Articulorum nostrorum analysi malware deditorum seriem continuamus. IN' Ex parte narravimus quomodo Ilya Pomerantsev, artifex analysis malware in CERT Group-IB, accuratam analysin tabellae ab uno e societatibus Europaeis acceptam per tabellarios et ibi inventas spyware AgentTesla. In hoc articulo, Ilya eventus gradatim analysis principalis moduli praebet AgentTesla.
Agens Tesla est programmator speculativus modularis distributus utens malware ut servitii exemplar sub specie legitimi operis keylogger. Agens Tesla capax est documentorum usoris extrahere et transmittere ex navigatoribus, clientibus electronicis et clientibus FTP servo oppugnatoribus, notationes clipboard datas, et in tegumenti fabrica capiendi. In tempus elit nibh, in rutrum erat tincidunt ut.
Configurationis file
Mensa infra tabulas quae functionalitas adhibet ad exemplum quod uteris:
| Description | valorem |
| KeyLogger usus vexillum | verum |
| ScreenLogger usus vexillum | falsum, |
| KeyLogger stipes missis interuallum minutis | 20 |
| ScreenLogger stipes missis interuallum minutis | 20 |
| Clavis backspace tractantem vexillum. Falsum - logging tantum. Verum - clavem prior delet | falsum, |
| cnc genus. Options: smtp, webpanel, ftp | SMTP |
| Re: vexillum activation ad terminandum processuum ex indice "%filter_list%" | falsum, |
| UAC disable vexillum | falsum, |
| Negotium procurator vexillum disable | falsum, |
| CMD disable vexillum | falsum, |
| Curre fenestra disable vexillum | falsum, |
| Subcriptio Visum inactivare Vexillum | falsum, |
| Inactivare ratio restituet puncta vexillum | verum |
| Imperium panel disable vexillum | falsum, |
| MSCONFIG disable vexillum | falsum, |
| Vexillum ut disable ex menu contextus in Explorer | falsum, |
| Pin vexillum | falsum, |
| Iter ad exscribendum pelagus moduli cum nudatum ad systema | % Startupfolder%% insfolder%% insname% |
| Vexillum ad constituendum "System" et "Hedden" attributa pro principali moduli rationi assignata | falsum, |
| Vexillum praestare sileo cum adfixum ad systema | falsum, |
| Vexillum ad movendum principalis moduli ad tempus folder | falsum, |
| UAC bypass vexillum | falsum, |
| Date and time format for logging | aaaaaa-MM-dd HH:mm:ss |
| Vexillum ad usus progressio filter pro KeyLogger | verum |
| Genus programmatis eliquare. 1 - nomen programmatis in titulis fenestratis inquiritur 2 - progressio nomen quaerendum est in fenestra processus nomen |
1 |
| Programma filter | "facebook" "twitter" "Gmail" "instagram" "movie" "skype" "porna" "hack" "whatsapp" "discordia" |
Moduli principalis ratio coniuncta est
Si vexillum respondente positum est, principalis modulus ad iter in config determinatum imitatur ut semita rationi assignanda.
Secundum valorem ex config, tabella attributa "Abscondita" et "System" datur.
Duabus subcriptio rami autoruni providetur;
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun% insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun% insregname%
Cum bootloader injiciat in processu RegAsmvexillum constans ad principale moduli constituens inducit consequentias satis interesting. Loco ipsius scribendi, malware documentum originalem ad systema adnexuit RegAsm.execius quod iniectio efferebatur.
Commercium cum C & C *
Cuiuscumque methodi adhibita, communicatio retis incipit ab impetratione IP externae victimae utens subsidio [.]amazonaws[.]com/.
Sequentia describit modum retis commercii in programmate oblati.
webpanel
Commertio per HTTP protocollum locum habet. Post petitionem capitis malware cum sequentibus:
- User-Agent: Mozilla/5.0 (Fenestra U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Connection: Serva-vivens
- Content-Type: application/x-www-form-urlencoded
In server oratio specificatur in valore %PostURL%. Et nuntius encrypted mittitur in parametro «P». Mechanismum encryption describitur in sectione "Encryption Algorithmus" (Method 2).
Nuntius transmissus hoc modo spectat:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
parametri genus nuntium generis indicat:
hwid - an MD5 Nullam commemoratur ex valoribus matricis serialis numeri et processus ID. Verisimile usus est ut Sed rutrum sapien id.
tempus — hodiernam tempus et diem transmittat.
pcname - definitur <Username>/<Computer nomen>.
logdata — log data.
