Kita nerusake seri artikel sing dikhususake kanggo analisis malware. ING Sebagean, kita nyritakake kepiye Ilya Pomerantsev, spesialis analisis malware ing CERT Group-IB, nindakake analisis rinci babagan file sing ditampa liwat surat saka salah sawijining perusahaan Eropa lan nemokake spyware ing kana. AgenTesla. Ing artikel iki, Ilya nyedhiyakake asil analisis langkah-langkah saka modul utama AgenTesla.
Agent Tesla minangka piranti lunak spying modular sing disebarake nggunakake model malware-as-a-service kanthi kedok produk keylogger sing sah. Agen Tesla bisa ngekstrak lan ngirim kredensial pangguna saka browser, klien email lan klien FTP menyang server menyang panyerang, ngrekam data clipboard, lan njupuk layar piranti. Ing wektu analisis, situs web resmi pangembang ora kasedhiya.
File konfigurasi
Tabel ing ngisor iki nampilake fungsi sing ditrapake kanggo conto sing sampeyan gunakake:
| Description | Nilai |
| Gendéra panggunaan KeyLogger | bener |
| Gendera panggunaan ScreenLogger | palsu |
| Interval ngirim log KeyLogger ing menit | 20 |
| Interval ngirim log ScreenLogger ing sawetara menit | 20 |
| Gendéra penanganan tombol backspace. Palsu - mung logging. Bener - mbusak tombol sadurunge | palsu |
| jinis CNC. Pilihan: smtp, webpanel, ftp | SMTP |
| Gendéra aktivasi thread kanggo mungkasi proses saka dhaptar "% filter_list%" | palsu |
| UAC mateni flag | palsu |
| Task manager mateni flag | palsu |
| CMD mateni flag | palsu |
| Run jendhela mateni flag | palsu |
| Registry Viewer Disable Flag | palsu |
| Pateni tandha titik mulihake sistem | bener |
| Panel kontrol mateni flag | palsu |
| MSCONFIG mateni flag | palsu |
| Flag kanggo mateni menu konteks ing Explorer | palsu |
| Pin flag | palsu |
| Path kanggo nyalin modul utama nalika pinning menyang sistem | %startupfolder% %infolder%%insname% |
| Gendéra kanggo nyetel atribut "Sistem" lan "Didhelikake" kanggo modul utama sing ditugasake menyang sistem | palsu |
| Gendéra kanggo miwiti maneh nalika dipasang ing sistem | palsu |
| Gendéra kanggo mindhah modul utama menyang folder sementara | palsu |
| UAC bypass flag | palsu |
| Format tanggal lan wektu kanggo logging | yyyy-MM-dd HH:mm:ss |
| Gendéra kanggo nggunakake saringan program kanggo KeyLogger | bener |
| Jenis penyaringan program. 1 - jeneng program digoleki ing judhul jendhela 2 - jeneng program katon ing jeneng proses jendhela |
1 |
| Filter program | "facebook" "twitter" "gmail" "instagram" "film" "skype" "porno" "hack" "whatsapp" "discord" |
Masang modul utama menyang sistem
Yen gendéra cocog disetel, modul utama disalin menyang path kasebut ing config minangka path kanggo diutus kanggo sistem.
Gumantung ing nilai saka konfigurasi, file diwenehi atribut "Hidden" lan "System".
Autorun diwenehake dening rong cabang registri:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Wiwit bootloader nyuntikake menyang proses RegAsm, Nyetel flag terus-terusan kanggo modul utama ndadékaké kanggo jalaran cukup menarik. Tinimbang nyalin dhewe, malware nempelake file asli menyang sistem kasebut RegAsm.exe, sajrone injeksi ditindakake.
Interaksi karo C&C
Preduli saka cara sing digunakake, komunikasi jaringan diwiwiti kanthi entuk IP eksternal saka korban nggunakake sumber daya [.]amazonaws[.]com/.
Ing ngisor iki nerangake cara interaksi jaringan sing ditampilake ing piranti lunak.
panel web
Interaksi ditindakake liwat protokol HTTP. Malware nindakake panjalukan POST kanthi header ing ngisor iki:
- Agen Panganggo: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Sambungan: Keep-Alive
- Jinis-konten: aplikasi/x-www-form-urlencoded
Alamat server ditemtokake dening nilai %PostURL%. Pesen sing dienkripsi dikirim ing parameter «P». Mekanisme enkripsi diterangake ing bagean "Algoritma Enkripsi" (Metode 2).
Pesen sing dikirim katon kaya iki:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter jinis nuduhake jinis pesen:
hwid - hash MD5 direkam saka angka serial motherboard lan ID prosesor. Paling kamungkinan digunakake minangka ID pangguna.
wektu - serves kanggo ngirim wektu lan tanggal saiki.
jeneng pc - ditetepake minangka /.
logdata - log data.
