투표 실패: AgentTesla를 깨끗한 물에 노출시키자. 2부

우리는 맬웨어 분석에 관한 일련의 기사를 계속합니다. 안에 첫 번째 부분적으로 우리는 CERT Group-IB의 악성 코드 분석 전문가인 Ilya Pomerantsev가 유럽 회사 중 한 곳으로부터 메일로 받은 파일을 자세히 분석하여 그곳에서 스파이웨어를 발견한 방법에 대해 설명했습니다. 에이전트 테슬라. 이 기사에서 Ilya는 메인 모듈의 단계별 분석 결과를 제공합니다. 에이전트 테슬라.

Agent Tesla는 합법적인 키로거 제품을 가장한 서비스형 악성 코드 모델을 사용하여 배포되는 모듈형 스파이 소프트웨어입니다. Agent Tesla는 브라우저, 이메일 클라이언트 및 FTP 클라이언트에서 사용자 자격 증명을 추출하여 공격자에게 서버로 전송하고, 클립보드 데이터를 기록하고, 장치 화면을 캡처할 수 있습니다. 분석 당시에는 개발자의 공식 웹사이트를 이용할 수 없었습니다.

구성 파일

아래 표에는 사용 중인 샘플에 적용되는 기능이 나열되어 있습니다.

기술	가치
KeyLogger 사용 플래그	참된
ScreenLogger 사용 플래그	그릇된
KeyLogger 로그 전송 간격(분)	20
ScreenLogger 로그 전송 간격(분)	20
백스페이스 키 처리 플래그. 거짓 – 로깅만 가능합니다. True – 이전 키를 지웁니다.	그릇된
CNC 유형. 옵션: smtp, 웹패널, ftp	SMTP
"%filter_list%" 목록에서 프로세스를 종료하기 위한 스레드 활성화 플래그	그릇된
UAC 비활성화 플래그	그릇된
작업 관리자 비활성화 플래그	그릇된
CMD 비활성화 플래그	그릇된
실행 창 비활성화 플래그	그릇된
레지스트리 뷰어 비활성화 플래그	그릇된
시스템 복원 지점 플래그 비활성화	참된
제어판 비활성화 플래그	그릇된
MSCONFIG 비활성화 플래그	그릇된
탐색기에서 상황에 맞는 메뉴를 비활성화하는 플래그	그릇된
핀 플래그	그릇된
메인 모듈을 시스템에 고정할 때 복사하기 위한 경로	%startupfolder% %insfolder%%insname%
시스템에 할당된 메인 모듈의 "System" 및 "Hidden" 속성을 설정하기 위한 플래그	그릇된
시스템에 고정된 경우 다시 시작을 수행하도록 플래그 지정	그릇된
메인 모듈을 임시 폴더로 이동하기 위한 플래그	그릇된
UAC 우회 플래그	그릇된
로깅을 위한 날짜 및 시간 형식	yyyy-MM-dd HH:mm:ss
KeyLogger에 대한 프로그램 필터 사용을 위한 플래그	참된
프로그램 필터링 유형. 1 – 프로그램 이름이 창 제목에서 검색됩니다. 2 – 프로그램 이름은 창 프로세스 이름에서 검색됩니다.	1
프로그램 필터	"페이스북" "트위터" "지메일" "인스 타 그램" "영화" "스카이프" "포르노" "마구 자르기" "왓츠앱" "불화"

시스템에 메인 모듈 부착

해당 플래그가 설정되면 시스템에 할당될 경로로 config에서 지정한 경로에 메인 모듈이 복사됩니다.

구성 값에 따라 파일에는 "Hidden" 및 "System" 속성이 부여됩니다.
자동 실행은 두 개의 레지스트리 분기에서 제공됩니다.

• HKCU 소프트웨어MicrosoftWindowsCurrentVersionRun%insregname%
• HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%

부트로더가 프로세스에 주입되기 때문에 RegAsm, 기본 모듈에 대한 영구 플래그를 설정하면 매우 흥미로운 결과가 발생합니다. 악성코드는 자신을 복제하는 대신 원본 파일을 시스템에 첨부했습니다. RegAsm.exe, 그 동안 주사가 수행되었습니다.