Cum tradens passwords, nuntius similis est:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Sunt descriptiones notitiarum furtivae in forma nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
Commertio fit per protocollum ESMTP. Littera traducta in HTML forma est. Parameter CORPUS formam habet;
Caput epistolae formam generalem habet; <User NAME>/<COMPUTER NAME> <CONTENT TYPE>. Contenta epistolae, necnon eius attachiamenta non encrypta.
Commertio fit per FTP protocollum. A lima cum nomine transfertur ad certum servo <CONTENT TYPE>_<User NAME>-<NOMEN COMPUTER>_<DATE ET TEMPORE> .html. Contenta tabella non encrypted.
Encryption algorithms
Hoc casu encryption his modis utitur:
1 modum
Haec methodus ad chordas encryptas in praecipuo modulo adhibetur. Algorithmus propter encryption est aes.
Initus est numerus decimales sex digit. Sequens transmutatio fit in eo;
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Valor consequens est index rerum notitiarum embedded ordinatarum.
Quisque elementum est ordinata sequentia DWORD. Cum bus DWORD ordo bytes habetur: primus 32 bytes sunt clavis encryption, deinde 16 bytes vectoris initializationis, reliquae bytes sunt encryptae datae.
2 modum
Algorithmus usus est 3DES modus ECB Nullam in toto bytes (PKCS7).
Clavis specificatur per modulum % URLkey%tamen encryption utatur MD5 Nullam.
Malicious functionality
Specimen sub studio utitur sequentibus programs ad munus suum malitiosum efficiendum:
keylogger
Si correspondentes est usura vexillum malware munus in WinAPI SetWindowsHookEx suum tractum ad res pressoriae in claviaturae assignat. Munus tracto incipit ex titulo fenestrae activae accipiendo.
Si vexillum eliquare applicationis positum est, eliquatio fit secundum speciem certa;
- progressio nomen exspectatur in titulis fenestra
- progressio nomen processum nomen vidi in fenestra
Deinde additur index tabularum cum informatione de fenestra activa in forma:
Inde notitia de clavibus expressis refertur:
| clavem | record |
| Backspace | Secundum in Backspace key processui vexillum: False - {BACK} Verum - clavem prior delet |
| CAPS CATARACTA | {CAPS CATARACTA} |
| ESC | {ESC} |
| Page up | {Page up} |
| Down | ↓ |
| ERADO | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| Tab | {TAB} |
| < | < |
| > | > |
| Locus | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| + ALT TAB | {ALT+TAB} |
| TERMINUS | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| ius | → |
| Up | ↑ ↑ |
| F1 | {F1} |
| reliquit | ← |
| PageDown | {PageDown} |
| Insert | {Insert} |
| win | {Win} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {HOME} |
| INEO | {ENTER} |
| Alt + F4 | {ALT+F4} |
| F7 | {F7} |
| Alia clavis | Character est in casu superiori vel inferiori secundum positiones CapsLock et Shift claves |
In frequentia certa, stipes collectus mittitur servo. Si translatio parum proficit, stipes limae servatus est %TEMP%log.tmp in format:
Cum timer ignes, tabella transferetur servo.
ScreenLogger
Ad certa frequentia, malware screenshots in forma creat png cum significatione Quality exæquabo L et salvet eam ad lima %APPDATA %<Random sequentia 10 characters>.jpg. Post translationem tabella deleta est.
ClipboardLogger
Si proprium vexillum positum est, supplementum fiant in textu intercepto iuxta mensam infra.
Postea textus textui inseritur:
PasswordStealer
Malware Tesserae ex his applicationibus extrahere possunt:
| Browsers | Mail clients | FTP clients |
| Chrome | Outlook | FileZilla |
| Incendia | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| Safari | opera Mail | CoreFTP |
| Opera Browser | Incredimail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPComander |
| Chromium | Post Box | |
| torch | ClawsMail | |
| 7Star | ||
| amicum | ||
| BraveSoftware | Jabber clientes | VPN clients |
| CentBrowser | Psi/Psi+ | aperta VPN |
| Chedot | ||
| CocCoc | ||
| Elementa Pasco | Download administratores | |
| Epic Privacy Pasco | Internet Downloads | |
| Cometa | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Grex Pasco | ||
| UC Pasco | ||
| Niger accipiter | ||
| CyberFox | ||
| K-meleon | ||
| ICEcat | ||
| icedragon | ||
| PaleMoon | ||
| waterfox | ||
| Falkon Pasco |
Contra dynamica analysis
- Munus utens somnus. Permittit ut aliqua sandboxes bypass per timeout
- Perdens filum Area.Identify. Permittit te celare factum ex lima ex interreti downloading
- In parametri %filter_list% specificat album processuum quod malware terminabitur interpositis secundis
- Disiunctio UAC
- Inactivare negotium procurator
- Disiunctio CMD
- Inactivare in fenestra «Выполнить».
