🥇הופעה נכשלה: אנחנו מביאים את הסוכן טסלה למים נקיים. חלק 1

לאחרונה יצרן אירופאי של ציוד התקנה חשמלי יצר קשר עם Group-IB - עובדה קיבל בדואר מכתב חשוד עם קובץ מצורף זדוני. איליה פומרנצב, מומחה לניתוח תוכנות זדוניות ב-CERT Group-IB, ביצע ניתוח מפורט של הקובץ הזה, גילה שם את תוכנת הריגול של AgentTesla וסיפר למה לצפות מתוכנות זדוניות כאלה וכיצד היא מסוכנת.

עם הפוסט הזה אנחנו פותחים סדרת מאמרים על איך לנתח קבצים שעלולים להיות מסוכנים כאלה, ואנו מחכים לסקרנים ביותר ב-5 בדצמבר לסמינר אינטרנט אינטראקטיבי בחינם בנושא "ניתוח תוכנות זדוניות: ניתוח מקרים אמיתיים". כל הפרטים נמצאים תחת חתך.

מנגנון הפצה

אנו יודעים שהתוכנה הזדונית הגיעה למחשב של הקורבן באמצעות הודעות דיוג. הנמען של המכתב היה כנראה מוסתר.

מניתוח הכותרות עולה ששולח המכתב זויף. למעשה, המכתב נשאר עם vps56[.]oneworldhosting[.]com.

קובץ האימייל המצורף מכיל ארכיון WinRar qoute_jpeg56a.r15 עם קובץ הפעלה זדוני QOUTE_JPEG56A.exe בְּתוֹך.

מערכת אקולוגית של תוכנות זדוניות

עכשיו בואו נראה איך נראית המערכת האקולוגית של התוכנה הזדונית הנחקרת. התרשים שלהלן מציג את המבנה שלו ואת כיווני האינטראקציה של הרכיבים.

כעת בואו נסתכל על כל אחד ממרכיבי התוכנה הזדונית ביתר פירוט.

מטעין

קובץ מקורי QOUTE_JPEG56A.exe הוא הידור AutoIt v3 תַסרִיט.

כדי לטשטש את התסריט המקורי, ערפל עם דומה PELock AutoIT-Obfuscator מאפיינים.
הסרת הערפול מתבצעת בשלושה שלבים:

הסרת ערפול בשביל אם
הצעד הראשון הוא שחזור זרימת הבקרה של הסקריפט. שיטוח זרימת בקרה היא אחת הדרכים הנפוצות ביותר להגן על קוד בינארי של יישומים מפני ניתוח. טרנספורמציות מבלבלות מגדילות באופן דרמטי את המורכבות של חילוץ וזיהוי אלגוריתמים ומבני נתונים.
שחזור שורות
שתי פונקציות משמשות להצפנת מחרוזות:
- gdorizabegkvfca - מבצע פענוח דמוי Base64
- xgacyukcyzxz - XOR בייט-בייט פשוט של המחרוזת הראשונה באורך השנייה
הסרת ערפול BinaryToString и לבצע

העומס העיקרי מאוחסן בצורה מחולקת בספרייה גופנים חלקי משאבים של הקובץ.

סדר ההדבקה הוא כדלקמן: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

הפונקציה WinAPI משמשת לפענוח הנתונים שחולצו CryptDecrypt, ומפתח ההפעלה שנוצר על סמך הערך משמש כמפתח fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

קובץ ההפעלה המפוענח נשלח לקלט הפונקציה RunPE, אשר מבצעת ProcessInject в RegAsm.exe באמצעות מובנה ShellCode (ידוע גם כ RunPE ShellCode). המחבר שייך למשתמש בפורום הספרדי בלתי ניתן לזיהוי[.]נטו תחת הכינוי Wardow.

ראוי גם לציין שבאחד השרשורים של הפורום הזה, מערפל עבור אוטומטית עם מאפיינים דומים שזוהו במהלך ניתוח המדגם.

את עצמו ShellCode די פשוט ומושך תשומת לב רק בהשאלה מקבוצת ההאקרים AnunakCarbanak. פונקציית גיבוב של קריאת API.

