ProHoster > Blog > netfréttir > Kjörsókn mistókst: við skulum útsetja AgentTesla fyrir hreinu vatni. 1. hluti
Kjörsókn mistókst: við skulum útsetja AgentTesla fyrir hreinu vatni. 1. hluti
Nýlega hafði evrópskur framleiðandi rafmagnsbúnaðar samband við Group-IB - starfsmaður þess fékk grunsamlegt bréf með illgjarnri viðhengi í pósti. Ilya Pomerantsev, sérfræðingur í greiningum á spilliforritum hjá CERT Group-IB, framkvæmdi ítarlega greiningu á þessari skrá, uppgötvaði AgentTesla njósnahugbúnaðinn þar og sagði við hverju má búast af slíkum spilliforritum og hvernig hann er hættulegur.
Með þessari færslu erum við að opna röð greina um hvernig á að greina slíkar hugsanlegar hættulegar skrár og við bíðum eftir þeim forvitnustu 5. desember eftir ókeypis gagnvirku vefnámskeiði um efnið „Gengslaforrit: Greining á raunverulegum tilfellum“. Öll smáatriði eru undir skurðinum.
Dreifingarkerfi
Við vitum að spilliforritið barst til vél fórnarlambsins með vefveiðum. Viðtakandi bréfsins var sennilega falinn.
Greining á hausunum sýnir að sendandi bréfsins var falsaður. Raunar fór bréfið eftir með vps56[.]oneworldhosting[.]com.
Tölvupóstviðhengið inniheldur WinRar skjalasafn qoute_jpeg56a.r15 með illgjarn keyrsluskrá QOUTE_JPEG56A.exe inni.
Malware vistkerfi
Nú skulum við sjá hvernig vistkerfi spilliforritsins sem verið er að rannsaka lítur út. Skýringarmyndin hér að neðan sýnir uppbyggingu þess og víxlverkunarstefnu íhlutanna.
Nú skulum við skoða hvern og einn spilliforrit nánar.
Hleðslutæki
Upprunaleg skrá QOUTE_JPEG56A.exe er tekið saman AutoIt v3 handrit.
Til að hylja upprunalega handritið, obfuscator með svipað PELock AutoIT-Obfuscator einkenni.
Hreinsun fer fram í þremur áföngum:
Fjarlægir þoku Fyrir-Ef
Fyrsta skrefið er að endurheimta stjórnflæði handritsins. Control Flow Flattening er ein algengasta leiðin til að vernda tvöfaldur kóða forrits fyrir greiningu. Ruglandi umbreytingar auka verulega flókið útdráttur og þekkja reiknirit og gagnauppbyggingu.
Röð bati
Tvær aðgerðir eru notaðar til að dulkóða strengi:
gdorizabegkvfca - Framkvæmir Base64-líka afkóðun
xgacyukcyzxz - einfalt bæti-bæti XOR af fyrsta strengnum með lengd seinni
Fjarlægir þoku BinaryToString и Keyra
Aðalálagið er geymt í skiptu formi í skránni Skírnarfontur auðlindahluta skráarinnar.
Límunarröðin er sem hér segir: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI aðgerðin er notuð til að afkóða útdregnu gögnin CryptDecrypt, og lotulykillinn sem myndaður er út frá gildinu er notaður sem lykill fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Afkóðuðu keyrsluskráin er send í aðgerðainntakið RunPE, sem framkvæmir ProcessInject в RegAsm.exe með því að nota innbyggða ShellCode (líka þekkt sem RunPE ShellCode). Höfundarréttur tilheyrir notanda spænska spjallborðsins ógreinanlegar[.]net undir gælunafninu Wardow.
Það er líka rétt að taka fram að í einum af þráðum þessa spjallborðs, obfuscator fyrir Við þakið með svipaða eiginleika sem komu fram við sýnisgreiningu.