Nalika ngirim sandhi, pesen katon kaya:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Ing ngisor iki minangka katrangan babagan data sing dicolong ing format kasebut nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
Interaksi ditindakake liwat protokol SMTP. Huruf sing dikirim ana ing format HTML. Paramèter BODY katon kaya:
Header layang duwe wangun umum: / . Isi layang, uga lampirane, ora dienkripsi.
Interaksi ditindakake liwat protokol FTP. Berkas kanthi jeneng ditransfer menyang server sing ditemtokake _-_.html. Isi file ora dienkripsi.
Algoritma enkripsi
Kasus iki nggunakake cara enkripsi ing ngisor iki:
Cara 1
Cara iki digunakake kanggo encrypt strings ing modul utama. Algoritma sing digunakake kanggo enkripsi yaiku AES.
Input minangka nomer desimal enem digit. Transformasi ing ngisor iki ditindakake:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Nilai sing diasilake yaiku indeks kanggo array data sing dipasang.
Saben unsur array minangka urutan DWORD. Nalika gabung DWORD Uploaded saka bita dijupuk: pisanan 32 bait tombol enkripsi, ngiring dening 16 bita saka vektor initialization, lan bita isih ana data ndhelik.
Cara 2
Algoritma digunakake 3DES ing mode ECB kanthi padding ing bita kabeh (PKCS7).
Tombol kasebut ditemtokake dening parameter %urlkey%Nanging, enkripsi nggunakake hash MD5.
Fungsi angkoro
Sampel sing diteliti nggunakake program ing ngisor iki kanggo ngleksanakake fungsi ala:
logger kunci
Yen ana gendera malware sing cocog nggunakake fungsi WinAPI SetWindowsHookEx nemtokake handler dhewe kanggo acara keypress ing keyboard. Fungsi handler diwiwiti kanthi njupuk judhul jendhela aktif.
Yen gendera nyaring aplikasi disetel, nyaring ditindakake gumantung saka jinis sing ditemtokake:
- jeneng program katon kanggo ing judhul jendhela
- jeneng program katon munggah ing jeneng proses jendhela
Sabanjure, rekaman ditambahake menyang log kanthi informasi babagan jendhela aktif ing format:
Banjur informasi babagan tombol sing dipencet direkam:
| Kunci | Ngrekam |
| Backspace | Gumantung ing gendera pangolahan tombol Backspace: Palsu – {BACK} Bener - mbusak tombol sadurunge |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| KacaUp | {PageUp} |
| Down | ↓ |
| Busak | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Panggonan | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Kanan | → |
| Up | & uarr; |
| F1 | {F1} |
| ngiwa | ← |
| PageDown | {PageDown} |
| Pasang | {Sisipake} |
| Win | {Menang} |
| Nomlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {OMAH} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Kunci liyane | Karakter kasebut ana ing huruf gedhe utawa cilik gumantung saka posisi tombol CapsLock lan Shift |
Ing frekuensi tartamtu, log sing diklumpukake dikirim menyang server. Yen transfer ora kasil, log disimpen menyang file %TEMP%log.tmp ing format:
Nalika timer murub, file bakal ditransfer menyang server.
ScreenLogger
Ing frekuensi tartamtu, malware nggawe gambar ing format Jpeg kanthi teges Quality witjaksono kanggo 50 lan nyimpen menyang file %APPDATA %.jpg. Sawise transfer, file dibusak.
ClipboardLogger
Yen gendéra sing cocog wis disetel, panggantos digawe ing teks sing dicegat miturut tabel ing ngisor iki.
Sawise iki, teks dilebokake ing log:
SandiStealer
Malware bisa ndownload sandhi saka aplikasi ing ngisor iki:
| BRAUZER | Klien layang | klien FTP |
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE / Edge | foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Browser Opera | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| krom | Kothak layang | |
| Torch | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Klien Jabber | klien VPN |
| CentBrowser | Psi/Psi+ | Mbukak VPN |
| Chedot | ||
| CokCoc | ||
| Element Browser | Download Managers | |
| Browser Privasi Epik | Internet Download Manager | |
| Kometa | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| BlackHawk | ||
| Cyber Fox | ||
| K-meleon | ||
| es kucing | ||
| es naga | ||
| Palemoon | ||
| WaterFox | ||
| Browser Falkon |
Kontraksi kanggo analisis dinamis
- Nggunakake fungsi turu. Ngidini sampeyan ngliwati sawetara kothak wedhi kanthi wektu entek
- Ngancurake benang Area.Ngenali. Ngidini sampeyan ndhelikake kasunyatan ngundhuh file saka Internet
- Ing parameter %filter_list% nemtokake dhaptar pangolahan sing malware bakal mungkasi ing interval sak detik
- Pedhot sambungan UAC
- Mateni task manager
- Pedhot sambungan CMD
- Mateni jendhela «Katresnan»
- Mateni Panel Kontrol
- Mateni alat RegEdit
- Mateni titik mulihake sistem
- Pateni menu konteks ing Explorer
- Pedhot sambungan MSCONFIG
- Bypass UAC:
Fitur ora aktif saka modul utama
Sajrone analisis modul utama, fungsi diidentifikasi sing tanggung jawab kanggo nyebar ing jaringan lan nelusuri posisi mouse.
worm
Acara kanggo nyambungake media sing bisa dicopot dipantau ing benang sing kapisah. Nalika disambungake, malware kanthi jeneng disalin menyang root sistem file scr.exe, sawise iku nggoleki file kanthi ekstensi lnk. Tim kabeh lnk owah-owahan kanggo cmd.exe /c start scr.exe&start & exit.
