აქტივობა ვერ მოხერხდა: მოდით გავამხილოთ აგენტტესლა სუფთა წყალში. Მე -2 ნაწილი

ჩვენ ვაგრძელებთ სტატიების სერიას, რომელიც ეძღვნება მავნე პროგრამების ანალიზს. IN პირველი ნაწილობრივ, ჩვენ ვუთხარით, თუ როგორ ჩაატარა CERT Group-IB-ის მავნე პროგრამების ანალიზის სპეციალისტმა ილია პომერანცევმა, ერთ-ერთი ევროპული კომპანიისგან ფოსტით მიღებული ფაილის დეტალური ანალიზი და იქ აღმოაჩინა spyware. აგენტ ტესლა. ამ სტატიაში ილია გვაწვდის ძირითადი მოდულის ეტაპობრივი ანალიზის შედეგებს აგენტ ტესლა.

აგენტი ტესლა არის მოდულური ჯაშუშური პროგრამული უზრუნველყოფა, რომელიც ვრცელდება malware-as-a-service მოდელის გამოყენებით ლეგიტიმური keylogger პროდუქტის საფარქვეშ. აგენტ ტესლას შეუძლია ამოიღოს და გადასცეს მომხმარებლის რწმუნებათა სიგელები ბრაუზერებიდან, ელ.ფოსტის კლიენტებიდან და FTP კლიენტებიდან სერვერზე თავდამსხმელებისთვის, ჩაწეროს ბუფერში მონაცემები და გადაიღოს მოწყობილობის ეკრანი. ანალიზის დროს, დეველოპერების ოფიციალური ვებგვერდი მიუწვდომელი იყო.

კონფიგურაციის ფაილი

ქვემოთ მოყვანილი ცხრილი ჩამოთვლის, თუ რომელი ფუნქციონირება ვრცელდება იმ ნიმუშზე, რომელსაც იყენებთ:

აღწერა	ღირებულება
KeyLogger-ის გამოყენების დროშა	მართალია
ScreenLogger-ის გამოყენების დროშა	ყალბი
KeyLogger ჟურნალის გაგზავნის ინტერვალი წუთებში	20
ScreenLogger ჟურნალის გაგზავნის ინტერვალი წუთებში	20
Backspace გასაღების მართვის დროშა. მცდარი - მხოლოდ ხე. True - წაშლის წინა გასაღებს	ყალბი
CNC ტიპი. პარამეტრები: smtp, webpanel, ftp	SMTP
თემის გააქტიურების დროშა სიიდან პროცესების შეწყვეტისთვის „%filter_list%“	ყალბი
UAC გამორთვა დროშა	ყალბი
სამუშაო მენეჯერის გამორთვა დროშა	ყალბი
CMD გამორთეთ დროშა	ყალბი
გაუშვით ფანჯრის გამორთვის დროშა	ყალბი
Registry Viewer გამორთეთ დროშა	ყალბი
სისტემის აღდგენის წერტილების დროშის გამორთვა	მართალია
მართვის პანელის გამორთვა დროშა	ყალბი
MSCONFIG გამორთვა დროშა	ყალბი
მონიშნეთ კონტექსტური მენიუს გამორთვა Explorer-ში	ყალბი
პინის დროშა	ყალბი
სისტემაში მიმაგრებისას მთავარი მოდულის კოპირების გზა	%startupfolder% %insfolder%%insname%
სისტემისთვის მინიჭებული მთავარი მოდულისთვის „სისტემის“ და „დამალული“ ატრიბუტების დაყენების დროშა	ყალბი
მონიშნეთ სისტემაში მიმაგრებისას გადატვირთვის შესასრულებლად	ყალბი
დროშა ძირითადი მოდულის დროებით საქაღალდეში გადატანისთვის	ყალბი
UAC შემოვლითი დროშა	ყალბი
თარიღისა და დროის ფორმატი შესვლისთვის	წწ-თთ-დდ სთ:მთ:წს
მონიშნეთ KeyLogger-ისთვის პროგრამის ფილტრის გამოყენებისთვის	მართალია
პროგრამის ფილტრაციის ტიპი. 1 - პროგრამის სახელი იძებნება ფანჯრის სათაურებში 2 – პროგრამის სახელი მოძებნილია ფანჯრის პროცესის სახელში	1
პროგრამის ფილტრი	"ფეისბუქი" "ტვიტერი" "gmail" "ინსტაგრამი" "ფილმი" "სკაიპი" "პორნო" "გატეხვა" "whatsapp" "უთანხმოება"

ძირითადი მოდულის მიმაგრება სისტემაზე

თუ დაყენებულია შესაბამისი დროშა, მთავარი მოდული კოპირდება კონფიგურაციაში მითითებულ გზაზე, როგორც სისტემისთვის მინიჭებული გზა.

