Біз зиянды бағдарламаларды талдауға арналған мақалалар топтамасын жалғастырамыз. IN Ішінара біз CERT Group-IB зиянды бағдарламаларды талдау жөніндегі маманы Илья Померанцев еуропалық компаниялардың бірінен пошта арқылы алынған файлға егжей-тегжейлі талдау жүргізіп, ол жерден шпиондық бағдарламаны қалай тапқанын айттық. Агент Tesla. Бұл мақалада Илья негізгі модульді кезең-кезеңімен талдау нәтижелерін береді Агент Tesla.
Agent Tesla - заңды keylogger өнімінің астында зиянды бағдарлама-қызмет үлгісін пайдаланып таратылатын модульдік тыңшылық бағдарламалық қамтамасыз ету. Tesla агенті браузерлерден, электрондық пошта клиенттерінен және FTP клиенттерінен пайдаланушының тіркелгі деректерін шығарып, шабуылдаушыларға серверге жіберуге, алмасу буферінің деректерін жазуға және құрылғы экранын түсіруге қабілетті. Талдау кезінде әзірлеушілердің ресми сайты қолжетімсіз болды.
Конфигурация файлы
Төмендегі кестеде сіз пайдаланып жатқан үлгіге қандай функциялар қолданылатыны көрсетілген:
| сипаттамасы | құн |
| KeyLogger қолдану жалаушасы | шынайы |
| ScreenLogger қолдану жалаушасы | жалған |
| KeyLogger журналын жіберу аралығы минутпен | 20 |
| ScreenLogger журналын жіберу аралығы минуттарда | 20 |
| Backspace пернесін өңдеу жалаушасы. False – тек тіркеу. True – алдыңғы кілтті өшіреді | жалған |
| CNC түрі. Опциялар: smtp, webpanel, ftp | SMTP |
| «%filter_list%» тізіміндегі процестерді тоқтатуға арналған ағынды белсендіру жалаушасы | жалған |
| UAC жалауын өшіру | жалған |
| Тапсырма менеджері жалаушаны өшіреді | жалған |
| CMD жалауын өшіру | жалған |
| Терезені өшіру жалауын іске қосыңыз | жалған |
| Тізілімді қарау құралы жалаушаны өшіру | жалған |
| Жүйені қалпына келтіру нүктелерінің жалауын өшіріңіз | шынайы |
| Басқару тақтасы жалаушаны өшіреді | жалған |
| MSCONFIG жалаушасын өшіреді | жалған |
| Explorer бағдарламасындағы контекстік мәзірді өшіру үшін жалауша | жалған |
| Жалаушаны бекіту | жалған |
| Негізгі модульді жүйеге бекіту кезінде оны көшіру жолы | %бастапқы қалта% %пайдаланғыш%%inname% |
| Жүйеге тағайындалған негізгі модуль үшін «Жүйе» және «Жасырын» атрибуттарын орнату жалаушасы | жалған |
| Жүйеге бекітілген кезде қайта іске қосу үшін жалауша | жалған |
| Негізгі модульді уақытша қалтаға жылжытуға арналған жалауша | жалған |
| UAC айналып өту жалауы | жалған |
| Журналға арналған күн мен уақыт пішімі | жжжж-АА-кк СС:мм:сс |
| KeyLogger үшін бағдарлама сүзгісін пайдалану үшін жалауша | шынайы |
| Бағдарламаны сүзу түрі. 1 – терезе тақырыптарында бағдарлама атауы ізделеді 2 – бағдарлама аты терезе процесінің атауында ізделеді |
1 |
| Бағдарлама сүзгісі | "facebook" "twitter" "gmail" "инстаграм" «фильм» "скайп" «порно» «бұзу» "whatsapp" «қайшылық» |
Негізгі модульді жүйеге бекіту
Сәйкес жалауша орнатылған болса, негізгі модуль жүйеге тағайындалатын жол ретінде конфигурацияда көрсетілген жолға көшіріледі.
Конфигурациядан алынған мәнге байланысты файлға «Жасырын» және «Жүйе» атрибуттары беріледі.
Autorun екі тізілім филиалымен қамтамасыз етіледі:
- HKCU бағдарламалық құралыMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Себебі жүктеуші процесске енгізеді RegAsm, негізгі модуль үшін тұрақты жалаушаны орнату өте қызықты салдарға әкеледі. Өзін көшірудің орнына, зиянды бағдарлама жүйеге түпнұсқа файлды тіркеді RegAsm.exe, оның барысында инъекция жүргізілді.
C&C-мен өзара әрекеттесу
Қолданылатын әдіске қарамастан, желілік байланыс ресурсты пайдалана отырып, жәбірленушінің сыртқы IP-ін алудан басталады [.]amazonaws[.]com/.
