აქტივობა ვერ მოხერხდა: მოდით გავამხილოთ აგენტტესლა სუფთა წყალში. Მე -1 ნაწილი

ცოტა ხნის წინ, ელექტროსამონტაჟო აღჭურვილობის ევროპელი მწარმოებელი დაუკავშირდა Group-IB - მისმა თანამშრომელმა ფოსტით მიიღო საეჭვო წერილი მავნე დანართით. ილია პომერანცევი, მავნე პროგრამების ანალიზის სპეციალისტმა CERT Group-IB-ში, ჩაატარა ამ ფაილის დეტალური ანალიზი, აღმოაჩინა AgentTesla-ს ჯაშუშური პროგრამა და თქვა, თუ რას უნდა ველოდოთ ასეთი მავნე პროგრამისგან და რამდენად საშიშია იგი.

ამ პოსტით ჩვენ ვხსნით სტატიების სერიას, თუ როგორ გავაანალიზოთ ასეთი პოტენციურად საშიში ფაილები და ველოდებით ყველაზე ცნობისმოყვარეებს 5 დეკემბერს, უფასო ინტერაქტიული ვებინარი თემაზე. "მავნე პროგრამების ანალიზი: რეალური შემთხვევების ანალიზი". ყველა დეტალი ჭრის ქვეშაა.

განაწილების მექანიზმი

ჩვენ ვიცით, რომ მავნე პროგრამამ მიაღწია მსხვერპლის აპარატს ფიშინგის ელ.ფოსტის საშუალებით. წერილის მიმღები ალბათ BCC იყო.

სათაურების ანალიზი აჩვენებს, რომ წერილის გამგზავნი იყო გაყალბებული. ფაქტობრივად, წერილი დარჩა vps56[.]oneworldhosting[.]com.

ელ.ფოსტის დანართი შეიცავს WinRar-ის არქივს qoute_jpeg56a.r15 მავნე შესრულებადი ფაილით QOUTE_JPEG56A.exe შიგნით

მავნე პროგრამების ეკოსისტემა

ახლა ვნახოთ, როგორ გამოიყურება შესწავლილი მავნე პროგრამის ეკოსისტემა. ქვემოთ მოცემულ დიაგრამაზე ნაჩვენებია მისი სტრუქტურა და კომპონენტების ურთიერთქმედების მიმართულებები.

ახლა მოდით შევხედოთ მავნე პროგრამის თითოეულ კომპონენტს უფრო დეტალურად.

ჩამტვირთავი

ორიგინალური ფაილი QOUTE_JPEG56A.exe არის შედგენილი AutoIt v3 სკრიპტი.

ორიგინალური სკრიპტის დაბინდვის მიზნით, მსგავსებასთან დაკავშირებული დამაბნეველი PELock AutoIT-Obfuscator მახასიათებლები.
დებფუსკაცია ტარდება სამ ეტაპად:

1. დაბინდვის მოცილება იყიდება-თუ

   პირველი ნაბიჯი არის სკრიპტის კონტროლის ნაკადის აღდგენა. Control Flow Flattening არის ერთ-ერთი ყველაზე გავრცელებული გზა აპლიკაციის ორობითი კოდის ანალიზისგან დასაცავად. დამაბნეველი ტრანსფორმაციები მკვეთრად ზრდის ალგორითმებისა და მონაცემთა სტრუქტურების ამოღებისა და ამოცნობის სირთულეს.

   

2. მწკრივის აღდგენა

   სტრიქონების დაშიფვრისთვის გამოიყენება ორი ფუნქცია:

   • gdorizabegkvfca - ასრულებს Base64-ის მსგავს დეკოდირებას

     

   • xgacyukcyzxz - პირველი სტრიქონის მარტივი ბაიტი-ბაიტი XOR მეორეს სიგრძით

     

   

3. დაბინდვის მოცილება BinaryToString и სიკვდილი

   

ძირითადი დატვირთვა ინახება დირექტორიაში გაყოფილი სახით ფონტები ფაილის რესურსების სექციები.

წებოვნების წესი ასეთია: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

WinAPI ფუნქცია გამოიყენება ამოღებული მონაცემების გასაშიფრად CryptDecrypt, და მნიშვნელობის საფუძველზე გენერირებული სესიის გასაღები გამოიყენება გასაღებად fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

გაშიფრული შესრულებადი ფაილი იგზავნება ფუნქციის შეყვანაში RunPE, რომელიც ახორციელებს ProcessInject в RegAsm.exe ჩაშენებული გამოყენებით ShellCode (აგრეთვე ცნობილი, როგორც RunPE ShellCode). ავტორობა ეკუთვნის ესპანური ფორუმის მომხმარებელს indetectables[.]net მეტსახელად ვარდოუ.

აღსანიშნავია ისიც, რომ ამ ფორუმის ერთ-ერთ თემაში, ბუნდოვანია სახურავზე ნიმუშის ანალიზის დროს გამოვლენილი მსგავსი თვისებებით.

თავად ShellCode საკმაოდ მარტივია და ყურადღებას იპყრობს მხოლოდ ჰაკერების ჯგუფისგან AnunakCarbanak-ისგან ნასესხები. API ზარის ჰეშირების ფუნქცია.

