投票は失敗しました。AgentTesla をきれいな水にさらしましょう。 パート2

マルウェア分析に特化した一連の記事を継続します。で 最初の 一部では、CERT Group-IB のマルウェア分析スペシャリストであるイリヤ ポメランツェフが、ヨーロッパ企業の 1 社からメールで受け取ったファイルの詳細な分析を行い、そこでスパイウェアを発見した方法について説明しました。 エージェントテスラ。この記事では、Ilya がメイン モジュールの段階的な分析の結果を提供します。 エージェントテスラ.

Agent Tesla は、正規のキーロガー製品を装ってサービスとしてのマルウェア モデルを使用して配布されるモジュール式のスパイ ソフトウェアです。 エージェント Tesla は、ブラウザ、電子メール クライアント、および FTP クライアントからユーザー認証情報を抽出してサーバーに送信し、攻撃者に送信し、クリップボード データを記録し、デバイス画面をキャプチャすることができます。 分析時点では、開発者の公式 Web サイトは利用できませんでした。

構成ファイル

以下の表は、使用しているサンプルに適用される機能を示しています。

説明	値
KeyLogger 使用フラグ	true
ScreenLogger 使用フラグ	false
KeyLogger ログの送信間隔 (分単位)	20
ScreenLogger のログ送信間隔 (分単位)	20
バックスペースキー処理フラグ。 False – ログのみ。 True – 前のキーを消去します	false
CNCタイプ。オプション: smtp、webpanel、ftp	SMTP
リスト「%filter_list%」からプロセスを終了するためのスレッド起動フラグ	false
UAC無効フラグ	false
タスクマネージャー無効フラグ	false
CMD無効フラグ	false
実行ウィンドウ無効化フラグ	false
レジストリビューア無効化フラグ	false
システム復元ポイントフラグを無効にする	true
コントロールパネル無効フラグ	false
MSCONFIG 無効フラグ	false
エクスプローラーのコンテキスト メニューを無効にするフラグ	false
ピンフラグ	false
メインモジュールをシステムに固定するときにメインモジュールをコピーするためのパス	%startupfolder% %insfolder%%insname%
システムに割り当てられたメインモジュールの「System」および「Hidden」属性を設定するためのフラグ	false
システムに固定されたときに再起動を実行するフラグ	false
メインモジュールを一時フォルダーに移動するためのフラグ	false
UACバイパスフラグ	false
ロギングの日付と時刻の形式	yyyy-MM-dd HH：mm：ss
KeyLogger のプログラム フィルターを使用するためのフラグ	true
番組フィルタリングの種類。 1 – プログラム名がウィンドウのタイトルから検索されます。 2 – プログラム名はウィンドウのプロセス名で検索されます。	1
プログラムフィルター	"フェイスブック" "ツイッター" 「gmail」 "インスタグラム" "映画" 「スカイプ」 「ポルノ」 "ハック" 「ワッツアップ」 "不和"

メインモジュールをシステムに接続する

対応するフラグが設定されている場合、メイン モジュールは、システムに割り当てられるパスとして構成で指定されたパスにコピーされます。

構成の値に応じて、ファイルには「Hidden」および「System」属性が与えられます。
自動実行は、次の 2 つのレジストリ ブランチによって提供されます。

• HKCU ソフトウェアMicrosoftWindowsCurrentVersionRun%insregname%
• HKCUSOFTWAREMicrosoftWindows現在のバージョンエクスプローラースタートアップ承認済み実行 %insregname%

ブートローダーがプロセスに挿入されるため、 レガズム、メインモジュールの永続フラグを設定すると、非常に興味深い結果が得られます。マルウェアは自分自身をコピーする代わりに、元のファイルをシステムに添付しました。 RegAsm.exe、その間に注射が行われました。

C&C との対話

使用する方法に関係なく、ネットワーク通信は、リソースを使用して被害者の外部 IP を取得することから始まります。 チェック[.]amazonaws[.]com/.
以下に、ソフトウェアで提供されるネットワーク対話方法について説明します。

ウェブパネル

対話は HTTP プロトコル経由で行われます。マルウェアは、次のヘッダーを含む POST リクエストを実行します。

• ユーザーエージェント: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
• 接続：キープアライブ
• コンテンツタイプ: application/x-www-form-urlencoded

サーバーアドレスは値で指定されます %投稿URL%。暗号化されたメッセージはパラメータで送信されます «P»。暗号化メカニズムについてはセクションで説明されています。 「暗号化アルゴリズム」(方法2).

送信されるメッセージは次のようになります。

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

パラメーター type メッセージの種類を示します。

ハード — MD5 ハッシュは、マザーボードのシリアル番号とプロセッサー ID の値から記録されます。ほとんどの場合、ユーザー ID として使用されます。
時間 — 現在の時刻と日付を送信するために機能します。
パソコン名 - として定義 /.
ログデータ — ログデータ。

パスワードを送信するときのメッセージは次のようになります。

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

以下は、盗まれたデータの形式での説明です。 nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.