Sjálfur ShellCode frekar einfalt og vekur athygli aðeins fengið að láni frá tölvuþrjótahópnum AnunakCarbanak. API kalla hashing virka.
Við erum líka meðvituð um notkunartilvik Frenchy Shellcode mismunandi útgáfur.
Til viðbótar við lýst virkni, greindum við einnig óvirkar aðgerðir:
Lokun handvirkrar ferlis í verkefnastjóra
Að endurræsa barnaferli þegar því lýkur
Framhjá UAC
Að vista farminn í skrá
Sýning á modal gluggum
Beðið eftir að staðsetning músarbendils breytist
AntiVM og AntiSandbox
Sjálfseyðing
Dæla hleðslu frá netinu
Við vitum að slík virkni er dæmigerð fyrir verndarann CypherIT, sem greinilega er ræsiforritið sem um ræðir.
Aðaleining hugbúnaðar
Næst munum við lýsa í stuttu máli aðaleiningu spilliforritsins og íhuga hana nánar í annarri greininni. Í þessu tilviki er um að ræða umsókn á . NET.
Við greininguna komumst við að því að hyljari var notaður ConfuserEX.
IELibrary.dll
Bókasafnið er geymt sem aðaleiningaauðlind og er vel þekkt viðbót fyrir Umboðsmaður Tesla, sem veitir virkni til að draga út ýmsar upplýsingar úr Internet Explorer og Edge vöfrum.
Agent Tesla er mát njósnahugbúnaður sem er dreift með því að nota malware-as-a-service líkan í skjóli lögmætrar keylogger vöru. Umboðsmaður Tesla er fær um að draga út og senda notendaskilríki úr vöfrum, tölvupóstforritum og FTP-biðlara til netþjónsins til árásarmanna, taka upp klemmuspjaldsgögn og fanga skjá tækisins. Við greiningu var opinber vefsíða þróunaraðila ekki tiltæk.
Inngangspunkturinn er fallið Get SavedPasswords flokki InternetExplorer.
Almennt séð er keyrsla kóða línuleg og inniheldur enga vörn gegn greiningu. Aðeins óverjandi aðgerðin á skilið athygli Get Saved Cookies. Eins og gefur að skilja átti að auka virkni viðbótarinnar en það var aldrei gert.
Að tengja ræsiforritið við kerfið
Við skulum rannsaka hvernig ræsiforritið er tengt við kerfið. Sýnið sem er rannsakað festist ekki, en í svipuðum tilvikum gerist það samkvæmt eftirfarandi kerfi:
Í möppu C: UsersPublic handrit er búið til Visual Basic
Dæmi um handrit:
Innihald ræsiforritaskrárinnar er fyllt með núllstaf og vistað í möppunni %Temp%
Sjálfvirk keyrsla er búin til í skránni fyrir handritaskrána HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Þannig að, byggt á niðurstöðum fyrsta hluta greiningarinnar, gátum við komið á fót nöfnum fjölskyldna allra íhluta spilliforritsins sem verið er að rannsaka, greina sýkingarmynstrið og einnig fá hluti til að skrifa undirskriftir. Við munum halda áfram greiningu okkar á þessum hlut í næstu grein, þar sem við munum skoða aðaleininguna nánar Umboðsmaður Tesla. Ekki missa af!
Við the vegur, þann 5. desember bjóðum við öllum lesendum á ókeypis gagnvirkt vefnámskeið um efnið „Greining á spilliforritum: greining á raunverulegum tilfellum“, þar sem höfundur þessarar greinar, CERT-GIB sérfræðingur, mun sýna á netinu fyrsta stig af malware greining - hálfsjálfvirk niðurpakkning á sýnum með því að nota dæmi um þrjú alvöru smámál úr æfingu og þú getur tekið þátt í greiningunni. Vefnámskeiðið hentar sérfræðingum sem þegar hafa reynslu af að greina skaðlegar skrár. Skráning er eingöngu frá fyrirtækjapósti: skrá sig. Bíð eftir þér!