Nýlega hafði evrópskur framleiðandi rafmagnsbúnaðar samband við Group-IB - starfsmaður þess fékk grunsamlegt bréf með illgjarnri viðhengi í pósti. Ilya Pomerantsev, sérfræðingur í greiningum á spilliforritum hjá CERT Group-IB, framkvæmdi ítarlega greiningu á þessari skrá, uppgötvaði AgentTesla njósnahugbúnaðinn þar og sagði við hverju má búast af slíkum spilliforritum og hvernig hann er hættulegur.
Með þessari færslu erum við að opna röð greina um hvernig á að greina slíkar hugsanlegar hættulegar skrár og við bíðum eftir þeim forvitnustu 5. desember eftir ókeypis gagnvirku vefnámskeiði um efnið „Gengslaforrit: Greining á raunverulegum tilfellum“. Öll smáatriði eru undir skurðinum.
Dreifingarkerfi
Við vitum að spilliforritið barst til vél fórnarlambsins með vefveiðum. Viðtakandi bréfsins var sennilega falinn.
Greining á hausunum sýnir að sendandi bréfsins var falsaður. Raunar fór bréfið eftir með vps56[.]oneworldhosting[.]com.
Tölvupóstviðhengið inniheldur WinRar skjalasafn qoute_jpeg56a.r15 með illgjarn keyrsluskrá QOUTE_JPEG56A.exe inni.
Malware vistkerfi
Nú skulum við sjá hvernig vistkerfi spilliforritsins sem verið er að rannsaka lítur út. Skýringarmyndin hér að neðan sýnir uppbyggingu þess og víxlverkunarstefnu íhlutanna.
Nú skulum við skoða hvern og einn spilliforrit nánar.
Hleðslutæki
Upprunaleg skrá QOUTE_JPEG56A.exe er tekið saman AutoIt v3 handrit.
Til að hylja upprunalega handritið, obfuscator með svipað PELock AutoIT-Obfuscator einkenni.
Hreinsun fer fram í þremur áföngum:
- Fjarlægir þoku Fyrir-Ef
Fyrsta skrefið er að endurheimta stjórnflæði handritsins. Control Flow Flattening er ein algengasta leiðin til að vernda tvöfaldur kóða forrits fyrir greiningu. Ruglandi umbreytingar auka verulega flókið útdráttur og þekkja reiknirit og gagnauppbyggingu.
- Röð bati
Tvær aðgerðir eru notaðar til að dulkóða strengi:
- gdorizabegkvfca - Framkvæmir Base64-líka afkóðun
- xgacyukcyzxz - einfalt bæti-bæti XOR af fyrsta strengnum með lengd seinni
- gdorizabegkvfca - Framkvæmir Base64-líka afkóðun
- Fjarlægir þoku BinaryToString и Keyra
Aðalálagið er geymt í skiptu formi í skránni Skírnarfontur auðlindahluta skráarinnar.
Límunarröðin er sem hér segir: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI aðgerðin er notuð til að afkóða útdregnu gögnin CryptDecrypt, og lotulykillinn sem myndaður er út frá gildinu er notaður sem lykill fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Afkóðuðu keyrsluskráin er send í aðgerðainntakið RunPE, sem framkvæmir ProcessInject в RegAsm.exe með því að nota innbyggða ShellCode (líka þekkt sem RunPE ShellCode). Höfundarréttur tilheyrir notanda spænska spjallborðsins ógreinanlegar[.]net undir gælunafninu Wardow.
Það er líka rétt að taka fram að í einum af þráðum þessa spjallborðs, obfuscator fyrir Við þakið með svipaða eiginleika sem komu fram við sýnisgreiningu.
Sjálfur ShellCode frekar einfalt og vekur athygli aðeins fengið að láni frá tölvuþrjótahópnum AnunakCarbanak. API kalla hashing virka.
Við erum líka meðvituð um notkunartilvik Frenchy Shellcode mismunandi útgáfur.
