投票は失敗しました。AgentTesla をきれいな水にさらしましょう。 パート3

この記事で、悪意のあるソフトウェアの分析に特化した一連の出版物が完了します。 で 最初の部分 ヨーロッパの企業がメールで受け取った感染ファイルを詳細に分析したところ、AgentTesla スパイウェアが発見されました。 で 第2部分 メインの AgentTesla モジュールの段階的な分析の結果について説明しました。

本日は、CERT Group-IB のマルウェア分析スペシャリストである Ilya Pomerantsev が、CERT Group-IB スペシャリストの実践から得た XNUMX つのミニケースの例を使用して、マルウェア分析の第 XNUMX 段階である AgentTesla サンプルの半自動解凍についてお話します。

通常、マルウェア分析の最初の段階は、パッカー、クリプター、プロテクター、またはローダーの形式での保護を削除することです。 ほとんどの場合、この問題はマルウェアを実行してダンプを実行することで解決できますが、この方法が適さない状況もあります。 たとえば、マルウェアが暗号化プログラムである場合、メモリ領域がダンプされないように保護している場合、コードに仮想マシン検出メカニズムが含まれている場合、またはマルウェアが起動直後に再起動する場合などです。 このような場合、いわゆる「半自動」解凍が使用されます。つまり、研究者はプロセスを完全に制御し、いつでも介入できます。 AgentTesla ファミリの XNUMX つのサンプルを例として使用して、この手順を検討してみましょう。 これは、ネットワーク アクセスを無効にすれば、比較的無害なマルウェアです。

サンプルNo.1

ソース ファイルは、脆弱性 CVE-2017-11882 を悪用する MS Word ドキュメントです。

その結果、ペイロードがダウンロードされて起動されます。

プロセス ツリーと動作マーカーの分析により、プロセスへの注入が示される RegAsm.exe.

AgentTesla に特徴的な行動マーカーがあります。

ダウンロードしたサンプルは実行可能なサンプルです .NET-プロテクターで保護されたファイル .NETリアクター.

ユーティリティで開いてみましょう dnSpy x86 そしてエントリーポイントへ移動します。

関数会に行くことで 日付時刻オフセット、新しいものの初期化コードが見つかります。 .NET-モジュール。 入れましょう ブレークポイント 興味のある行でファイルを実行します。

返されたバッファーの XNUMX つで、MZ 署名 (0x4D 0x5A）。 保存しましょう。

ダンプされた実行可能ファイルは、ローダーである動的ライブラリです。 リソースセクションからペイロードを抽出して起動します。

同時に、必要なリソース自体がダンプ内に存在しません。 それらは親サンプルにあります。

ユーティリティ dnスパイ には、XNUMX つの関連ファイルから「フランケンシュタイン」をすばやく作成するのに役立つ XNUMX つの非常に便利な機能があります。

1. XNUMX つ目では、ダイナミック ライブラリを親サンプルに「貼り付ける」ことができます。

   

2. XNUMX つ目は、挿入されたダイナミック ライブラリの目的のメソッドを呼び出すようにエントリ ポイントの関数コードを書き換えることです。

   

私たちは「フランケンシュタイン」を保存します、セット ブレークポイント 復号化されたリソースを含むバッファを返す行で、前の段階と同様にダンプを生成します。

XNUMX 番目のダンプは次のように書き込まれます。 VB.NET 私たちに馴染みのあるプロテクターによって保護された実行可能ファイル コンフューザーエクス.

プロテクターを削除した後、以前に作成した YARA ルールを使用して、解凍されたマルウェアが本当に AgentTesla であることを確認します。

サンプルNo.2

ソース ファイルは MS Excel ドキュメントです。 組み込みマクロにより、悪意のあるコードが実行されます。

その結果、PowerShell スクリプトが起動されます。

スクリプトは C# コードを復号化し、制御をそれに渡します。 サンドボックス レポートからもわかるように、コード自体はブートローダーです。

ペイロードは実行可能ファイルです .NET-ファイル。

ファイルを開くと、 dnSpy x86、難読化されていることがわかります。 ユーティリティを使用して難読化を削除する de4dot そして分析に戻ります。

コードを調べると、次の関数が見つかるかもしれません。

エンコードされたラインが印象的 エントリーポイント и 呼び出します。 置きます ブレークポイント 最初の行に移動し、実行してバッファ値を保存します バイト_0.

ダンプは再びアプリケーションです .NET そして保護されました コンフューザーエクス.

を使用して難読化を削除します de4dot にアップロードしてください dnスパイ。 ファイルの説明から、次のような問題に直面していることがわかります。 CyaX-Sharp ローダー.

このローダーには、広範な分析防止機能が備わっています。

この機能には、組み込みの Windows 保護システムのバイパス、Windows Defender の無効化、サンドボックスおよび仮想マシンの検出メカニズムが含まれます。 ペイロードをネットワークからロードしたり、リソース セクションに保存したりすることができます。 起動は、独自のプロセス、独自のプロセスの複製、またはプロセスへの注入を通じて実行されます。 MSBuild.exe, vbc.exe и RegSvcs.exe 攻撃者が選択したパラメータに応じて。

ただし、私たちにとって、それらはそれほど重要ではありません。 アンチダンプ-追加する関数 コンフューザーエクス。 そのソースコードは次の場所にあります。 GitHubの.

