Tevlihevî têk çû: Ka em AgentTesla bi ava paqij vekin. Beş 1

Di van demên dawî de, hilberînerek Ewropî ya alavên sazkirina elektrîkê têkilî bi Group-IB re kir - karmendê wê nameyek gumanbar bi pêvekek xirab di nameyê de wergirt. Ilya Pomerantsev, pisporek analîzkirina malware li CERT Group-IB, analîzek hûrgulî ya vê pelê kir, li wir sîxuriya AgentTesla keşf kir û got ku meriv çi ji malware wusa hêvî dike û ew çawa xeternak e.

Bi vê postê re em rêzek gotaran vedikin ka meriv çawa pelên weha potansiyel xeternak analîz dike, û em li benda yên herî meraq di 5-ê Kanûnê de ji bo webinarek înteraktîf belaş a li ser mijarê ne. "Analîzkirina Malware: Analîza Dozên Rastîn". Hemî hûrgulî di bin qutbûnê de ne.

Mekanîzmaya belavkirinê

Em dizanin ku malware bi e-nameyên phishing gihîştiye makîneya qurbanê. Wergirtina nameyê belkî BCC bû.

Analîza sernivîsan nîşan dide ku şanderê nameyê xapînok bûye. Bi rastî, nameyê bi vps56[.]oneworldhosting[.]com.

Di pêveka e-nameyê de arşîvek WinRar heye qoute_jpeg56a.r15 bi pelê darvekirî yê xerab QOUTE_JPEG56A.exe nav.

Ekosîstema malware

Naha em bibînin ka ekosîstema malwareya di bin lêkolînê de çawa xuya dike. Diagrama jêrîn avahiya wê û rêwerzên danûstendina pêkhateyan nîşan dide.

Naha em werin li her yek ji pêkhateyên malware bi hûrgulî binihêrin.

Loader

Pelê orjînal QOUTE_JPEG56A.exe berhevkirî ye AutoIt v3 nivîs.

Ji bo ku skrîpta orîjînal bişewitîne, obfuscatorek bi heman rengî PELock AutoIT-Obfuscator taybetmendiyên.
Deobfuscation di sê qonaxan de pêk tê:

1. Rakirina obfuscation Ji bo-Eger

   Gava yekem ev e ku meriv herikîna kontrolê ya nivîsarê sererast bike. Control Flow Flattening yek ji awayên herî gelemperî ye ku ji analîzê koda binary ya serîlêdanê biparêze. Veguherînên tevlihev tevliheviya derxistin û naskirina algorîtmayan û strukturên daneyê bi dramatîk zêde dike.

   

2. Vegerandina rêzê

   Du fonksiyon ji bo şîfrekirina rêzan têne bikar anîn:

   • gdorizabegkvfca - Deşîfrekirina mîna Base64 pêk tîne

     

   • xgacyukcyzxz - byte-byte hêsan XOR ya rêza yekem bi dirêjahiya ya duyemîn

     

   

3. Rakirina obfuscation BinaryToString и Dardekirin

   

Barkirina sereke di pelrêçê de bi rengek dabeşkirî tê hilanîn Wergêrê beşên çavkaniyê yên pelê.

Rêbaza lêdanê wiha ye: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Fonksiyona WinAPI ji bo deşîfrekirina daneyên derxistinê tê bikar anîn CryptDecrypt, û mifteya danişînê ya ku li gorî nirxê hatî çêkirin wekî mifteyê tê bikar anîn fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Pelê darvekirî yê deşîfrekirî ji têketina fonksiyonê re tê şandin RunPE, ku pêk tîne ProcessInject в RegAsm.exe bikaranîna ava-li ShellCode (herweha tê zanîn RunPE ShellCode). Nivîskarî ya bikarhênerê foruma spanî ye nenas[.]net di bin paşnavê Wardow de.

Her weha hêjayî gotinê ye ku di yek ji mijarên vê forumê de, obfuscatorek ji bo Li banî bi taybetmendiyên wekhev ên ku di dema analîzkirina nimûneyê de têne nas kirin.

Xwe ShellCode pir hêsan e û balê dikişîne ku tenê ji koma hacker AnunakCarbanak hatî deyn kirin. API-ê fonksiyona haşkirinê bang dike.