SMTP

対話は SMTP プロトコル経由で行われます。送信されるレターはHTML形式です。パラメータ BODY の形式は次のとおりです。

レターのヘッダーの一般的な形式は次のとおりです。 / 。レターの内容および添付ファイルは暗号化されません。

対話は FTP プロトコル経由で行われます。という名前のファイルが指定されたサーバーに転送されます _-_.html。ファイルの内容は暗号化されません。

暗号化アルゴリズム

このケースでは、次の暗号化方式が使用されます。

1メソッド

このメソッドは、メイン モジュール内の文字列を暗号化するために使用されます。暗号化に使用されるアルゴリズムは、 AES.

入力は 6 桁の 10 進数です。次の変換がそれに対して実行されます。

f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

結果の値は、埋め込みデータ配列のインデックスです。

配列の各要素はシーケンスです DWORD。合流時 DWORD バイトの配列が取得されます。最初の 32 バイトが暗号化キー、その後に 16 バイトの初期化ベクトル、残りのバイトが暗号化されたデータです。

2メソッド

使用されるアルゴリズム 3DES モードで ECB 全バイトのパディング付き (PKCS7).

キーはパラメータで指定します %urlkey%ただし、暗号化には MD5 ハッシュが使用されます。

悪意のある機能

調査中のサンプルは、次のプログラムを使用して悪意のある機能を実装しています。

KeyLogger

WinAPI関数を使用して、対応するマルウェアフラグがある場合 SetWindowsHookEx キーボード上のキー押下イベントに独自のハンドラーを割り当てます。ハンドラー関数は、アクティブなウィンドウのタイトルを取得することから始まります。

アプリケーション フィルタリング フラグが設定されている場合、指定されたタイプに応じてフィルタリングが実行されます。

1. プログラム名はウィンドウのタイトルから検索されます
2. プログラム名はウィンドウのプロセス名で検索されます。

次に、アクティブなウィンドウに関する情報を含むレコードが次の形式でログに追加されます。

次に、押されたキーに関する情報が記録されます。

キー	記録
バックスペース	Backspace キーの処理フラグに応じて: False – {BACK} True – 前のキーを消去します
キャップスロック	{キャップスロック}
ESC	{ESC}
PageUpキー	{ページアップ}
Down	↓
DELETE	{デル}
「	「
F5	{F5}
&	と
F10	{F10}
TAB	{タブ}
<	<
>	>
スペースバー
F8	{F8}
F12	{F12}
F9	{F9}
Alt + Tab	{ALT+TAB}
終わり	{終わり}
F4	{F4}
F2	{F2}
CTRL	{CTRL}
F6	{F6}
右	→
Up	↑
F1	{F1}
左	←
PageDownキー	{ページダウン}
インセット	{入れる}
Win	{勝つ}
NumLockキー	{NumLock}
F11	{F11}
F3	{F3}
ホーム	{家}
ENTER	{入力}
ALT + F4	{ALT+F4}
F7	{F7}
その他のキー	CapsLock キーと Shift キーの位置に応じて、文字は大文字または小文字になります。

収集されたログは、指定された頻度でサーバーに送信されます。転送が失敗した場合、ログはファイルに保存されます %TEMP%log.tmp 形式:

タイマーが作動すると、ファイルがサーバーに転送されます。

スクリーンロガー

指定された頻度で、マルウェアは次の形式でスクリーンショットを作成します。 Jpegか 意味のある 品質 50 に等しいのでファイルに保存します %APPDATA %.jpg。転送後、ファイルは削除されます。

クリップボードロガー

適切なフラグが設定されている場合、次の表に従って、インターセプトされたテキストの置換が行われます。

この後、テキストがログに挿入されます。

パスワードスティーラー

このマルウェアは、次のアプリケーションからパスワードをダウンロードできます。

ブラウザ	メールクライアント	FTPクライアント
クロム	Outlook	FileZillaを
Firefoxの	サンダーバード	WS_FTP
IE/エッジ	Foxmailの	WinSCPの
Safari	オペラメール	CoreFTP
Operaブラウザ	IncrediMailの	FTPナビゲーター
Yandexの	ポコメール	のFlashFXP
コモド	ユードラ	SmartFTPの
クロムプラス	バット	FTPコマンダー
クロム	郵便ポスト
トーチ	爪メール
7Star
アミーゴ
ブレイブソフトウェア	Jabber クライアント	VPNクライアント
セントブラウザ	サイ/サイ+	オープンVPN
チェドット
コッコク
要素ブラウザ	ダウンロードマネージャー
エピックプライバシーブラウザ	インターネットのダウンロードマネージャ
コメタ	JDownloader
軌道
スプートニク
uCozMedia
ビバルディ
SeaMonkeyの
フロックブラウザ
UCのブラウザ
ブラックホーク
サイバーフォックス
Kメレオン
アイスキャット
Icedragon
ペールムーン
ウォーターフォックス
ファルコンブラウザ