კონფიგურაციის მნიშვნელობიდან გამომდინარე, ფაილს ენიჭება ატრიბუტები "დამალული" და "სისტემა".
Autorun უზრუნველყოფილია რეესტრის ორი ფილიალით:

• HKCU პროგრამული უზრუნველყოფაMicrosoftWindowsCurrentVersionRun%insregname%
• HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%

მას შემდეგ, რაც ჩამტვირთავი ინექციებს პროცესში რეგასმძირითადი მოდულისთვის მუდმივი დროშის დაყენება საკმაოდ საინტერესო შედეგებამდე მიგვიყვანს. საკუთარი კოპირების ნაცვლად, მავნე პროგრამამ თავდაპირველი ფაილი მიამაგრა სისტემას RegAsm.exe, რომლის დროსაც ჩაუტარდა ინექცია.

ურთიერთქმედება C&C-თან

გამოყენებული მეთოდის მიუხედავად, ქსელური კომუნიკაცია იწყება მსხვერპლის გარე IP-ის მოპოვებით რესურსის გამოყენებით შემოწმება[.]amazonaws[.]com/.
ქვემოთ აღწერილია პროგრამულ უზრუნველყოფაში წარმოდგენილი ქსელის ურთიერთქმედების მეთოდები.

ვებპანელი

ურთიერთქმედება ხდება HTTP პროტოკოლის მეშვეობით. მავნე პროგრამა ასრულებს POST მოთხოვნას შემდეგი სათაურებით:

• მომხმარებლის აგენტი: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
• კავშირი: Keep-Alive
• შინაარსი-ტიპი: განაცხადი/x-www-form-urlencoded

სერვერის მისამართი მითითებულია მნიშვნელობით %PostURL%. დაშიფრული შეტყობინება იგზავნება პარამეტრში «P». დაშიფვრის მექანიზმი აღწერილია განყოფილებაში "დაშიფვრის ალგორითმები" (მეთოდი 2).

გადაცემული შეტყობინება ასე გამოიყურება:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

პარამეტრის ტიპი მიუთითებს შეტყობინების ტიპი:

hwid - MD5 ჰეში ჩაწერილია დედაპლატის სერიული ნომრისა და პროცესორის ID-ის მნიშვნელობებიდან. სავარაუდოდ გამოიყენება როგორც მომხმარებლის ID.
დრო — ემსახურება მიმდინარე დროისა და თარიღის გადაცემას.
pcname - განსაზღვრულია როგორც <მომხმარებლის სახელი>/<კომპიუტერის სახელი>.
logdata - ჟურნალის მონაცემები.

პაროლების გადაცემისას შეტყობინება ასე გამოიყურება:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

ქვემოთ მოცემულია მოპარული მონაცემების აღწერა ფორმატში client[]={0}nlink[]={1}username[]={2}nპაროლი[]={3}.

SMTP

ურთიერთქმედება ხდება SMTP პროტოკოლის მეშვეობით. გადაცემული წერილი HTML ფორმატშია. Პარამეტრი BODY აქვს ფორმა:

წერილის სათაურს აქვს ზოგადი ფორმა: <მომხმარებლის სახელი>/<კომპიუტერის სახელი> <CONTENT TYPE>. წერილის შინაარსი, ისევე როგორც მისი დანართები, არ არის დაშიფრული.

ურთიერთქმედება ხდება FTP პროტოკოლის მეშვეობით. სახელის მქონე ფაილი გადადის მითითებულ სერვერზე <CONTENT TYPE>_<მომხმარებლის სახელი>-<კომპიუტერის სახელი>_<თარიღი და დრო>.html. ფაილის შინაარსი არ არის დაშიფრული.

დაშიფვრის ალგორითმები

ამ შემთხვევაში გამოიყენება დაშიფვრის შემდეგი მეთოდები:

1 მეთოდი

ეს მეთოდი გამოიყენება სტრიქონების დაშიფვრად მთავარ მოდულში. დაშიფვრისთვის გამოყენებული ალგორითმი არის AES.

შეყვანა არის ექვსნიშნა ათობითი რიცხვი. მასზე ხორციელდება შემდეგი ტრანსფორმაცია:

f(x) = ((x >> 2 - 31059) ^ 6380) - 1363) >> 3

შედეგად მიღებული მნიშვნელობა არის ინდექსი ჩაშენებული მონაცემთა მასივისთვის.