保護を無効にするには、次の機会を使用します。 dnスパイ、編集できるようになります IL-コード。

保存してインストールする ブレークポイント ペイロード復号化関数を呼び出す行に追加します。 これはメインクラスのコンストラクター内にあります。

ペイロードを起動してダンプします。 以前に作成した YARA ルールを使用して、これが AgentTesla であることを確認します。

サンプルNo.3

ソースファイルは実行可能ファイルです VBネイティブPE32-ファイル。

エントロピー分析により、暗号化された大規模なデータの存在が示されます。

申請フォームを分析すると、 VBデコンパイラー 奇妙なピクセル化された背景に気づくかもしれません。

エントロピーグラフ bmpファイル-image は元のファイルのエントロピー グラフと同一であり、サイズはファイル サイズの 85% です。

画像の全体的な外観は、ステガノグラフィーが使用されていることを示しています。

プロセスツリーの外観と射出マーカーの存在に注目してみましょう。

これは、解凍が進行中であることを示します。 Visual Basic ローダー (別名) の場合 VBKrypt または VBインジェクター) 一般的な使用法 シェルコード ペイロードを初期化し、注入自体を実行します。

での分析 VBデコンパイラー イベントの存在を示した 負荷 フォームで Fegatassocエアバルーン2.

に行きましょう IDAプロ 指定したアドレスに転送して機能を検討してください。 コードは大幅に難読化されています。 私たちの興味のある断片を以下に示します。

ここでは、プロセスのアドレス空間がスキャンされて署名が取得されます。 このアプローチは非常に疑わしいです。

まず、スキャン開始アドレス 0x400100。 この値は静的であり、ベースがシフトされても調整されません。 理想的な温室条件では、それは終わりを示します PE- 実行可能ファイルのヘッダー。 ただし、データベースは静的ではなく、その値は変更される可能性があり、必要な署名の実際のアドレスの検索には、変数のオーバーフローは発生しませんが、非常に長い時間がかかる可能性があります。

第二に、署名の意味 iWGK。 一意性を保証するには 4 バイトが小さすぎることは明らかだと思います。 そして、最初の点を考慮すると、間違いを犯す可能性が非常に高くなります。

実際、必要なフラグメントは、以前に見つかったフラグメントの末尾に付加されています。 bmpファイル- オフセットによる画像 0xA1D0D.

実行 シェルコード XNUMX段階で実施されます。 まずは本体を解読します。 この場合、キーは総当たりによって決定されます。

復号化されたものをダンプします シェルコード そして線を見てください。

まず、子プロセスを作成する関数がわかりました。 CreateProcessInternalW.

第二に、システムの固定化のメカニズムに気づきました。

元のプロセスに戻りましょう。 入れましょう ブレークポイント на CreateProcessInternalW そして実行を続行します。 次に接続を見ていきます NtGetContextThread/NtSetContextThread、実行開始アドレスをアドレスに変更します。 シェルコード.

作成したプロセスにデバッガで接続し、イベントを起動します ライブラリのロード/アンロード時に一時停止する、プロセスを再開し、ロードを待ちます .NET-図書館。

さらに使用する プロセスハッカー 解凍された領域を含むダンプ領域 .NET-応用。

すべてのプロセスを停止し、システムに埋め込まれたマルウェアのコピーを削除します。

ダンプされたファイルはプロテクターによって保護されています .NETリアクターユーティリティを使用して簡単に削除できます。 de4dot.

前に作成した YARA ルールを使用して、これが AgentTesla であることを確認します。

要約します

そこで、例として XNUMX つのミニケースを使用して半自動サンプル解凍のプロセスを詳細にデモンストレーションし、本格的なケースに基づいてマルウェアを分析しました。調査対象のサンプルが AgentTesla であることが判明し、その機能と侵害の兆候の完全なリスト。

私たちが行った悪意のあるオブジェクトの分析には多大な時間と労力が必要であり、この作業は社内の特別な従業員が行う必要がありますが、すべての企業が分析者を雇う準備ができているわけではありません。

Group-IB Laboratory of Computer Forensics and Malicious Code Analysis が提供するサービスの XNUMX つは、サイバー インシデントへの対応です。 そして、顧客がサイバー攻撃の最中に文書の承認や議論に時間を無駄にしないように、Group-IB を立ち上げました。 インシデント対応保持者、事前登録型のインシデント対応サービスで、マルウェア分析ステップも含まれています。 これに関する詳細情報はこちらをご覧ください ここで.

AgentTesla サンプルがどのように解凍されるかをもう一度調べて、CERT Group-IB スペシャリストがどのように解凍するかを確認したい場合は、このトピックに関するウェビナーの録画をダウンロードできます。 ここで.

出所： habr.com