אנו מודעים גם למקרי שימוש Frenchy Shellcode גרסאות שונות.
בנוסף לפונקציונליות המתוארת, זיהינו גם פונקציות לא פעילות:

חסימת סיום תהליך ידני במנהל המשימות
הפעלה מחדש של תהליך צאצא כאשר הוא מסתיים
עוקף את UAC
שמירת המטען לקובץ
הדגמה של חלונות מודאליים
ממתין לשינוי מיקום סמן העכבר
AntiVM ו-AntiSandbox
הרס עצמי
שאיבת מטען מהרשת

אנו יודעים שפונקציונליות כזו אופיינית למגן CypherIT, שהוא, ככל הנראה, טוען האתחול המדובר.

מודול ראשי של תוכנה

לאחר מכן, נתאר בקצרה את המודול הראשי של התוכנה הזדונית, ונשקול אותו ביתר פירוט במאמר השני. במקרה זה, מדובר ביישום על NET..

במהלך הניתוח, גילינו שנעשה שימוש במעורפל ConfuserEX.

IELibrary.dll

הספרייה מאוחסנת כמשאב מודול ראשי והיא תוסף ידוע עבור הסוכן טסלה, המספק פונקציונליות לחילוץ מידע שונים מדפדפני Internet Explorer ו-Edge.

הסוכן טסלה היא תוכנת ריגול מודולרית המופצת באמצעות מודל תוכנה זדונית כשירות במסווה של מוצר keylogger לגיטימי. הסוכן טסלה מסוגל לחלץ ולשדר אישורי משתמש מדפדפנים, לקוחות דואר אלקטרוני ומלקוחות FTP לשרת לתוקפים, להקליט נתוני לוח ולתפוס את מסך המכשיר. בזמן הניתוח, האתר הרשמי של המפתחים לא היה זמין.

נקודת הכניסה היא הפונקציה GetSavedPasswords מחלקה InternetExplorer.

באופן כללי, ביצוע הקוד הוא ליניארי ואינו מכיל הגנה מפני ניתוח. רק הפונקציה הלא ממומשת ראויה לתשומת לב GetSavedCookies. ככל הנראה, הפונקציונליות של התוסף הייתה אמורה להתרחב, אך הדבר מעולם לא נעשה.

חיבור טוען האתחול למערכת

בואו נלמד כיצד מטעין האתחול מחובר למערכת. הדגימה הנחקרת אינה מבצעת עיגון, אך באירועים דומים היא מתרחשת על פי התוכנית הבאה:

בתיקייה C:UsersPublic נוצר סקריפט Visual Basic
דוגמה לסקריפט:
התוכן של קובץ טוען האתחול מרופד בתו ריק ונשמר בתיקייה %Temp%<שם תיקייה מותאמת אישית><שם קובץ>
מפתח הפעלה אוטומטית נוצר ברישום עבור קובץ הסקריפט HKCUSoftwareMicrosoftWindowsCurrentVersionRun<שם סקריפט>

אז, בהתבסס על תוצאות החלק הראשון של הניתוח, הצלחנו לקבוע את שמות המשפחות של כל מרכיבי התוכנה הזדונית הנחקרת, לנתח את דפוס ההדבקה, וגם להשיג אובייקטים לכתיבת חתימות. נמשיך את הניתוח שלנו של אובייקט זה במאמר הבא, שבו נסתכל על המודול הראשי ביתר פירוט הסוכן טסלה. אל תפספסו!

אגב, ב-5 בדצמבר אנו מזמינים את כל הקוראים לסמינר מקוון אינטראקטיבי בחינם בנושא "ניתוח תוכנות זדוניות: ניתוח מקרים אמיתיים", שבו מחבר המאמר, מומחה CERT-GIB, יראה באינטרנט את השלב הראשון של ניתוח תוכנות זדוניות - פריקה חצי אוטומטית של דגימות תוך שימוש בדוגמה של שלושה מיני מקרים אמיתיים מהתרגול, ותוכלו לקחת חלק בניתוח. הוובינר מתאים למומחים שכבר יש להם ניסיון בניתוח קבצים זדוניים. ההרשמה היא אך ורק מהמייל הארגוני: להירשם. מחכה לך!

יערה

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

האש

שם	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
סוּג	ארכיון WinRAR
מידה	823014

שם	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
סוּג	PE (סקריפט AutoIt מורכב)
מידה	1327616
שם מקורי	לא ידוע
חותמת תאריך	15.07.2019
לינקר	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
סוּג	ShellCode
מידה	1474

מקור: www.habr.com

ההצבעה נכשלה: בואו נחשוף את AgentTesla למים נקיים. חלק 1