C&C와의 상호작용

어떤 방법을 사용하든 네트워크 통신은 해당 리소스를 이용하여 피해자의 외부 IP를 획득하는 것부터 시작됩니다. 점검[.]amazonaws[.]com/.
다음은 소프트웨어에서 제공되는 네트워크 상호 작용 방법을 설명합니다.

웹패널

상호작용은 HTTP 프로토콜을 통해 이루어집니다. 악성코드는 다음 헤더를 사용하여 POST 요청을 실행합니다.

• 사용자 에이전트: Mozilla/5.0(Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0(.NET CLR 3.5.30729)
• 연결 : 연결 유지
• 콘텐츠 유형: application/x-www-form-urlencoded

서버 주소는 값으로 지정됩니다. %포스트URL%. 암호화된 메시지는 매개변수로 전송됩니다. "피". 암호화 메커니즘은 섹션에 설명되어 있습니다. "암호화 알고리즘"(방법 2).

전송된 메시지는 다음과 같습니다.

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

매개 변수 유형 메시지 유형을 나타냅니다.

hwid — MD5 해시는 마더보드 일련 번호 및 프로세서 ID 값으로 기록됩니다. 사용자 ID로 사용되는 경우가 많습니다.
시간 — 현재 시간과 날짜를 전송하는 역할을 합니다.
PC 이름 - 로써 정의 된 <사용자 이름>/<컴퓨터 이름>.
로그 데이터 — 로그 데이터.

비밀번호를 전송할 때 메시지는 다음과 같습니다.

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

다음은 도난당한 데이터 형식에 대한 설명입니다. nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.

SMTP

상호작용은 SMTP 프로토콜을 통해 이루어집니다. 전송된 문자는 HTML 형식입니다. 매개변수 BODY 형식은 다음과 같습니다.

편지 헤더의 일반적인 형식은 다음과 같습니다. <사용자 이름>/<컴퓨터 이름> <콘텐츠 유형>. 편지의 내용과 첨부 파일은 암호화되지 않습니다.

상호작용은 FTP 프로토콜을 통해 이루어집니다. 해당 이름의 파일이 지정된 서버로 전송됩니다. <콘텐츠 유형>_<사용자 이름>-<컴퓨터 이름>_<날짜 및 시간>.html. 파일 내용은 암호화되지 않습니다.

암호화 알고리즘

이 경우에는 다음과 같은 암호화 방법을 사용합니다.

1 메서드

이 방법은 기본 모듈에서 문자열을 암호화하는 데 사용됩니다. 암호화에 사용되는 알고리즘은 AES.

입력은 XNUMX자리 십진수입니다. 다음 변환이 수행됩니다.

f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

결과 값은 포함된 데이터 배열의 인덱스입니다.

각 배열 요소는 시퀀스입니다. DWORD. 병합할 때 DWORD 바이트 배열이 얻어집니다. 처음 32바이트는 암호화 키이고 그 뒤에 16바이트의 초기화 벡터가 있으며 나머지 바이트는 암호화된 데이터입니다.

2 메서드

사용된 알고리즘 3DES 모드에서 ECB 전체 바이트 단위의 패딩 포함(PKCS7).

키는 매개변수에 의해 지정됩니다. %urlkey%그러나 암호화는 MD5 해시를 사용합니다.

악성 기능

연구 중인 샘플은 다음 프로그램을 사용하여 악성 기능을 구현합니다.

키로거

WinAPI 기능을 이용하여 해당 악성코드 플래그가 있는 경우 SetWindowsHookEx 키보드의 키 누르기 이벤트에 대한 자체 핸들러를 할당합니다. 핸들러 함수는 활성 창의 제목을 가져오는 것으로 시작됩니다.

애플리케이션 필터링 플래그가 설정된 경우 지정된 유형에 따라 필터링이 수행됩니다.

1. 프로그램 이름은 창 제목에서 검색됩니다.
2. 프로그램 이름은 창 프로세스 이름에서 조회됩니다.

다음으로, 활성 창에 대한 정보가 포함된 레코드가 다음 형식으로 로그에 추가됩니다.

그런 다음 누른 키에 대한 정보가 기록됩니다.

