Hoc capitulo seriem publicationum quae ad analysim malitiosorum programmatis deditam absolvimus. IN'
Hodie Ilya Pomerantsev, specialista in analysi malware apud CERT Group-IB, loquetur de primo analysi malware - semi-automatica infrequentia exemplorum agentium AgentTesla utentium exemplo trium casuum minimorum ex usu specialium sodalium CERT Group-IB.
De more, primus gradus in analysi malware est remotio praesidii in specie fasciculi, cryptoris, protectoris vel oneris. In pluribus, haec quaestio solvi potest currendo malware et TUBER faciendo, sed condiciones sunt ubi modus iste non convenit. Exempli gratia, si malware encryptor est, si memoriam eius regiones ab dumped protegit, si signum virtualis machinae machinae deprehensio mechanismi continet, vel si statim post initium reboot malware. Talibus in casibus, "semi-automatic" sic dicta vestimenta infrequentia adhibetur, id est, indagator plenam potestatem processuum habet et quovis tempore intervenire potest. Consideremus hoc modo utendo tria exemplaria familiae AgentTesla in exemplum. Hoc malware innoxium respective est si accessum retis eius inactivaveris.
Sample No
Scapus fons fons est documentum MS Verbi quod vulnerabilitas CVE-2017-11882 gestat.
Quam ob rem recepta est payload et deducitur.
Analysis processus arboris et morum venalicium iniectio in processu ostendit RegAsm.exe.
AgentTesla proprietas morum figunt.
Quod downloaded sample est exsecutabile NET-file munitus a protectore .NET Reactor.
Aperiamus eam in utilitate dnSpy x86 et transigendum ad aculeum.
Per ad munus DateTimeOffset, inveniemus initializationem pro novo codice NET-module. Demus confractus punctus in linea quaerimus in tabella currunt.
In una ex redditis buffers potes videre subscriptionem MZ (0x4D 0x5A). Praesent ut dictum nisi.
Scapus exsecutabilis rasurae dynamicus bibliothecae oneratus est, i.e. payload extrahit ex sectione opum et immittit.
Eodem tempore ipsae opes necessariae in TUBER non adsunt. They are in the parent sample.
utilitas dnSpy Duo habet functiones maxime utiles quae nos iuvabit satis cito "Frankenstein" ex duobus documentis affinibus creabit.
- Prima permittit ut bibliothecam dynamicam in exempli parentis βcrustulumβ permittat.
- Alter est rescribere munus codicem in aculeo ut vocaret optatam methodum bibliothecae dynamicae insertae.
Servamus nostrum "Frankenstein", paro confractus punctus in linea reddens quiddam cum facultatibus decryptis, et producunt TUBER per analogiam cum scena priore.
Secundum TUBER scriptum est VB.NET exsecutabile fasciculus qui nobis familiariter munitur ConfuserEx.
Sublato protectore, praecepta YARA antea scripta utimur et fac malware inpeditum vere AgentTesla esse.
Sample No
Scapus fons est documentum Excell MS. A aedificato-in tortor codice malitiose exsecutionem facit.
Quam ob rem scriptum est PowerShell immissum.
Scriptum decryptis in codice C# transfert ac potestatem facit. Ipsum signum est bootloader, sicut etiam ex relatione sandbox videri potest.
Quod payload est exsecutabile NET-file.
Aperire tabella in dnSpy x86videas obfuscare. Obfuscation removere utens ad utilitatem de4dot et ad analysim redire.
Inspiciendo codicem sequentem functionem invenire potes:
Encoded lineae percutiunt EntryPoint ΠΈ Invocatio. Ponemus confractus punctus ad primam aciem curre et salvare valorem quiddam byte_0.
Et iterum applicationem in TUBER est NET et custodivit ConfuserEx.
Obfuscation removemus usura de4dot ac upload to dnSpy. Ex tabella descriptione intelligimus quod adversus nos sumus CyaX-acuta oneratus.
Hic oneratus amplam anti-analysin functionality habet.
Haec functionality includit praeterendo in Fenestra systemata tutelae constructum, inactivare Defensorem Fenestra, necnon sandbox et virtualis machinae machinas deprehensio. Potest onerare payload ex retis vel reponere in sectione opum. Lorem fit per iniectionem in processum suum, in duplicatam sui processus, seu in processu; MSBuild.exe, vbc.exe ΠΈ RegSvcs.exe secundum modulum ab impugnante electum.