მასივის თითოეული ელემენტი არის თანმიმდევრობა DWORD. შერწყმისას DWORD მიიღება ბაიტების მასივი: პირველი 32 ბაიტი არის დაშიფვრის გასაღები, რასაც მოჰყვება ინიციალიზაციის ვექტორის 16 ბაიტი, ხოლო დარჩენილი ბაიტი არის დაშიფრული მონაცემები.

2 მეთოდი

გამოყენებული ალგორითმი 3des რეჟიმში ECB შიგთავსით მთელი ბაიტით (PKCS7).

გასაღები მითითებულია პარამეტრით %urlkey%თუმცა, დაშიფვრა იყენებს მის MD5 ჰეშს.

მავნე ფუნქციონირება

შესწავლილი ნიმუში იყენებს შემდეგ პროგრამებს მისი მავნე ფუნქციის განსახორციელებლად:

გასაღები ლოგერი

თუ არსებობს შესაბამისი მავნე პროგრამის დროშა WinAPI ფუნქციის გამოყენებით SetWindowsHookEx ანიჭებს საკუთარ დამმუშავებელს კლავიატურაზე კლავიშების დაჭერის მოვლენებს. დამმუშავებლის ფუნქცია იწყება აქტიური ფანჯრის სათაურის მიღებით.

თუ აპლიკაციის ფილტრაციის დროშა დაყენებულია, ფილტრაცია ხორციელდება მითითებული ტიპის მიხედვით:

1. პროგრამის სახელი მოძებნილია ფანჯრის სათაურებში
2. პროგრამის სახელი იძებნება ფანჯრის პროცესის სახელში

შემდეგი, ჩანაწერს ემატება ჟურნალში ინფორმაცია აქტიური ფანჯრის შესახებ ფორმატში:

შემდეგ ჩაიწერება ინფორმაცია დაჭერილი გასაღების შესახებ:

გასაღები	ჩანაწერების
Backspace	Backspace გასაღების დამუშავების დროშის მიხედვით: False – {BACK} True - წაშლის წინა გასაღებს
CAPSLOCK	{CAPSLOCK}
ESC	{ESC}
გვერდი	{PageUp}
Down	↓
წაშლა	{DEL}
"	"
F5	{F5}
&	და
F10	{F10}
TAB	{TAB}
<	<
>	>
Spacebar
F8	{F8}
F12	{F12}
F9	{F9}
ALT + TAB	{ALT+TAB}
END	{ᲓᲐᲡᲐᲡᲠᲣᲚᲘ}
F4	{F4}
F2	{F2}
CTRL	{CTRL}
F6	{F6}
მარჯვენა	→
Up	↑
F1	{F1}
მარცხენა	←
Გვერდზე ქვემოთ	{Გვერდზე ქვემოთ}
ჩადეთ	{ჩასმა}
მოიგე	{გამარჯვება}
Num lock	{NumLock}
F11	{F11}
F3	{F3}
მთავარი	{მთავარი}
შესვლა	{ENTER}
ALT + F4	{ALT+F4}
F7	{F7}
სხვა გასაღები	სიმბოლო არის ზედა ან ქვედა ასოებით, ეს დამოკიდებულია CapsLock და Shift კლავიშების პოზიციებზე

მითითებული სიხშირით, შეგროვებული ჟურნალი იგზავნება სერვერზე. თუ გადაცემა წარუმატებელია, ჟურნალი ინახება ფაილში %TEMP%log.tmp ფორმატში:

როდესაც ტაიმერი გააქტიურდება, ფაილი გადაეცემა სერვერს.

ScreenLogger

მითითებული სიხშირით, მავნე პროგრამა ქმნის სკრინშოტს ფორმატში Jpeg მნიშვნელობით ხარისხი უდრის 50-ს და ინახავს მას ფაილში %APPDATA %<10 სიმბოლოს შემთხვევითი თანმიმდევრობა>.jpg. გადაცემის შემდეგ, ფაილი იშლება.

ClipboardLogger

თუ დაყენებულია შესაბამისი დროშა, ჩანაცვლება ხდება ამოღებულ ტექსტში ქვემოთ მოცემული ცხრილის მიხედვით.