- Inactivare Imperium Panel
- Instrumentum inactivare regedit
- Inactivare ratio puncta restituet
- Disable in menu contextu Rimor
- Disiunctio msconfig
- bypass UAC:
Iners features principalis moduli
In analysi moduli principalis, functiones identificabantur quae responsales erant trans rete transgrediendi et positionem muris sequi.
vermis
Eventus pro instrumentis amovibilibus connectendis in filo separato viverra sunt. Cum connexum, malware nomine exscriptus est ad radicem systematis tabellae scr.exe, post- quam limas extensionis exquirit LNK. Omnium dolor LNK ad mutat cmd.exe /c satus scr.exe&start <originale mandatum>& exit.
Unumquodque directorium ad radicem instrumentorum communicationis socialis attributum est " Occultatum " ; et fasciculus creatus est cum extensione LNK nomine secreti presul et imperium cmd.exe/c initium scr.exe&exploror /root,"%CD%<DIRECTORY NAME>" & exitus.
MouseTracker
Modus interceptionis faciendo similis est qui in claviaturis usus est. Haec functionality adhuc sub evolutione est.
File activitatem
| semita | Description |
| %temp%temp.tmp | Continet contra pro UAC bypass conatusque prohibebit |
| % Startupfolder%% insfolder%% insname% | Iter ad HPE systema assignandum |
| %Temp%tmpG{Tempus Current in milliseconds}.tmp | Iter ad tergum principalis moduli |
| %Temp%log.tmp | Stipes lima |
| %AppData%{Series arbitraria 10 characters}.jpeg | eenshotsscray |
| C:UsersPublic{quemlibet series de 10 characteribus}.vbs | Iter ad vbs lima quod bootloader uti potest apponere ad systema |
| %Temp%{Custom folder nomen}{File name} | Iter usus est per bootloader ut se ad systema adiungat |
Invasor profile
Gratias ad authenticas datas hardcoded accessum ad imperium centrum accedere poteramus.
Hoc nobis licuit cognoscere ultimam oppugnantium electronicam:
junaid[.]in***@gmail[.]com.
The domain nomen imperium centrum est relatus ad mail sg***@gmail[.]com.
conclusio,
Per accuratam analysin malware in oppugnatione adhibita, eius functionem statuere poteramus, et plenissimam indices compromissi ad hunc casum pertinentes obtinere potuimus. Intellectus machinae retis commercium inter malware effecit ut suasiones darent ad operandum instrumenta securitatis informationis accommodandae, necnon regulas IDS stabilis scribendas.
Praecipuum periculum AgentTesla sicut DataStealer in eo quod rationi mandare non oportet vel imperium expectare ut opera sua perficiat. Cum in machina, statim incipit notitias privatas colligere et ad Cn. Haec petulantia quodammodo similis est moribus redemptionis, cum sola differentia sit quod haec ne nexum quidem retis requirunt. Si hanc familiam incidas, postquam infecta systema ab ipso malware purgavit, omnes passwords, quae saltem theoretice possent, salvari in uno ex suprascriptis applicationibus mutare debes.
Prospiciens, dicamus oppugnatores mittens AgentTeslaSaepius mutatur fascia initialis oneratus. Hoc te permittit ut per statisticas et heuristicas analysres tempore oppugnationis ignoretur. Proclivitas autem huius familiae ad actiones suas statim incipiendas efficit ratio monitores inutiles. Optima via ad pugnandum AgentTesla est praevia analysis in sandbox.
In tertio articulo huius seriei videbimus alios usus praedones AgentTeslanecnon processus semi-automatici eorum vestimenta perscrutatur. Non requiro!
Nullam
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C & C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| subcriptio |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun {nomen Scriptor} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun% insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun% insregname% |
Mutex
Nullam non ligula.
Files
| File activitatem |
| %temp%temp.tmp |
| % Startupfolder%% insfolder%% insname% |
| %Temp%tmpG{Tempus Current in milliseconds}.tmp |
| %Temp%log.tmp |
| %AppData%{Series arbitraria 10 characters}.jpeg |
| C:UsersPublic{quemlibet series de 10 characteribus}.vbs |
| %Temp%{Custom folder nomen}{File name} |
Exempla Info
| nomine | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Type | PE (.NET) |
| Size | 327680 |
| OriginalName | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| compiler | VB.NET |
| nomine | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Type | PE (.NET DLL) |
| Size | 16896 |
| OriginalName | IELibrary.dll |
| DateStamp | 11.10.2016 |
| compiler | Microsoft Linker(48.0*) |
Source: www.habr.com