🥇외관 실패: AgentTesla를 깨끗한 물로 데려오고 있습니다. 1부

최근 유럽의 한 전기 설치 장비 제조업체가 Group-IB에 연락했습니다. 해당 직원은 악성 첨부 파일이 포함된 의심스러운 편지를 우편으로 받았습니다. 일리아 포메란체프CERT Group-IB의 악성 코드 분석 전문가인 는 이 파일에 대한 자세한 분석을 수행한 후 그곳에서 AgentTesla 스파이웨어를 발견하고 이러한 악성 코드에서 예상할 수 있는 것과 그것이 얼마나 위험한지 알려주었습니다.

이 게시물을 통해 우리는 잠재적으로 위험한 파일을 분석하는 방법에 대한 일련의 기사를 시작하고 5월 XNUMX일에 주제에 대한 무료 대화형 웹 세미나를 위해 가장 호기심이 많은 분들을 기다리고 있습니다. “악성코드 분석: 실제 사례 분석”. 모든 세부 사항은 컷 아래에 있습니다.

배포 메커니즘

우리는 악성코드가 피싱 이메일을 통해 피해자의 컴퓨터에 도달했다는 것을 알고 있습니다. 편지를 받은 사람은 아마 숨은참조였을 겁니다.

헤더를 분석한 결과, 편지를 보낸 사람이 스푸핑된 것으로 나타났습니다. 사실, 남겨진 편지는 vps56[.]oneworldhosting[.]com.

이메일 첨부 파일에는 WinRar 아카이브가 포함되어 있습니다. qoute_jpeg56a.r15 악성 실행 파일로 QOUTE_JPEG56A.exe 내부에.

악성코드 생태계

이제 연구 중인 악성 코드의 생태계가 어떤지 살펴보겠습니다. 아래 다이어그램은 구성 요소의 구조와 상호 작용 방향을 보여줍니다.

이제 각 악성코드 구성요소를 더 자세히 살펴보겠습니다.

짐을 싣는 사람

원본 파일 QOUTE_JPEG56A.exe 컴파일된 것입니다 오토잇 v3 스크립트.

원본 스크립트를 난독화하기 위해 유사한 난독화 장치를 사용합니다. PELock AutoIT 난독처리기 특성.
난독화는 세 단계로 수행됩니다.

난독화 제거 For-If
첫 번째 단계는 스크립트의 제어 흐름을 복원하는 것입니다. 제어 흐름 평면화는 분석으로부터 애플리케이션 바이너리 코드를 보호하는 가장 일반적인 방법 중 하나입니다. 혼란스러운 변환은 알고리즘과 데이터 구조를 추출하고 인식하는 복잡성을 극적으로 증가시킵니다.
행 복구
문자열을 암호화하는 데는 두 가지 함수가 사용됩니다.
- gdorizabegkvfca - Base64와 유사한 디코딩을 수행합니다.
- xgacyukcyzxz - 첫 번째 문자열과 두 번째 문자열의 간단한 바이트-바이트 XOR
난독화 제거 BinaryToString и 실행하다

주요 로드는 디렉토리에 분할된 형태로 저장됩니다. 글꼴 파일의 리소스 섹션.

접착 순서는 다음과 같습니다. TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, 화조, AVZOUMVFRDWFLWU.

WinAPI 기능은 추출된 데이터를 해독하는 데 사용됩니다. 암호화해독, 그 값을 기준으로 생성된 세션키를 키로 사용한다. fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

해독된 실행 파일은 함수 입력으로 전송됩니다. RunPE수행하는 프로세스 주입 в RegAsm.exe 내장을 사용하여 쉘코드 (또한 ~으로 알려진 PE 쉘코드 실행). 저작권은 스페인어 포럼 사용자에게 있습니다. 탐지 불가능[.]net Wardow라는 별명으로.

이 포럼의 스레드 중 하나에 난독 처리기가 있다는 점도 주목할 가치가 있습니다. AutoIt을 샘플 분석 중에 유사한 특성이 확인되었습니다.

그 자신 쉘코드 매우 간단하며 해커 그룹 AnunakCarbanak에서만 빌린 관심을 끌고 있습니다. API 호출 해싱 함수.

우리는 또한 사용 사례를 알고 있습니다. 프렌치 쉘코드 다른 버전.
설명된 기능 외에도 다음과 같은 비활성 기능도 확인했습니다.