Di heman demê de haya me ji rewşên karanîna jî heye Frenchy Shellcode versiyonên cuda.
Digel fonksiyona diyarkirî, me fonksiyonên neçalak jî nas kir:

• Astengkirina bidawîbûna pêvajoya manual di rêvebirê peywirê de

  

• Dema ku pêvajoyek zarok bi dawî bibe ji nû ve destpêkirin

  

• UAC derbas bikin

  

• Sazkirina barkirina pelê

  

• Xwepêşandana pencereyên modal

  

• Li benda guhertina pozîsyona nîşangirê mişkê ye

  

• AntiVM û AntiSandbox

  

• Xwe hilweşandin

  

• Pumpkirina payload ji torê

  

Em dizanin ku fonksiyonek weha ji bo parêzvanek tîpîk e CypherIT, ku, xuya ye, bootloader di pirsê de ye.

Modula sereke ya nermalavê

Dûv re, em ê bi kurtasî modula sereke ya malware-ê diyar bikin, û di gotara duyemîn de wê bi hûrgulî bifikirin. Di vê rewşê de, ew serîlêdanê ye .TOR.

Di dema analîzê de, me kifş kir ku obfuscator hate bikar anîn ConfuserEX.

IELibrary.dll

Pirtûkxane wekî çavkaniyek modulek sereke tête hilanîn û ji bo pêvekek naskirî ye AgentTesla, ku fonksiyonê ji bo derxistina agahdariya cihêreng ji gerokên Internet Explorer û Edge peyda dike.

Agent Tesla nermalava sîxuriyê ya modular e ku bi karanîna modelek malware-wek-karûbar di bin navê hilberek keylogger ya rewa de tê belav kirin. Agent Tesla karibe pêbaweriyên bikarhêner ji gerok, xerîdarên e-name û xerîdarên FTP-ê ji serverê re ji êrîşkaran re derxe û bişîne, daneyên clipboard tomar bike, û dîmendera cîhazê bigire. Di dema analîzê de, malpera fermî ya pêşdebiran tune bû.

Xala têketinê fonksiyon e GetSavedPasswords class InternetExplorer.

Bi gelemperî, darvekirina kodê xêzik e û li dijî analîzê parastinek nagire. Tenê fonksiyona nerastkirî baldar e GetSavedCookies. Wusa dixuye ku fonksiyona pêvekê diviya bû ku were berfireh kirin, lê ev çu carî nehat kirin.

Girêdana bootloader bi pergalê re

Ka em bixwînin ka bootloader çawa bi pergalê ve girêdayî ye. Nimûneya di bin lêkolînê de lenger nake, lê di bûyerên wekhev de ew li gorî nexşeya jêrîn pêk tê:

1. Di peldankê de C:UsersPublic senaryo tê çêkirin Visual Basic

   Mînaka skrîptê:

   

2. Naveroka pelê bootloader bi karakterek null tê dagirtin û li peldankê tê hilanîn %Temp%
3. Ji bo pelê skrîptê mifteyek xweser di qeydê de tê çêkirin HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Ji ber vê yekê, li ser bingeha encamên beşa yekem a analîzê, me karî navên malbatên hemî pêkhateyên malwareya di bin lêkolînê de saz bikin, şêwaza enfeksiyonê analîz bikin, û her weha tiştên ji bo nivîsandina îmzeyan bistînin. Em ê di gotara pêş de analîza xwe ya li ser vê tiştê bidomînin, ku em ê bi hûrgulî li modula sereke binêrin AgentTesla. Ji bîr nekin!

Bi awayê, di 5ê Kanûnê de em hemî xwendevanan vedixwînin webinarek înteraktîf a belaş li ser mijara "Analîzkirina malware: analîzkirina dozên rastîn", ku nivîskarê vê gotarê, pisporek CERT-GIB, dê qonaxa yekem a serhêl nîşan bide. Analîzkirina malware - Vekirina nîv-otomatîkî ya nimûneyan bi mînaka sê mini-dozên rastîn ên ji pratîkê ve tê bikar anîn, û hûn dikarin beşdarî analîzê bibin. Webinar ji bo pisporên ku jixwe di analîzkirina pelên xerab de xwedî ezmûn in maqûl e. Qeydkirin bi hişkî ji e-nameya pargîdanî ye: fêhrist. Li benda te me!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hashes

Nav	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Awa	Arşîv WinRAR
Mezinayî	823014

Nav	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Awa	PE (Skrîpta AutoIt Berhevkirî)
Mezinayî	1327616
Navê orjînal	Nenas
DateStamp	15.07.2019
Zencîre	Microsoft Linker (12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Awa	ShellCode
Mezinayî	1474

Source: www.habr.com