投票は失敗しました。AgentTesla をきれいな水にさらしましょう。 パート1

最近、ヨーロッパの電気設備機器メーカーが Group-IB に連絡しました。同社の従業員は、悪意のある添付ファイルが付いた不審な手紙を郵便で受け取りました。 イリヤ・ポメランツェフCERT Group-IB のマルウェア分析スペシャリストである は、このファイルの詳細な分析を実施し、そこで AgentTesla スパイウェアを発見し、そのようなマルウェアから何が予想されるか、そしてそれがどのように危険であるかを伝えました。

この投稿で、このような潜在的に危険なファイルを分析する方法に関する一連の記事を開始します。5 月 XNUMX 日には、このテーマに関する無料のインタラクティブなウェビナーが開催されますので、最も興味のある方をお待ちしています。 「マルウェア分析: 実際の事例の分析」。 すべての詳細はカットの下にあります。

配布メカニズム

このマルウェアはフィッシングメールを介して被害者のマシンに到達したことがわかっています。 手紙の受信者はおそらく BCC で送信されたと思われます。

ヘッダーを分析すると、手紙の送信者がなりすまされていたことがわかります。 実際、手紙にはこう書かれていました vps56[.]oneworldhosting[.]com.

電子メールの添付ファイルには WinRar アーカイブが含まれています qoute_jpeg56a.r15 悪意のある実行可能ファイルを含む QOUTE_JPEG56A.exe 中身。

マルウェアのエコシステム

次に、調査対象のマルウェアのエコシステムがどのようなものかを見てみましょう。 以下の図は、その構造とコンポーネントの相互作用の方向を示しています。

次に、マルウェアの各コンポーネントを詳しく見てみましょう。

ローダ

元のファイル QOUTE_JPEG56A.exe コンパイルされたものです AutoIt v3 脚本。

元のスクリプトを難読化するには、同様の難読化ツールを使用します。 PELock AutoIT-難読化ツール 特性
難読化解除は XNUMX つの段階で実行されます。

1. 難読化の解除 もしの場合

   最初のステップは、スクリプトの制御フローを復元することです。 制御フローの平坦化は、アプリケーションのバイナリ コードを分析から保護する最も一般的な方法の XNUMX つです。 混乱を招く変換により、アルゴリズムとデータ構造の抽出と認識の複雑さが大幅に増加します。

   

2. 行の回復

   文字列の暗号化には XNUMX つの関数が使用されます。

   • gdrizabegkvfca - Base64 のようなデコードを実行します

     

   • xgacyukcyzxz - 最初の文字列と XNUMX 番目の長さの単純なバイトバイト XOR

     

   

3. 難読化の解除 バイナリから文字列へ и 実行する

   

メインロードはディレクトリに分割して保存されます フォント ファイルのリソースセクション。

貼り付ける順番は以下の通りです。 TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

抽出されたデータを復号化するために WinAPI 関数が使用されます 暗号解読、値に基づいて生成されたセッション キーがキーとして使用されます。 fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

復号化された実行可能ファイルは関数入力に送信されます。 RunPEを実行します。 プロセスインジェクト в RegAsm.exe 組み込みを使用する シェルコード （としても知られている RunPE シェルコード）。 著者はスペイン語フォーラムのユーザーに属します 検出不能[.]ネット ウォードーというあだ名で。

このフォーラムのスレッドの XNUMX つで、 AutoItの サンプル分析中に同様の特性が確認されました。

彼自身 シェルコード 非常にシンプルで注目を集めているのは、ハッカー グループ AnunakCarbanak から借用したものだけです。 API呼び出しのハッシュ関数。

ユースケースも認識しています フレンチーシェルコード 異なるバージョン。
説明した機能に加えて、非アクティブな機能も特定しました。

• タスクマネージャーでの手動プロセス終了のブロック

  

• 子プロセスが終了したときに子プロセスを再起動する

  

• UAC をバイパスする

  

• ペイロードをファイルに保存する

  

• モーダルウィンドウのデモンストレーション

  

• マウスカーソルの位置が変わるのを待っています

  

• AntiVM と AntiSandbox

  

• 自己破壊

  

• ネットワークからペイロードをポンピングする

  

このような機能はプロテクターに典型的なものであることを私たちは知っています サイファーIT、どうやら問題のブートローダーです。

ソフトウェアのメインモジュール

次に、マルウェアの主要モジュールについて簡単に説明し、XNUMX 番目の記事でさらに詳しく考察します。 この場合、それは上のアプリケーションです .NET.

分析中に、難読化ツールが使用されていることが判明しました コンフューザーEX.

IELibrary.dll

ライブラリはメイン モジュール リソースとして保存され、よく知られたプラグインです。 エージェントテスラ、Internet Explorer および Edge ブラウザーからさまざまな情報を抽出する機能を提供します。

Agent Tesla は、正規のキーロガー製品を装ってサービスとしてのマルウェア モデルを使用して配布されるモジュール式のスパイ ソフトウェアです。 エージェント Tesla は、ブラウザ、電子メール クライアント、および FTP クライアントからユーザー認証情報を抽出してサーバーに送信し、攻撃者に送信し、クリップボード データを記録し、デバイス画面をキャプチャすることができます。 分析時点では、開発者の公式 Web サイトは利用できませんでした。

エントリポイントは関数です 保存されたパスワードを取得する クラス InternetExplorer。

一般に、コードの実行は直線的であり、分析に対する保護は含まれていません。 未実現の機能のみが注目に値する GetSavedCookies。 どうやら、プラグインの機能が拡張されるはずでしたが、拡張されることはありませんでした。

ブートローダーをシステムに接続する

ブートローダーがどのようにシステムに接続されるかを調べてみましょう。 研究中の標本は固定されていませんが、同様のイベントでは次のスキームに従って固定されます。

1. フォルダー内 C:ユーザーパブリック スクリプトが作成されます ビジュアルベーシック

   スクリプトの例:

   

2. ブートローダー ファイルの内容はヌル文字で埋められ、フォルダーに保存されます。 %Temp%<カスタムフォルダー名><ファイル名>
3. 自動実行キーがスクリプト ファイルのレジストリに作成されます HKCUSoftwareMicrosoftWindowsCurrentVersionRun<スクリプト名>

そのため、分析の最初の部分の結果に基づいて、調査対象のマルウェアのすべてのコンポーネントのファミリーの名前を特定し、感染パターンを分析し、署名を書き込むためのオブジェクトも取得することができました。 次の記事でこのオブジェクトの分析を続け、メイン モジュールをさらに詳しく見ていきます。 エージェントテスラ。 お見逃しなく！

ちなみに、5 月 XNUMX 日には、すべての読者を「マルウェアの分析: 実際のケースの分析」というテーマの無料インタラクティブ ウェビナーに招待します。そこでは、この記事の著者である CERT-GIB スペシャリストが、マルウェアの最初の段階をオンラインで紹介します。マルウェア分析 - 実際の XNUMX つの実際のミニケースの例を使用してサンプルを半自動的に解凍し、分析に参加できます。 このウェビナーは、悪意のあるファイルの分析にすでに経験がある専門家に適しています。 登録は企業メールからのみ行われます。 зарегистрируйтесь。 あなたを待っています！

屋良

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

ハッシュ

名前	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
タイプ	WinRAR をアーカイブする
サイズ	823014

名前	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
タイプ	PE (コンパイル済み AutoIt スクリプト)
サイズ	1327616
元の名前	未知の
日付スタンプ	15.07.2019
リンクス	Microsoft リンカー(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
タイプ	シェルコード
サイズ	1474

出所： habr.com