작업 관리자에서 수동 프로세스 종료 차단
종료 시 하위 프로세스 다시 시작
UAC 우회
페이로드를 파일에 저장
모달 창 데모
마우스 커서 위치가 바뀔 때까지 기다리는 중
AntiVM 및 AntiSandbox
자기 파괴
네트워크에서 페이로드 펌핑

우리는 이러한 기능이 보호자에게 일반적이라는 것을 알고 있습니다. 사이퍼IT, 분명히 문제의 부트로더입니다.

소프트웨어의 주요 모듈

다음으로 악성코드의 주요 모듈에 대해 간략히 설명하고, 두 번째 글에서 좀 더 자세히 살펴보도록 하겠습니다. 이 경우 신청은 다음과 같습니다. . NET.

분석 과정에서 Obfuscator가 사용된 것을 발견했습니다. 컨퓨저EX.

IELibrary.dll

라이브러리는 기본 모듈 리소스로 저장되며 잘 알려진 플러그인입니다. 에이전트 테슬라, Internet Explorer 및 Edge 브라우저에서 다양한 정보를 추출하는 기능을 제공합니다.

Agent Tesla는 합법적인 키로거 제품을 가장한 서비스형 악성 코드 모델을 사용하여 배포되는 모듈형 스파이 소프트웨어입니다. Agent Tesla는 브라우저, 이메일 클라이언트 및 FTP 클라이언트에서 사용자 자격 증명을 추출하여 공격자에게 서버로 전송하고, 클립보드 데이터를 기록하고, 장치 화면을 캡처할 수 있습니다. 분석 당시에는 개발자의 공식 웹사이트를 이용할 수 없었습니다.

진입점은 다음과 같습니다. 저장된 비밀번호 가져오기 인터넷 익스플로러 클래스.

일반적으로 코드 실행은 선형적이며 분석에 대한 보호 기능이 포함되어 있지 않습니다. 실현되지 않은 기능에만 주목할 가치가 있습니다. 쿠키 저장받기. 분명히 플러그인의 기능이 확장될 예정이었지만, 이는 결코 이루어지지 않았습니다.

시스템에 부트로더 연결

부트로더가 시스템에 어떻게 연결되는지 살펴보겠습니다. 연구 중인 표본은 고정되지 않지만 유사한 경우에는 다음 계획에 따라 발생합니다.

폴더에 C:사용자공개 스크립트가 생성되었습니다 Visual Basic을
스크립트 예:
부트로더 파일의 내용은 널 문자로 채워져 폴더에 저장됩니다. %Temp%<사용자 정의 폴더 이름><파일 이름>
스크립트 파일의 레지스트리에 자동 실행 키가 생성됩니다. HKCUSoftwareMicrosoftWindowsCurrentVersionRun<스크립트 이름>

그래서 XNUMX차 분석 결과를 바탕으로 연구 대상 악성코드의 모든 구성요소군 이름을 확립하고, 감염 패턴을 분석하고, 시그니처 작성을 위한 객체도 확보할 수 있었다. 다음 기사에서 이 객체에 대한 분석을 계속할 것이며, 여기서는 메인 모듈을 더 자세히 살펴볼 것입니다. 에이전트 테슬라. 놓치지 마세요!

그건 그렇고, 5월 XNUMX일에 우리는 CERT-GIB 전문가인 이 기사의 저자가 악성 코드 분석의 첫 번째 단계를 온라인으로 보여줄 "악성 프로그램 분석: 실제 사례 분석"이라는 주제에 대한 무료 대화형 웹 세미나에 모든 독자를 초대합니다. 악성 코드 분석 - 실습에서 발생한 세 가지 실제 미니 사례의 예를 사용하여 샘플을 반자동으로 압축 해제하고 분석에 참여할 수 있습니다. 본 웨비나는 이미 악성 파일 분석 경험이 있는 전문가에게 적합합니다. 등록은 회사 이메일을 통해서만 이루어집니다. 지금 등록하십시오. 너를 기다리고있어!

야라

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

해시

성함	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
타입	WinRAR 보관
크기	823014

성함	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
타입	PE(컴파일된 AutoIt 스크립트)
크기	1327616
원본 이름	알 수 없는
날짜 스탬프	15.07.2019
링크	마이크로소프트 링커(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
타입	쉘코드
크기	1474

출처 : habr.com

투표 실패: AgentTesla를 깨끗한 물에 노출시키자. 1부