Төменде бағдарламалық құралда ұсынылған желілік өзара әрекеттесу әдістері сипатталған.
веб-панель
Өзара әрекеттесу HTTP протоколы арқылы жүзеге асады. Зиянды бағдарлама келесі тақырыптармен POST сұрауын орындайды:
- Пайдаланушы агенті: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Байланыс: Keep-Alive
- Content-Type: application/x-www-form-urlencoded
Сервер мекенжайы мән арқылы көрсетіледі %PostURL%. Параметрде шифрланған хабарлама жіберіледі «P». Шифрлау механизмі бөлімде сипатталған «Шифрлау алгоритмдері» (2-әдіс).
Жіберілген хабарлама келесідей көрінеді:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Параметр түрі хабар түрін көрсетеді:
hwid — MD5 хэші аналық платаның сериялық нөмірі мен процессор идентификаторының мәндерінен жазылады. Пайдаланушы идентификаторы ретінде пайдаланылуы мүмкін.
уақыт — ағымдағы уақыт пен күнді жіберу үшін қызмет етеді.
компьютер атауы - ретінде анықталады <Пайдаланушы аты>/<Компьютер аты>.
тіркеу деректері — журнал деректері.
Құпия сөздерді жіберу кезінде хабарлама келесідей болады:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Төменде ұрланған деректердің пішімдегі сипаттамасы берілген nclient[]={0}nlink[]={1}пайдаланушы аты[]={2}npassword[]={3}.
SMTP
Өзара әрекеттесу SMTP протоколы арқылы жүзеге асады. Жіберілген хат HTML пішімінде. Параметр КӨМЕК нысаны бар:
Хаттың тақырыбының жалпы формасы бар: <ПАЙДАЛАНУШЫНЫҢ АТЫ>/<КОМПЬЮТЕР АТЫ> <МАЗМҰН ТҮРІ>. Хаттың мазмұны, сондай-ақ оның қосымшалары шифрланбаған.
Өзара әрекеттесу FTP протоколы арқылы жүзеге асады. Атауы бар файл көрсетілген серверге тасымалданады <МАЗМҰН ТҮРІ>_<ПАЙДАЛАНУШЫ АТЫ>-<КОМПЬЮТЕР АТЫ>_<КҮН ЖӘНЕ УАҚЫТ>.html. Файлдың мазмұны шифрланбаған.
Шифрлау алгоритмдері
Бұл жағдайда келесі шифрлау әдістері қолданылады:
1 әдісі
Бұл әдіс негізгі модульдегі жолдарды шифрлау үшін қолданылады. Шифрлау үшін қолданылатын алгоритм AES.
Кіріс алты таңбалы ондық сан. Оған келесі түрлендіру орындалады:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Нәтижедегі мән ендірілген деректер массивінің индексі болып табылады.
Әрбір массив элементі тізбек болып табылады DWORD. Біріктіру кезінде DWORD байт массиві алынады: алғашқы 32 байт шифрлау кілті, одан кейін инициализация векторының 16 байты, ал қалған байт шифрланған деректер болып табылады.
2 әдісі
Қолданылатын алгоритм 3DES режимінде ECB толық байтпен толтырумен (PKCS7).
Кілт параметр арқылы көрсетіледі %urlkey%дегенмен, шифрлау оның MD5 хэшін пайдаланады.
Зиянды функция
Зерттелетін үлгі өзінің зиянды қызметін жүзеге асыру үшін келесі бағдарламаларды пайдаланады:
KeyLogger
WinAPI функциясын пайдаланатын сәйкес зиянды бағдарлама жалаушасы болса SetWindowsHookEx пернетақтадағы пернені басу оқиғалары үшін өзінің өңдеушісін тағайындайды. Өңдеуші функциясы белсенді терезенің тақырыбын алу арқылы басталады.