열쇠	기록
백 스페이스 키	백스페이스 키 처리 플래그에 따라: False – {BACK} True – 이전 키를 지웁니다.
캡스락	{CAPSLOCK}
ESC	{ESC}
페이지 업	{페이지 위로}
아래로	↓
삭제	{DEL}
"	"
F5	{F5}
&	와
F10	{F10}
TAB	{탭}
<	<
>	>
스페이스 바
F8	{F8}
F12	{F12}
F9	{F9}
Alt + Tab	{ALT+TAB}
END	{끝}
F4	{F4}
F2	{F2}
CTRL	{CTRL 키}
F6	{F6}
권리	→
Up	↑
F1	{F1}
좌회전	←
PageDown 키	{페이지다운}
끼워 넣다	{끼워 넣다}
승리	{이기다}
숫자 잠금	{Num 잠금}
F11	{F11}
F3	{F3}
홈	{집}
ENTER	{입력하다}
ALT + F4	{ALT+F4}
F7	{F7}
다른 열쇠	CapsLock 및 Shift 키의 위치에 따라 문자가 대문자 또는 소문자로 표시됩니다.

지정된 빈도로 수집된 로그가 서버로 전송됩니다. 전송에 실패하면 로그가 파일에 저장됩니다. %TEMP%log.tmp 형식:

타이머가 실행되면 파일이 서버로 전송됩니다.

스크린로거

지정된 빈도로 악성코드는 다음 형식으로 스크린샷을 생성합니다. JPEG 의미를 가지고 품질 50과 같고 파일에 저장합니다. %APPDATA %<10자의 무작위 순서>.jpg. 전송 후 파일은 삭제됩니다.

클립보드로거

적절한 플래그가 설정되면 아래 표에 따라 가로채는 텍스트가 대체됩니다.

그런 다음 텍스트가 로그에 삽입됩니다.

비밀번호 도둑

악성코드는 다음 애플리케이션에서 비밀번호를 다운로드할 수 있습니다.

Браузеры	메일 클라이언트	FTP 클라이언트
크롬	Outlook	FileZilla의
파이어 폭스	천둥새	WS_FTP
IE/엣지	Foxmail	WinSCP를
Safari	오페라 메일	코어FTP
오페라 브라우저	IncrediMail을	FTP 네비게이터
Yandex 주차	포코메일	FlashFXP
코모도	유도라	SmartFTP
크롬플러스	박쥐	FTP커맨더
Chromium	우체통
토치	발톱메일
7Star
아미고
Brave소프트웨어	Jabber 클라이언트	VPN 클라이언트
센트브라우저	사이/사이+	VPN 열기
체도
콕콕
요소 브라우저	다운로드 관리자
에픽 프라이버시 브라우저	인터넷 다운로드 관리자
코메타	JDownloader
궤도
인공 위성
유코즈미디어
비발디
이유로
무리 브라우저
UC 브라우저
BlackHawk의
사이버폭스
케이 멜론
아이 스캣
Icedragon
페일문
워터폭스
팔콘 브라우저

동적 해석에 대한 대응

• 기능 사용 수면. 시간 초과로 일부 샌드박스를 우회할 수 있습니다.
• 스레드 파괴 구역.식별자. 인터넷에서 파일을 다운로드한다는 사실을 숨길 수 있습니다.
• 매개변수에서 %filter_list% 맬웨어가 XNUMX초 간격으로 종료할 프로세스 목록을 지정합니다.
• 연결 끊기 UAC
• 작업 관리자 비활성화
• 연결 끊기 CMD
• 창 비활성화 "운영"
• 제어판 비활성화
• 도구 비활성화 Regedit를
• 시스템 복원 지점 비활성화
• 탐색기에서 상황에 맞는 메뉴 비활성화
• 연결 끊기 MSCONFIG
• 우회로 UAC:

메인 모듈의 비활성 기능

메인 모듈을 분석하는 동안 네트워크 전체에 확산하고 마우스 위치를 추적하는 기능이 식별되었습니다.

벌레

이동식 미디어 연결 이벤트는 별도의 스레드에서 모니터링됩니다. 연결되면 해당 이름의 악성코드가 파일시스템의 루트에 복사됩니다. scr.exe, 그 후에 확장자를 가진 파일을 검색합니다. LNK. 모두의 팀 LNK ~로 변경 cmd.exe /c start scr.exe&start <원래 명령>& 종료.

미디어 루트의 각 디렉터리에는 속성이 제공됩니다. "숨겨진" 확장자를 가진 파일이 생성됩니다. LNK 숨겨진 디렉토리의 이름과 명령으로 cmd.exe /c start scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & 종료.