動的解析への対抗

• 機能の使用 スリープ。タイムアウトによって一部のサンドボックスをバイパスできるようにします
• スレッドの破棄 ゾーン.識別子。インターネットからファイルをダウンロードしたという事実を隠すことができます
• パラメータで %filter_list% マルウェアが 1 秒間隔で終了するプロセスのリストを指定します
• 切断 UAC
• タスクマネージャーを無効にする
• 切断 CMD
• ウィンドウを無効にする "走る"
• コントロールパネルを無効にする
• ツールを無効にする RegEditを
• システムの復元ポイントを無効にする
• エクスプローラーのコンテキスト メニューを無効にする
• 切断 MSCONFIG
• バイパス UAC:

メインモジュールの非アクティブな機能

メインモジュールの分析中に、ネットワーク全体に拡散し、マウスの位置を追跡する機能を特定しました。

ワーム

リムーバブル メディアを接続するためのイベントは、別のスレッドで監視されます。接続すると、その名前のマルウェアがファイル システムのルートにコピーされます scr.exe、その後、拡張子が付いているファイルを検索します LNK。みんなのチーム LNK に変わる cmd.exe /c start scr.exe&start & exit.

メディアのルートにある各ディレクトリには属性が与えられます。 "隠れた" 拡張子が付いているファイルが作成されます LNK 隠しディレクトリの名前とコマンド cmd.exe /c start scr.exe&explorer /root,"%CD%" & 終了.

マウストラッカー

インターセプトを実行する方法は、キーボードで使用される方法と似ています。この機能はまだ開発中です。

ファイルアクティビティ

パス	説明
%Temp%temp.tmp	UAC バイパス試行のカウンターが含まれています
%startupfolder%%insfolder%%insname%	HPE システムに割り当てるパス
%Temp%tmpG{ミリ秒単位の現在の時刻}.tmp	メインモジュールのバックアップパス
%Temp%log.tmp	ログファイル
%AppData%{任意の 10 文字のシーケンス}.jpeg	スクリーンショット
C:UsersPublic{10 文字の任意のシーケンス}.vbs	ブートローダーがシステムに接続するために使用できる vbs ファイルへのパス
%Temp%{カスタムフォルダー名}{ファイル名}	ブートローダーがシステムに接続するために使用するパス

攻撃者のプロフィール

ハードコードされた認証データのおかげで、コマンド センターにアクセスすることができました。

これにより、攻撃者の最終的な電子メールを特定することができました。

junaid[.]in***@gmail[.]com.

コマンドセンターのドメイン名がメールに登録されます sg***@gmail[.]com.

まとめ

攻撃に使用されたマルウェアを詳細に分析した結果、その機能を確立し、このケースに関連する侵害の痕跡の最も完全なリストを取得することができました。マルウェア間のネットワーク相互作用のメカニズムを理解することで、情報セキュリティ ツールの動作を調整するための推奨事項を提示したり、安定した IDS ルールを作成したりできるようになりました。

主な危険 エージェントテスラ システムにコミットしたり、制御コマンドがタスクを実行するのを待つ必要がないという点で DataStealer と同様です。マシンに接続されると、すぐに個人情報の収集が開始され、それが CnC に転送されます。この攻撃的な動作は、ある意味でランサムウェアの動作に似ていますが、唯一の違いは、後者はネットワーク接続さえ必要としないことです。このファミリーに遭遇した場合は、感染したシステムからマルウェア自体を駆除した後、少なくとも理論的には上記のアプリケーションのいずれかに保存されている可能性のあるすべてのパスワードを必ず変更する必要があります。

今後のことを考えて、攻撃者が次のようなメッセージを送信したとします。 エージェントテスラ、初期ブートローダーは非常に頻繁に変更されます。これにより、攻撃時に静的スキャナーやヒューリスティック アナライザーに気づかれずに済みます。そして、この家族はす​​ぐに活動を開始する傾向があるため、システムモニターは役に立ちません。 AgentTesla に対抗する最善の方法は、サンドボックスでの予備分析です。

このシリーズの 3 回目の記事では、使用されている他のブートローダーについて見ていきます。 エージェントテスラ、また、半自動解凍のプロセスも研究します。お見逃しなく！

ハッシュ

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C＆C

URL

sina-c0m[.]icu

smtp[.]sina-c0m[.]icu

登録キー

レジストリ

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{スクリプト名}

HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname%

HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname%

ミューテックス

指標はありません。

ファイルアクティビティ

%Temp%temp.tmp

%startupfolder%%insfolder%%insname%

%Temp%tmpG{ミリ秒単位の現在の時刻}.tmp

%Temp%log.tmp

%AppData%{任意の 10 文字のシーケンス}.jpeg

C:UsersPublic{10 文字の任意のシーケンス}.vbs

%Temp%{カスタムフォルダー名}{ファイル名}

サンプル情報

名前	未知の
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
タイプ	PE (.NET)
サイズ	327680
元の名前	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
日付スタンプ	01.07.2019
コンパイラ	VB.NET

名前	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
タイプ	PE (.NET DLL)
サイズ	16896
元の名前	IELibrary.dll
日付スタンプ	11.10.2016
コンパイラ	Microsoft リンカー(48.0*)

出所： habr.com