Saben direktori ing root media diwenehi atribut "didhelikake" lan file digawe nganggo ekstensi lnk kanthi jeneng direktori sing didhelikake lan printah cmd.exe /c miwiti scr.exe&explorer /root,"%CD%" & metu.
MouseTracker
Cara kanggo nindakake interception padha karo sing digunakake kanggo keyboard. Fungsi iki isih dikembangake.
Aktivitas file
| path | Description |
| %Temp%temp.tmp | Ngandhut counter kanggo usaha bypass UAC |
| %startupfolder%%infolder%%insname% | Path kanggo ditugasake menyang sistem HPE |
| %Temp%tmpG{Wektu saiki ing milliseconds}.tmp | Path kanggo serep modul utama |
| %Temp%log.tmp | file log |
| %AppData%{Urutan arbitrer 10 karakter}.jpeg | Screenshot |
| C:UsersPublic{Urutan arbitrer 10 karakter}.vbs | Path menyang file vbs sing bootloader bisa digunakake kanggo masang menyang sistem |
| %Temp%{Jeneng folder khusus}{Jeneng berkas} | Path digunakake dening bootloader kanggo masang dhewe kanggo sistem |
Profil penyerang
Thanks kanggo data otentikasi hardcoded, kita bisa entuk akses menyang pusat komando.
Iki ngidini kita ngenali email pungkasan para panyerang:
junaid[.]ing***@gmail[.]com.
Jeneng domain pusat komando didaftar ing surat sg***@gmail[.]com.
kesimpulan
Sajrone analisis rinci babagan malware sing digunakake ing serangan kasebut, kita bisa netepake fungsine lan entuk dhaptar indikator kompromi sing paling lengkap sing cocog karo kasus iki. Ngerteni mekanisme interaksi jaringan antarane malware bisa menehi rekomendasi kanggo nyetel operasi piranti keamanan informasi, uga nulis aturan IDS sing stabil.
Bebaya utama AgenTesla kaya DataStealer sing ora perlu tundhuk sistem utawa ngenteni printah kontrol kanggo nindakake tugas. Sawise ing mesin, iku langsung wiwit ngumpulake informasi pribadi lan transfer menyang CnC. Prilaku agresif iki ing sawetara cara padha karo prilaku ransomware, mung bedane sing terakhir ora mbutuhake sambungan jaringan. Yen sampeyan nemoni kulawarga iki, sawise ngresiki sistem sing kena infeksi saka malware kasebut, sampeyan kudu ngganti kabeh sandhi sing bisa, paling ora sacara teoritis, disimpen ing salah sawijining aplikasi sing kadhaptar ing ndhuwur.
Looking ahead, ayo ngomong yen panyerang ngirim AgenTesla, loader boot awal asring diganti. Iki ngidini sampeyan tetep ora diweruhi dening scanner statis lan analisa heuristik nalika serangan. Lan kecenderungan kulawarga iki langsung miwiti kegiatane nggawe monitor sistem ora ana gunane. Cara paling apik kanggo nglawan AgentTesla yaiku analisis awal ing kothak wedhi.
Ing artikel katelu saka seri iki, kita bakal ndeleng bootloader liyane sing digunakake AgenTesla, lan uga sinau proses unpacking semi-otomatis. Aja kantun!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C & C.
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Registry |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Nama skrip} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Biseks
Ora ana indikator.
file
| Aktivitas file |
| %Temp%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{Wektu saiki ing milliseconds}.tmp |
| %Temp%log.tmp |
| %AppData%{Urutan arbitrer 10 karakter}.jpeg |
| C:UsersPublic{Urutan arbitrer 10 karakter}.vbs |
| %Temp%{Jeneng folder khusus}{Jeneng berkas} |
Info Sampel
| jeneng | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Koleksi | PE (.NET) |
| Size | 327680 |
| Jeneng Asli | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| Panyusun | VB.NET |
| jeneng | IELlibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Koleksi | PE (.NET DLL) |
| Size | 16896 |
| Jeneng Asli | IELlibrary.dll |
| DateStamp | 11.10.2016 |
| Panyusun | Microsoft Linker(48.0*) |
Source: www.habr.com