Қолданбаны сүзу жалауы орнатылған болса, сүзу көрсетілген түрге байланысты орындалады:
- бағдарлама атауы терезе тақырыптарында ізделеді
- бағдарлама аты терезенің процесс атауында ізделеді
Әрі қарай, пішімдегі белсенді терезе туралы ақпараты бар жазба журналға қосылады:
Содан кейін басылған перне туралы ақпарат жазылады:
| Кілт | рекорд |
| Backspace | Backspace пернесін өңдеу жалаушасына байланысты: False – {BACK} True – алдыңғы кілтті өшіреді |
| ЖОҒАРҒЫ БАС ӘРІП РЕГИСТРІ | {ЖОҒАРҒЫ БАС ӘРІП РЕГИСТРІ} |
| ШЫҒУ | {ШЫҒУ} |
| PageUp | {PageUp} |
| төмен | ↓ |
| ЖОЮ | {DEL} |
| « | « |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| ТАБ | {TAB} |
| < | < |
| > | > |
| Бос орын | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| СОҢЫ | {СОҢЫ} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| оң | → |
| Up | ↑ |
| F1 | {F1} |
| сол | ← |
| PageDown | {PageDown} |
| салу | {Кірістіру} |
| Жеңу | {Жеңу} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Басқа кілт | Таңба CapsLock және Shift пернелерінің орындарына байланысты бас немесе кіші әріппен жазылады |
Белгіленген жиілікте жиналған журнал серверге жіберіледі. Тасымалдау сәтсіз болса, журнал файлға сақталады %TEMP%log.tmp форматта:
Таймер іске қосылғанда файл серверге жіберіледі.
ScreenLogger
Белгіленген жиілікте зиянды бағдарлама пішімде скриншот жасайды Jpeg мәнімен бірге сапа 50-ге тең және оны файлға сақтайды %APPDATA %<10 таңбадан тұратын кездейсоқ реттілік>.jpg. Тасымалданғаннан кейін файл жойылады.
ClipboardLogger
Сәйкес жалауша орнатылған болса, төмендегі кестеге сәйкес үзілген мәтінде ауыстырулар жасалады.
Осыдан кейін мәтін журналға енгізіледі:
PasswordStealer
Зиянды бағдарлама құпия сөздерді келесі қолданбалардан жүктей алады:
| Браузерлер | Пошта клиенттері | FTP клиенттері |
| Chrome | көзқарас | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| Safari | Opera поштасы | CoreFTP |
| Opera шолушысы | IncrediMail | FTP навигаторы |
| Яндекс | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| хром | Пошта жәшігі | |
| Қолжазба | ClawsMail | |
| 7Star | ||
| Амиго | ||
| BraveSoftware | Jabber клиенттері | VPN клиенттері |
| CentBrowser | Psi/Psi+ | VPN ашыңыз |
| Чедот | ||
| CocCoc | ||
| Elements шолғышы | Жүктеу менеджерлері | |
| Epic құпиялылық шолғышы | Internet Download Manager | |
| Комета | JDownloader | |
| Орбитум | ||
| Спутник | ||
| uCozMedia | ||
| Вивальди | ||
| SeaMonkey | ||
| Flock браузері | ||
| UC браузері | ||
| BlackHawk | ||
| Кибер түлкі | ||
| К-Мелеон | ||
| мұз мысық | ||
| мұз айдаһар | ||
| PaleMoon | ||
| WaterFox | ||
| Falkon браузері |
Динамикалық талдауға қарсы әрекет
- Функцияны пайдалану ұйықтау. Күту уақыты бойынша кейбір құм жәшіктерін айналып өтуге мүмкіндік береді
- Жіпті бұзу Аймақ. Анықтағыш. Интернеттен файлды жүктеу фактісін жасыруға мүмкіндік береді
- Параметрде %filter_list% зиянды бағдарлама бір секунд аралығымен тоқтатылатын процестердің тізімін көрсетеді
- Ажырату UAC
- Тапсырма менеджерін өшіру
- Ажырату CMD
- Терезені өшіру «Жүгіру»
- Басқару тақтасын өшіру
- Құралды өшіру RegEdit
- Жүйені қалпына келтіру нүктелерін өшіру
- Explorer бағдарламасындағы контекстік мәзірді өшіріңіз
- Ажырату MSCONFIG
- Айналма жол UAC:
Негізгі модульдің белсенді емес мүмкіндіктері
Негізгі модульді талдау барысында желі бойынша таратуға және тінтуірдің орнын қадағалауға жауапты функциялар анықталды.
құрт
Алынбалы құралды қосу оқиғалары бөлек ағында бақыланады. Қосылған кезде аты бар зиянды бағдарлама файлдық жүйенің түбіріне көшіріледі scr.exe, содан кейін ол кеңейтімі бар файлдарды іздейді lnk. Барлығының командасы lnk өзгерту cmd.exe /c start scr.exe&бастау <бастапқы пәрмен>және шығыңыз.
Тасымалдаушы түбірдегі әрбір каталогқа төлсипат беріледі «Жасырын» және кеңейтіммен файл жасалады lnk жасырын каталогтың атымен және пәрменімен cmd.exe /c start scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" және шығыңыз.
MouseTracker
Ұстауды орындау әдісі пернетақта үшін қолданылатын әдіске ұқсас. Бұл функция әлі де әзірлену үстінде.