마우스트래커

가로채기를 수행하는 방법은 키보드에 사용되는 방법과 유사합니다. 이 기능은 아직 개발 중입니다.

파일 활동

경로	기술
%온도%temp.tmp	UAC 우회 시도에 대한 카운터가 포함되어 있습니다.
%startupfolder%%insfolder%%insname%	HPE 시스템에 할당할 경로
%Temp%tmpG{현재 시간(밀리초)}.tmp	메인모듈 백업 경로
%온도%log.tmp	로그 파일
%AppData%{10자의 임의 시퀀스}.jpeg	스크린샷
C:UsersPublic{10자의 임의 시퀀스}.vbs	부트로더가 시스템에 연결하는 데 사용할 수 있는 VBS 파일의 경로
%Temp%{사용자 정의 폴더 이름}{파일 이름}	부트로더가 시스템에 연결하기 위해 사용하는 경로

공격자 프로필

하드코딩된 인증 데이터 덕분에 우리는 지휘본부에 접근할 수 있었습니다.

이를 통해 우리는 공격자의 최종 이메일을 식별할 수 있었습니다.

junaid[.]in***@gmail[.]com.

메일에는 지휘센터의 도메인명이 등록되어 있습니다. sg***@gmail[.]com.

결론

공격에 사용된 악성 코드를 자세히 분석하는 동안 우리는 해당 기능을 확립하고 이 사례와 관련된 가장 완전한 손상 지표 목록을 얻을 수 있었습니다. 악성 코드 간의 네트워크 상호 작용 메커니즘을 이해함으로써 정보 보안 도구의 작동 조정을 위한 권장 사항을 제공하고 안정적인 IDS 규칙을 작성할 수 있었습니다.

주요 위험 에이전트 테슬라 시스템에 커밋하거나 작업을 수행하기 위해 제어 명령을 기다릴 필요가 없다는 점에서 DataStealer와 같습니다. 기계에 접속하면 즉시 개인 정보 수집을 시작하여 CnC로 전송합니다. 이러한 공격적인 행동은 어떤 면에서는 랜섬웨어의 행동과 유사하지만 유일한 차이점은 랜섬웨어의 경우 네트워크 연결이 필요하지 않다는 것입니다. 이 계열이 발견되면 맬웨어 자체에서 감염된 시스템을 치료한 후 적어도 이론적으로는 위에 나열된 응용 프로그램 중 하나에 저장될 수 있는 모든 비밀번호를 변경해야 합니다.

앞으로 공격자가 보내는 메시지를 가정해 보겠습니다. 에이전트 테슬라, 초기 부트 로더는 매우 자주 변경됩니다. 이를 통해 공격 시 정적 스캐너와 휴리스틱 분석기의 눈에 띄지 않게 됩니다. 그리고 이 가족이 즉시 활동을 시작하는 경향으로 인해 시스템 모니터가 쓸모 없게 됩니다. AgentTesla와 싸우는 가장 좋은 방법은 샌드박스에서의 예비 분석입니다.

이 시리즈의 세 번째 기사에서는 사용되는 다른 부트로더를 살펴보겠습니다. 에이전트 테슬라, 반자동 포장 풀기 과정도 연구합니다. 놓치지 마세요!

해시

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C & C

URL

시나-c0m[.]icu

smtp[.]sina-c0m[.]icu

등록키

레지스트리

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{스크립트 이름}

HKCU소프트웨어MicrosoftWindowsCurrentVersionRun%insregname%

HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname%

뮤텍스

지표가 없습니다.

파일

파일 활동

%온도%temp.tmp

%startupfolder%%insfolder%%insname%

%Temp%tmpG{현재 시간(밀리초)}.tmp

%온도%log.tmp

%AppData%{10자의 임의 시퀀스}.jpeg

C:UsersPublic{10자의 임의 시퀀스}.vbs

%Temp%{사용자 정의 폴더 이름}{파일 이름}

샘플 정보

성함	알 수 없는
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
타입	PE(.NET)
크기	327680
원본 이름	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
날짜 스탬프	01.07.2019
컴파일러	VB.NET

성함	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
타입	PE(.NET DLL)
크기	16896
원본 이름	IELibrary.dll
날짜 스탬프	11.10.2016
컴파일러	마이크로소프트 링커(48.0*)

출처 : habr.com