ამის შემდეგ, ტექსტი ჩასმულია ჟურნალში:

PasswordStealer

მავნე პროგრამას შეუძლია პაროლების ჩამოტვირთვა შემდეგი აპლიკაციებიდან:

ბრაუზერები	ფოსტის კლიენტები	FTP კლიენტები
Chrome	Outlook	FileZilla
Firefox	Thunderbird	WS_FTP
IE/Edge	ფოქსმაილი	WinSCP
safari	ოპერის ფოსტა	CoreFTP
ოპერის ბრაუზერი	IncrediMail	FTP ნავიგატორი
Yandex	პოკომაილი	FlashFXP
Comodo	Eudora	SmartFTP
ChromePlus	Ღამურა	FTP Commander
ქრომის	საფოსტო ყუთი
ჩირაღდნის	ClawsMail
XStar
მეგობარი
BraveSoftware	ჯაბერის კლიენტები	VPN კლიენტები
CentBrowser	Psi/Psi+	გახსენით VPN
ჩედოტი
CocCoc
ელემენტების ბრაუზერი	ჩამოტვირთვების მენეჯერები
ეპიკური კონფიდენციალურობის ბრაუზერი	Internet Download Manager
კომეტა	JDownloader
ორბიტი
Sputnik
uCozMedia
ვივალდი
SeaMonkey
Flock ბრაუზერი
UC ბროუზერი
ბლექჰოკი
კიბერ მელა
კ-მელონი
ყინულის კატა
Ყინულის დრაკონი
ფერმკრთალი
WaterFox
Falkon ბრაუზერი

დინამიური ანალიზის წინააღმდეგობა

• ფუნქციის გამოყენებით ძილის. საშუალებას გაძლევთ გვერდის ავლით რამდენიმე ქვიშის ყუთი დროულად
• ძაფის განადგურება ზონა. იდენტიფიკატორი. საშუალებას გაძლევთ დამალოთ ფაილის ინტერნეტიდან ჩამოტვირთვის ფაქტი
• პარამეტრში %filter_list% განსაზღვრავს იმ პროცესების სიას, რომლებსაც მავნე პროგრამა შეწყვეტს ერთი წამის ინტერვალით
• გამორთვა UAC
• ამოცანების მენეჯერის გამორთვა
• გამორთვა CMD
• ფანჯრის გამორთვა "Выполнить"
• საკონტროლო პანელის გამორთვა
• ხელსაწყოს გამორთვა RegEdit
• სისტემის აღდგენის წერტილების გამორთვა
• გამორთეთ კონტექსტური მენიუ Explorer-ში
• გამორთვა MSCONFIG
• შემოვლითი თქვენ მიიღეთ:

ძირითადი მოდულის არააქტიური ფუნქციები

ძირითადი მოდულის ანალიზის დროს გამოვლინდა ფუნქციები, რომლებიც პასუხისმგებელნი იყვნენ ქსელში გავრცელებაზე და მაუსის პოზიციის თვალყურის დევნებაზე.

ჭია

მოსახსნელი მედიის დამაკავშირებელი მოვლენების მონიტორინგი ხდება ცალკე თემაში. როდესაც დაკავშირებულია, მავნე პროგრამა სახელწოდებით კოპირდება ფაილური სისტემის ძირში scr.exe, რის შემდეგაც ის ეძებს ფაილებს გაფართოებით lnk. ყველას გუნდი lnk იცვლება cmd.exe /c start scr.exe&start <ორიგინალი ბრძანება>& გამოსვლა.

მედიის ძირში მდებარე თითოეულ დირექტორიას ენიჭება ატრიბუტი "დამალული" და ფაილი იქმნება გაფართოებით lnk დამალული დირექტორიას სახელით და ბრძანებით cmd.exe /c დაწყება scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" და გასვლა.

MouseTracker

ჩაჭრის მეთოდი კლავიატურაზე გამოყენებულის მსგავსია. ეს ფუნქცია ჯერ კიდევ განვითარების პროცესშია.

ფაილის აქტივობა

გზა	აღწერა
%ტემპ%temp.tmp	შეიცავს მრიცხველს UAC შემოვლითი მცდელობისთვის
%startupfolder%%insfolder%%insname%	გზა მიეკუთვნება HPE სისტემას
%Temp%tmpG{მიმდინარე დრო მილიწამებში}.tmp	გზა ძირითადი მოდულის სარეზერვო ასლისთვის
%Temp%log.tmp	ჟურნალის ფაილი
%AppData%{10 სიმბოლოსგან შემდგარი თვითნებური თანმიმდევრობა}.jpeg	კადრები
C:UsersPublic{10 სიმბოლოსგან შემდგარი თვითნებური თანმიმდევრობა}.vbs	ბილიკი vbs ფაილისკენ, რომელიც ჩამტვირთველს შეუძლია გამოიყენოს სისტემაში დასამაგრებლად
%Temp%{მორგებული საქაღალდის სახელი}ფაილის სახელი}	ბილიკი, რომელსაც იყენებს ჩამტვირთავი სისტემასთან დასამაგრებლად

თავდამსხმელის პროფილი

მყარი კოდირებული ავთენტიფიკაციის მონაცემების წყალობით, ჩვენ შევძელით წვდომა ბრძანების ცენტრში.