Файл әрекеті
| жолы | сипаттамасы |
| %Temp%temp.tmp | UAC айналып өту әрекеттері үшін есептегішті қамтиды |
| %бастау%%қалта%%inname% | HPE жүйесіне тағайындалатын жол |
| %Temp%tmpG{Миллисекундтағы ағымдағы уақыт}.tmp | Негізгі модульдің сақтық көшірмесін жасау жолы |
| %Temp%log.tmp | Журнал файлы |
| %AppData%{10 таңбадан тұратын ерікті реттілік}.jpeg | Скриншоты |
| C:UsersPublic{10 таңбадан тұратын ерікті реттілік}.vbs | Жүктеуші жүйеге тіркеу үшін пайдалана алатын vbs файлының жолы |
| %Temp%{Пайдаланушы қалта аты}{Файл аты} | Жүйеге өзін қосу үшін жүктеуші пайдаланатын жол |
Шабуылшы профилі
Қатты кодталған аутентификация деректерінің арқасында біз командалық орталыққа қол жеткізе алдық.
Бұл бізге шабуылдаушылардың соңғы электрондық поштасын анықтауға мүмкіндік берді:
junaid[.]in***@gmail[.]com.
Командалық орталықтың домендік атауы поштаға тіркелген sg***@gmail[.]com.
қорытынды
Шабуыл кезінде пайдаланылған зиянды бағдарламаны егжей-тегжейлі талдау барысында біз оның функционалдығын анықтап, осы жағдайға қатысты компромисс көрсеткіштерінің толық тізімін ала алдық. Зиянды бағдарламалар арасындағы желілік өзара әрекеттесу механизмдерін түсіну ақпараттық қауіпсіздік құралдарының жұмысын реттеу бойынша ұсыныстар беруге, сонымен қатар тұрақты IDS ережелерін жазуға мүмкіндік берді.
Негізгі қауіп Агент Tesla DataStealer сияқты, оның тапсырмаларын орындау үшін жүйеге қосылудың немесе басқару пәрменін күтудің қажеті жоқ. Құрылғыға кіргеннен кейін ол дереу жеке ақпаратты жинай бастайды және оны CnC-ге жібереді. Бұл агрессивті мінез-құлық кейбір жағынан төлемдік бағдарламалық құралдың әрекетіне ұқсас, жалғыз айырмашылығы соңғысы тіпті желі қосылымын қажет етпейді. Егер сіз осы отбасымен кездессеңіз, вирус жұққан жүйені зиянды бағдарламаның өзінен тазартқаннан кейін, кем дегенде теориялық түрде жоғарыда аталған қолданбалардың бірінде сақталуы мүмкін барлық құпия сөздерді міндетті түрде өзгерту керек.
Алға қарап, шабуылдаушылар жіберді делік Агент Tesla, бастапқы жүктеуші өте жиі ауыстырылады. Бұл шабуыл кезінде статикалық сканерлер мен эвристикалық анализаторлардың назарынан тыс қалуға мүмкіндік береді. Ал бұл отбасының өз қызметін бірден бастауға бейімділігі жүйелік мониторларды пайдасыз етеді. AgentTesla-мен күресудің ең жақсы жолы - құмсалғышта алдын ала талдау.
Осы серияның үшінші мақаласында біз пайдаланылған басқа жүктеушілерді қарастырамыз Агент Tesla, сонымен қатар оларды жартылай автоматты түрде орау процесін зерттейді. Жіберіп алма!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Тіркеу |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script атауы} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Мутекс
Көрсеткіштер жоқ.
Файлдар
| Файл әрекеті |
| %Temp%temp.tmp |
| %бастау%%қалта%%inname% |
| %Temp%tmpG{Миллисекундтағы ағымдағы уақыт}.tmp |
| %Temp%log.tmp |
| %AppData%{10 таңбадан тұратын ерікті реттілік}.jpeg |
| C:UsersPublic{10 таңбадан тұратын ерікті реттілік}.vbs |
| %Temp%{Пайдаланушы қалта аты}{Файл аты} |
Үлгілер туралы ақпарат
| Толық аты-жөніңіз | белгісіз |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| түрі | PE (.NET) |
| Өлшем | 327680 |
| Түпнұсқа аты | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Күн белгісі | 01.07.2019 |
| Құрастырушы | VB.NET |
| Толық аты-жөніңіз | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| түрі | PE (.NET DLL) |
| Өлшем | 16896 |
| Түпнұсқа аты | IELibrary.dll |
| Күн белгісі | 11.10.2016 |
| Құрастырушы | Microsoft Linker (48.0*) |
Ақпарат көзі: www.habr.com