Sed nobis minus significant quam AntiDump-function quod adiungit ConfuserEx. Eius fons codice inveniri potest at
Ut disable praesidio, occasione utemur dnSpy, quod tibi permittit ut emendo IL-code.
Salvum ac install confractus punctus ad lineam vocandi payload decryption munus. Sita est in consectetur class auctor.
Lorem ac TUBER payload. Utens ante scripta YARA regit, fac nos hanc esse AgentTesla.
Sample No
Fons Scapus exsecutabile VB Native PE32-file.
Analysis entropy ostendit praesentiam magnae partis encryptae datae.
Cum analyzing schedula in VB Decompiler ut animadverto a background pixelated mirabilem.
Entropy graph bmp-Imago idem est cum graphio entropy documenti originalis, et magnitudo 85% tabellae magnitudo est.
Species imaginis generalis usum steganographiae indicat.
Attendamus ad speciem processus arboris, ac praesentiam iniectio titulum.
Hoc significat vestimenta in progressu esse. Nam Visual Basic loader (aka VBKrypt aut VBInjector) Typical usus shellcode ad initialize payload, necnon ad injectionem ipsam faciendam.
Analysis in VB Decompiler praesentia rei ostendit load in forma FegatassocAirballoon2.
Eamus in IDA pro ad certa oratio et munus studere. In codice graviter obfuscatur. Fragmentum quod a nobis proponitur infra.
Hic processus inscriptionis spatium ob subscriptionem lustratur. Aditus hic perquam dubius est.
Primum, initium inscriptionis intuens 0x400100. Haec valor stabilis est et non adaequatur cum base transfertur. In CONSERVATORIUM idealis conditionibus et finem indicant PE-the header of the exsecutable file. Nihilominus, datorum statice non est, eius valor mutare potest, et quaesita vera inscriptione inquisitae subscriptionis, licet redundantiam variabilem non faciat, diutissime capere potest.
Secundo significatio subscriptionis iWGK. Manifestum puto 4 bytes nimis parvum esse ad singularitatem praestandam. Et si primum punctum consideres, probabilitas errandi satis alta est.
Reapse inquisitum fragmentum ad finem prioris inventae adnectitur bmp-pictures ab offset 0xA1D0D.
supplicium Shellcode peragi duas gradus. Prima deciphers agmen. In hoc casu vis violenta clavis determinatur.
Effundite decrypted unum Shellcode et lineas intueri.
Primo nunc cognoscimus munus ad partum prolis processum; CreateProcessInternalW.
Secundo mechanismum fixationis in systemate sensimus.
Eamus ad processum pristinum. Demus confractus punctus on CreateProcessInternalW et continue executioni mandandam. Deinde videmus nexum NtGetContextThread/NtSetContextThread, quod mutat executionem initium electronicum ad electronicam ShellCode.
Coniungimus ad processum creatum cum debugger et eu eventu Suspende in libraryu onus / unloadRepetam processum et exspecta loading NET-libraries.
Praeterea usura ProcessHacker TUBER regiones quibus pacto NET-application.
Omnes processus cessamus et exemplum malware quae in systemate infixa est delemus.
Lima rasurae custoditur a protectore .NET Reactorquae de facili removeri potest utilitas de4dot.
Utens regulas YARA antea scriptas, fac nos hanc esse AgentTesla.
Summatim
Ita in specie demonstravimus processum semi-automatici exempli vestium utendi tribus minimis casibus in exemplum, et etiam malware enucleatae in casu plenae discursus, inveniendo specimen sub studio esse AgentTesla, eius functionem ac rationem constituens. index completorum indicibus compromissi.
Analysis malivoli obiecti, quod peractum est, multum temporis et laboris requirit, et hoc opus per specialem operarium in societate praestandum est, sed non omnes societates ad analyticam adhibendam paratae sunt.
Una e servitiis a Group-IB Laboratorio Computer Forensics et Codicis Malicious Analysis praevisa responsio est ad cyberium incidentium. Itaque ut clientes tempus documenta approbantes non tererent et de illis in medio impetu cyberico disputarent, Group-IB deductae sunt. Incident Response Retainer, prae-subscriptionis responsio incidentium servitium, quod etiam gradum analyseos malware includit. Plura de hoc inveniri possunt
Si vis denuo investigare quomodo exemplaria AgentTesla in pacto sint et vide quomodo artifex CERT Group-IB id facit, de hoc argumento notionem webinar detrahere potes.
Source: www.habr.com