Turnout defecit: AgentTesla ad aquam mundam exponamus. Pars III
Nuper Europae fabrica fabricae electricae institutionis instrumenti Group-IB contactus contactus eius operarius litteras suspectas accepit cum malitioso adfectu in tabellario. Ilya Pomerantsev, analysis malware apud CERT Group-IB, accuratam analysin huius fasciculi perduxit, AgentTesla spyware ibi detexit et dixit quid a talibus malware et quomodo periculosum exspectet.
Cum hac posta seriem articulorum aperimus in quomodo tam potentialiter periculosa lima analyseris, et exspectamus curiosissima die 5 mensis Decembris pro libera interactive webinar thema "Malware Analysis: Analysis Verae Causae". Omnia singula sub incisa sunt.
Distributio mechanism
Scimus malware attigisse machinam victimae per emails hamatas. Litterae recipiens probabiliter BCCed erat.
Analysis capitis ostendit missorem epistolae fuisse spoofed. Re vera litterae sunt vps56[.]oneworldhosting[.]com.
In email affectum continet in archivo WinRar qoute_jpeg56a.r15 cum malitiosa exsecutabile QOUTE_JPEG56A.exe intus.
Malware ecosystem
Nunc videamus quid ecosystematum malware sub studio similis speciem praebeat. Figura infra ostendit structuram ac directiones commercii partium.
Nunc singula malware membra planius videamus.
Loader
Original file QOUTE_JPEG56A.exe digestus est AutoIt v3 script.
Obfuscator scriptor originalis, obfuscator cum similibus PElock AutoIT-Obfuscator indolem.
Deobfuscatio exercetur in tribus gradibus;
removere obfuscation Nam si
Primus gradus est scriptor fluxus imperium restituere. Imperium Flow adulatione est una ex communissimis modis ad applicationem binarii codicis ab analysis defendendi. Mutationes confundentes dramatically multiplicationem augent extrahendi et cognoscendi algorithmarum et structurarum notitiarum.
Row recuperatio
Duo munera ad chordarum encrypt:
gdorizabegkvfca - Performat Base64-ut decoding
xgacyukcyzxz - byte-byte XOR simplex chordae primae cum longitudine secundi
removere obfuscation BinaryToString ΠΈ Judicium
Summa onus divisa in indicem reponitur Pelvis sectiones tabella resource.
Conglutinatio ordinis talis est: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Quod WinAPI munus est ad extrahendum minutum notitia CryptDecryptet sessionis clavem generatam secundum valorem adhibetur ut clavem fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Decrypted file exsecutabile mittitur ad munus initus RunPEqui peragit ProcessInject Π² RegAsm.exe per constructum-in- ShellCode (et ut RunPE ShellCode). Auctoritas ad usum fori Hispanici pertinet insensibilia [.] rete sub cognomine Wardow.
Notatu etiam dignum est, obfuscatorem obfuscatorem in una e filis huius fori In tecto cum similibus proprietatibus identified in sample analysis.
ipsum ShellCode satis simplex et allicit attentionem tantum mutuatam a caterva Piratica AnunakCarbanak. Munus api vocant hashing.
Scimus etiam de casuum usu Frenchy Shellcode uaria.
Praeter functiones descriptas, etiam munera inertes identificamur;
In fine operis processus manualis sit amet consequat
Restarting puer processus quando terminatur
bypass UAC
Salvis payload ad lima
Demonstratio fenestras modales
Expectans murem cursor situ ad mutationem
AntiVM and AntiSandbox
Exitium auto-
Elit payload a network
Scimus talem functionem typicam erga praesidem esse CypherITQuod videtur esse praen.
Principalis moduli of software
Deinde praecipuam malware modulum breviter describemus, et in secundo articulo fusius consideramus. In hoc casu applicatio est NET.
Per analysim obfuscatorem adhibitum deprehendimus ConfuserEX.
IELibrary.dll
Bibliotheca reponitur ut moduli principalis subsidii et notum plugin est AgentTesla, quae praebet functionality ad varias informationes ex Internet Explorer et Edge navigatoris extrahendi.
Agens Tesla est programmator speculativus modularis distributus utens malware ut servitii exemplar sub specie legitimi operis keylogger. Agens Tesla capax est documentorum usoris extrahere et transmittere ex navigatoribus, clientibus electronicis et clientibus FTP servo oppugnatoribus, notationes clipboard datas, et in tegumenti fabrica capiendi. In tempus elit nibh, in rutrum erat tincidunt ut.
Viscus punctum munus est GetSavedPasswords classis InternetExplorer.
In genere, signum exsecutionis linearis est neque ullum praesidium contra analysim continet. Tantum inane munus operam meretur GetSavedCookies. Videtur quod munus plugin dilatari putabatur, sed hoc numquam factum est.
Adiungens bootloader ad systema
Discamus quomodo bootloader rationi adnectitur. Specimen sub studio non ancoras, sed in similibus eventibus occurrit secundum propositum sequens;
in folder C:UsersPublica scriptum est creatus Visual Basic
Exemplum script:
Contenta oneratus fasciculi additamenta sunt charactere nullo et ad folder servata %Temp%
Clavis autoruna creatur in registro pro fasciculo scripto HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Itaque, secundum eventus primae partis analyseos, nomina familiarum omnium membrorum malware sub studio constituere poteramus, infectio exemplaris resolvere ac etiam obiecta pro subscriptionibus scripto obtinere. Huius obiecti analysin nostram continuabimus in proximo articulo, ubi principale moduli accuratius inspiciemus AgentTesla. Non requiro!
Obiter omnes lectores ad liberam interactivum webinarem invitamus in themate "Analysis malware: analysis casuum realium", ubi auctor huius articuli, artifex CERT-GIB, primum scaenam demonstrabit. malware analysis - semi-automaticae involucrum exemplorum utens exemplo trium casuum realium minimorum ex usu, et interesse potes in analysi. Webinar aptus est peritis qui iam experientiam habent in scapis malignis resolvendis. Registration stricte a corporatum inscriptio: mandare. Te expectens!