ჩვენ ასევე ვიცით გამოყენების შემთხვევები Frenchy Shellcode სხვადასხვა ვერსიები.
აღწერილი ფუნქციების გარდა, ჩვენ ასევე გამოვავლინეთ არააქტიური ფუნქციები:

• პროცესის ხელით შეწყვეტის დაბლოკვა დავალების მენეჯერში

  

• ბავშვის პროცესის ხელახლა დაწყება, როდესაც ის დასრულდება

  

• UAC-ის გვერდის ავლით

  

• ტვირთის შენახვა ფაილში

  

• მოდალური ფანჯრების დემონსტრირება

  

• ველოდები მაუსის კურსორის პოზიციის შეცვლას

  

• AntiVM და AntiSandbox

  

• Თვითგანადგურება

  

• ტვირთის ამოტუმბვა ქსელიდან

  

ჩვენ ვიცით, რომ ასეთი ფუნქციონირება დამახასიათებელია მფარველისთვის CypherIT, რომელიც, როგორც ჩანს, არის ჩამტვირთველი.

პროგრამული უზრუნველყოფის მთავარი მოდული

შემდეგი, ჩვენ მოკლედ აღვწერთ მავნე პროგრამის მთავარ მოდულს და უფრო დეტალურად განვიხილავთ მას მეორე სტატიაში. ამ შემთხვევაში, ეს არის განაცხადი . NET.

ანალიზის დროს აღმოვაჩინეთ, რომ გამოყენებული იყო ობფუსკატორი ConfuserEX.

IELibrary.dll

ბიბლიოთეკა ინახება როგორც ძირითადი მოდულის რესურსი და არის ცნობილი მოდული აგენტ ტესლა, რომელიც უზრუნველყოფს Internet Explorer და Edge ბრაუზერებიდან სხვადასხვა ინფორმაციის ამოღების ფუნქციონირებას.

აგენტი ტესლა არის მოდულური ჯაშუშური პროგრამული უზრუნველყოფა, რომელიც ვრცელდება malware-as-a-service მოდელის გამოყენებით ლეგიტიმური keylogger პროდუქტის საფარქვეშ. აგენტ ტესლას შეუძლია ამოიღოს და გადასცეს მომხმარებლის რწმუნებათა სიგელები ბრაუზერებიდან, ელ.ფოსტის კლიენტებიდან და FTP კლიენტებიდან სერვერზე თავდამსხმელებისთვის, ჩაწეროს ბუფერში მონაცემები და გადაიღოს მოწყობილობის ეკრანი. ანალიზის დროს, დეველოპერების ოფიციალური ვებგვერდი მიუწვდომელი იყო.

შესვლის წერტილი არის ფუნქცია მიიღეთ SavedPasswords კლასი InternetExplorer.

ზოგადად, კოდის შესრულება ხაზოვანია და არ შეიცავს რაიმე დაცვას ანალიზისგან. ყურადღებას იმსახურებს მხოლოდ არარეალიზებული ფუნქცია GetSavedCookies. როგორც ჩანს, მოდულის ფუნქციონირება უნდა გაფართოვდეს, მაგრამ ეს არასოდეს გაკეთებულა.

ჩამტვირთველის სისტემაზე მიმაგრება

მოდით შევისწავლოთ როგორ არის ჩამტვირთავი სისტემაზე მიმაგრებული. შესასწავლი ნიმუში არ ჩერდება, მაგრამ მსგავს მოვლენებში ის ხდება შემდეგი სქემის მიხედვით:

1. საქაღალდეში C:UsersPublic სკრიპტი იქმნება Visual Basic

   სკრიპტის მაგალითი:

   

2. ჩამტვირთავი ფაილის შიგთავსი ივსება null სიმბოლოთი და ინახება საქაღალდეში %Temp%<მორგებული საქაღალდის სახელი <ფაილის სახელი>
3. სკრიპტის ფაილის რეესტრში იქმნება autorun გასაღები HKCUSoftwareMicrosoftWindowsCurrentVersionRun<სკრიპტის სახელი>

ასე რომ, ანალიზის პირველი ნაწილის შედეგებზე დაყრდნობით, ჩვენ შევძელით შესწავლილი მავნე პროგრამის ყველა კომპონენტის ოჯახების დასახელება, ინფექციის ნიმუშის ანალიზი და ასევე ხელმოწერების ჩაწერის ობიექტების მოპოვება. ჩვენ გავაგრძელებთ ამ ობიექტის ანალიზს შემდეგ სტატიაში, სადაც უფრო დეტალურად განვიხილავთ მთავარ მოდულს აგენტ ტესლა. Არ გამოტოვოთ!

სხვათა შორის, 5 დეკემბერს ვიწვევთ ყველა მკითხველს უფასო ინტერაქტიულ ვებინარზე თემაზე „მავნე პროგრამების ანალიზი: რეალური შემთხვევების ანალიზი“, სადაც ამ სტატიის ავტორი, CERT-GIB სპეციალისტი, ონლაინ გაჩვენებთ პირველ ეტაპს. მავნე პროგრამების ანალიზი - ნიმუშების ნახევრად ავტომატური ამოღება პრაქტიკიდან სამი რეალური მინი შემთხვევის მაგალითის გამოყენებით და შეგიძლიათ მონაწილეობა მიიღოთ ანალიზში. ვებინარი განკუთვნილია სპეციალისტებისთვის, რომლებსაც უკვე აქვთ მავნე ფაილების ანალიზის გამოცდილება. რეგისტრაცია ხდება მკაცრად კორპორატიული ელექტრონული ფოსტით: რეგისტრაცია. Გელოდები!

იარა

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

ჰაშები

სახელი	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
ტიპი	დაარქივეთ WinRAR
ზომა	823014

სახელი	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
ტიპი	PE (შედგენილი AutoIt Script)
ზომა	1327616
ორიგინალური სახელი	უცნობია
თარიღის შტამპი	15.07.2019
ლინკერი	Microsoft Linker (12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
ტიპი	ShellCode
ზომა	1474

წყარო: www.habr.com