ამან მოგვცა საშუალება დაგვედგინა თავდამსხმელთა საბოლოო ელფოსტა:

junaid[.]in***@gmail[.]com.

ბრძანების ცენტრის დომენი რეგისტრირებულია ფოსტაზე sg***@gmail[.]com.

დასკვნა

თავდასხმაში გამოყენებული მავნე პროგრამის დეტალური ანალიზის დროს ჩვენ შევძელით მისი ფუნქციონირების დადგენა და ამ შემთხვევისთვის შესაბამისი კომპრომისის ინდიკატორების ყველაზე სრული სია. მავნე პროგრამების ქსელის ურთიერთქმედების მექანიზმების გააზრებამ შესაძლებელი გახადა რეკომენდაციების მიცემა ინფორმაციული უსაფრთხოების ინსტრუმენტების მუშაობის კორექტირებისთვის, ასევე სტაბილური IDS წესების დაწერა.

მთავარი საფრთხე აგენტ ტესლა ისევე როგორც DataStealer იმით, რომ მას არ სჭირდება სისტემისადმი ვალდებულება ან ლოდინი საკონტროლო ბრძანებას თავისი ამოცანების შესასრულებლად. მას შემდეგ, რაც მანქანაში, ის დაუყოვნებლივ იწყებს პირადი ინფორმაციის შეგროვებას და გადასცემს მას CnC-ზე. ეს აგრესიული ქცევა გარკვეულწილად წააგავს გამოსასყიდი პროგრამის ქცევას, ერთადერთი განსხვავება ისაა, რომ ეს უკანასკნელი არც კი მოითხოვს ქსელურ კავშირს. თუ ამ ოჯახს შეხვდებით, ინფიცირებული სისტემის თავად მავნე პროგრამისგან გაწმენდის შემდეგ, აუცილებლად უნდა შეცვალოთ ყველა პაროლი, რომელიც თეორიულად მაინც შეინახება ზემოთ ჩამოთვლილ ერთ-ერთ აპლიკაციაში.

ეძებს წინ, ვთქვათ, რომ თავდამსხმელები გაგზავნის აგენტ ტესლა, საწყისი ჩამტვირთველი ძალიან ხშირად იცვლება. ეს საშუალებას გაძლევთ შეუმჩნეველი დარჩეთ სტატიკური სკანერებისა და ევრისტიკული ანალიზატორების მიერ შეტევის დროს. და ამ ოჯახის ტენდენცია, რომ დაუყოვნებლივ დაიწყონ თავიანთი საქმიანობა, სისტემის მონიტორებს უსარგებლო ხდის. აგენტტესლას წინააღმდეგ ბრძოლის საუკეთესო გზა არის წინასწარი ანალიზი ქვიშის ყუთში.

ამ სერიის მესამე სტატიაში ჩვენ გადავხედავთ გამოყენებულ სხვა ჩამტვირთველებს აგენტ ტესლა, ასევე შეისწავლეთ მათი ნახევრად ავტომატური შეფუთვის პროცესი. Არ გამოტოვოთ!

Hash

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C&C

URL

sina-c0m[.]icu

smtp[.]sina-c0m[.]icu

RegKey

რეესტრი

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{სკრიპტის სახელი}

HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname%

HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname%

Mutex

ინდიკატორები არ არის.

ფაილები

ფაილის აქტივობა

%ტემპ%temp.tmp

%startupfolder%%insfolder%%insname%

%Temp%tmpG{მიმდინარე დრო მილიწამებში}.tmp

%Temp%log.tmp

%AppData%{10 სიმბოლოსგან შემდგარი თვითნებური თანმიმდევრობა}.jpeg

C:UsersPublic{10 სიმბოლოსგან შემდგარი თვითნებური თანმიმდევრობა}.vbs

%Temp%{მორგებული საქაღალდის სახელი}ფაილის სახელი}

ნიმუშების ინფორმაცია

სახელი	უცნობია
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
ტიპი	PE (.NET)
ზომა	327680
ორიგინალური სახელი	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
თარიღის შტამპი	01.07.2019
შემდგენელი	VB.NET

სახელი	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
ტიპი	PE (.NET DLL)
ზომა	16896
ორიგინალური სახელი	IELibrary.dll
თარიღის შტამპი	11.10.2016
შემდგენელი	Microsoft Linker (48.0*)

წყარო: www.habr.com