Til viðbótar við lýst virkni, greindum við einnig óvirkar aðgerðir:
- Lokun handvirkrar ferlis í verkefnastjóra
- Að endurræsa barnaferli þegar því lýkur
- Framhjá UAC
- Að vista farminn í skrá
- Sýning á modal gluggum
- Beðið eftir að staðsetning músarbendils breytist
- AntiVM og AntiSandbox
- Sjálfseyðing
- Dæla hleðslu frá netinu
Við vitum að slík virkni er dæmigerð fyrir verndarann CypherIT, sem greinilega er ræsiforritið sem um ræðir.
Aðaleining hugbúnaðar
Næst munum við lýsa í stuttu máli aðaleiningu spilliforritsins og íhuga hana nánar í annarri greininni. Í þessu tilviki er um að ræða umsókn á . NET.
Við greininguna komumst við að því að hyljari var notaður ConfuserEX.
IELibrary.dll
Bókasafnið er geymt sem aðaleiningaauðlind og er vel þekkt viðbót fyrir Umboðsmaður Tesla, sem veitir virkni til að draga út ýmsar upplýsingar úr Internet Explorer og Edge vöfrum.
Agent Tesla er mát njósnahugbúnaður sem er dreift með því að nota malware-as-a-service líkan í skjóli lögmætrar keylogger vöru. Umboðsmaður Tesla er fær um að draga út og senda notendaskilríki úr vöfrum, tölvupóstforritum og FTP-biðlara til netþjónsins til árásarmanna, taka upp klemmuspjaldsgögn og fanga skjá tækisins. Við greiningu var opinber vefsíða þróunaraðila ekki tiltæk.
Inngangspunkturinn er fallið Get SavedPasswords flokki InternetExplorer.
Almennt séð er keyrsla kóða línuleg og inniheldur enga vörn gegn greiningu. Aðeins óverjandi aðgerðin á skilið athygli Get Saved Cookies. Eins og gefur að skilja átti að auka virkni viðbótarinnar en það var aldrei gert.
Að tengja ræsiforritið við kerfið
Við skulum rannsaka hvernig ræsiforritið er tengt við kerfið. Sýnið sem er rannsakað festist ekki, en í svipuðum tilvikum gerist það samkvæmt eftirfarandi kerfi:
- Í möppu C: UsersPublic handrit er búið til Visual Basic
Dæmi um handrit:
- Innihald ræsiforritaskrárinnar er fyllt með núllstaf og vistað í möppunni %Temp%
- Sjálfvirk keyrsla er búin til í skránni fyrir handritaskrána HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Þannig að, byggt á niðurstöðum fyrsta hluta greiningarinnar, gátum við komið á fót nöfnum fjölskyldna allra íhluta spilliforritsins sem verið er að rannsaka, greina sýkingarmynstrið og einnig fá hluti til að skrifa undirskriftir. Við munum halda áfram greiningu okkar á þessum hlut í næstu grein, þar sem við munum skoða aðaleininguna nánar Umboðsmaður Tesla. Ekki missa af!
Við the vegur, þann 5. desember bjóðum við öllum lesendum á ókeypis gagnvirkt vefnámskeið um efnið „Greining á spilliforritum: greining á raunverulegum tilfellum“, þar sem höfundur þessarar greinar, CERT-GIB sérfræðingur, mun sýna á netinu fyrsta stig af malware greining - hálfsjálfvirk niðurpakkning á sýnum með því að nota dæmi um þrjú alvöru smámál úr æfingu og þú getur tekið þátt í greiningunni. Vefnámskeiðið hentar sérfræðingum sem þegar hafa reynslu af að greina skaðlegar skrár. Skráning er eingöngu frá fyrirtækjapósti: . Bíð eftir þér!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
Hass
| heiti | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| Gerð | Geymdu WinRAR |
| Size | 823014 |
| heiti | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| Gerð | PE (Compiled AutoIt Script) |
| Size | 1327616 |
| Upprunalegt nafn | Óþekkt |
| DateStamp | 15.07.2019 |
| Linker | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| Gerð | ShellCode |
| Size | 1474 |
Heimild: www.habr.com