREKTORI>" & keluar.
Pelacak Tikus
Metode untuk melakukan intersepsi mirip dengan yang digunakan pada keyboard. Fungsionalitas ini masih dalam pengembangan.
Aktivitas berkas
| Jalan | Описание |
| %Temp%temp.tmp | Berisi penghitung untuk upaya bypass UAC |
| %startupfolder%%insfolder%%namadalam% | Jalur yang akan ditetapkan ke sistem HPE |
| %Temp%tmpG{Waktu saat ini dalam milidetik}.tmp | Jalur untuk cadangan modul utama |
| %Temp%log.tmp | Berkas catatan |
| %AppData%{Urutan sewenang-wenang sebanyak 10 karakter}.jpeg | Layar |
| C:UsersPublic{Urutan 10 karakter sewenang-wenang}.vbs | Jalur ke file vbs yang dapat digunakan bootloader untuk dilampirkan ke sistem |
| %Temp%{Nama folder khusus}{Nama file} | Jalur yang digunakan oleh bootloader untuk melampirkan dirinya ke sistem |
Profil penyerang
Berkat data autentikasi hardcode, kami dapat memperoleh akses ke pusat komando.
Hal ini memungkinkan kami mengidentifikasi email terakhir para penyerang:
junaid[.]di***@gmail[.]com.
Nama domain pusat komando didaftarkan ke email sg***@gmail[.]com.
Kesimpulan
Selama analisis mendetail terhadap malware yang digunakan dalam serangan tersebut, kami dapat menetapkan fungsinya dan memperoleh daftar terlengkap indikator penyusupan yang relevan dengan kasus ini. Memahami mekanisme interaksi jaringan malware memungkinkan kami memberikan rekomendasi untuk menyesuaikan pengoperasian alat keamanan informasi, serta menulis aturan IDS yang stabil.
Bahaya utama AgenTesla seperti DataStealer yang tidak perlu berkomitmen pada sistem atau menunggu perintah kontrol untuk menjalankan tugasnya. Begitu berada di mesin, ia segera mulai mengumpulkan informasi pribadi dan mentransfernya ke CnC. Perilaku agresif ini dalam beberapa hal mirip dengan perilaku ransomware, dengan satu-satunya perbedaan adalah bahwa ransomware bahkan tidak memerlukan koneksi jaringan. Jika Anda menemukan keluarga ini, setelah membersihkan sistem yang terinfeksi dari malware itu sendiri, Anda harus mengubah semua kata sandi yang, setidaknya secara teori, dapat disimpan di salah satu aplikasi yang tercantum di atas.
Ke depan, katakanlah penyerang mengirim AgenTesla, boot loader awal sangat sering diubah. Hal ini memungkinkan Anda untuk tidak diperhatikan oleh pemindai statis dan penganalisis heuristik pada saat serangan. Dan kecenderungan keluarga ini untuk segera memulai aktivitasnya membuat sistem monitor menjadi tidak berguna. Cara terbaik untuk memerangi AgentTesla adalah analisis awal di kotak pasir.
Pada artikel ketiga seri ini kita akan melihat bootloader lain yang digunakan AgenTesla, dan juga mempelajari proses pembongkaran semi-otomatisnya. Jangan lewatkan!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| pendaftaran |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Nama skrip} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutex
Tidak ada indikator.
File
| Aktivitas berkas |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%namadalam% |
| %Temp%tmpG{Waktu saat ini dalam milidetik}.tmp |
| %Temp%log.tmp |
| %AppData%{Urutan sewenang-wenang sebanyak 10 karakter}.jpeg |
| C:UsersPublic{Urutan 10 karakter sewenang-wenang}.vbs |
| %Temp%{Nama folder khusus}{Nama file} |
Info Sampel
| Nama | tidak diketahui |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Tipe | PE (.NET) |
| Ukuran | 327680 |
| Nama asli | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Cap tanggal | 01.07.2019 |
| Penyusun | VB.NET |
| Nama | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Tipe | PE (.NET DLL) |
| Ukuran | 16896 |
| Nama asli | IELibrary.dll |
| Cap tanggal | 11.10.2016 |
| Penyusun | Microsoft Linker(48.0*) |
Sumber: www.habr.com