Mir fuere weider mat eiser Serie vun Artikelen gewidmet fir Malware Analyse. IN Deelweis hu mir erzielt wéi den Ilya Pomerantsev, e Malware Analyse Spezialist bei CERT Group-IB, eng detailléiert Analyse vun engem Fichier gemaach huet, deen per Mail vun enger vun den europäesche Firmen kritt gouf an do Spyware entdeckt huet. Agent Tesla. An dësem Artikel liwwert Ilya d'Resultater vun enger Schrëtt-fir-Schrëtt Analyse vum Haaptmodul Agent Tesla.
Agent Tesla ass eng modulär Spiounssoftware verdeelt mat engem Malware-as-a-Service Modell ënner dem Deckmantel vun engem legitimen Keylogger Produkt. Agent Tesla ass fäeg d'Benotzer Umeldungsinformatioune vu Browser, E-Mail Clienten a FTP Clienten op de Server un Ugräifer ze extrahéieren an ze vermëttelen, Clipboarddaten opzehuelen an den Apparatbildschierm opzehuelen. Zu der Zäit vun der Analyse war déi offiziell Websäit vun den Entwéckler net verfügbar.
Configuratiounsdatei
D'Tabell hei drënner weist op wéi eng Funktionalitéit fir d'Probe gëlt déi Dir benotzt:
| Beschreiwung | Wäert |
| KeyLogger Benotzung Fändel | richteg |
| ScreenLogger Benotzung Fändel | falsch |
| KeyLogger Log Verschécken Intervall a Minutten | 20 |
| ScreenLogger Log Schéckintervall a Minutten | 20 |
| Backspace Schlëssel Ëmgank Fändel. Falsch - nëmmen Logged. True - läscht de fréiere Schlëssel | falsch |
| CNC Typ. Optiounen: smtp, webpanel, ftp | Simple |
| Thread Aktivéierungsflagg fir Prozesser aus der Lëscht "%filter_list%" ofzeschléissen | falsch |
| UAC auszeschalten Fändel | falsch |
| Task Manager deaktivéiert Fändel | falsch |
| CMD auszeschalten Fändel | falsch |
| Run Fënster auszeschalten Fändel | falsch |
| Registry Viewer Fändel auszeschalten | falsch |
| Desaktivéiere System Restauratioun Punkten Fändel | richteg |
| Kontrollpanel deaktivéiert Fändel | falsch |
| MSCONFIG Fändel auszeschalten | falsch |
| Fändel fir de Kontextmenü am Explorer auszeschalten | falsch |
| Pin Fändel | falsch |
| Wee fir den Haaptmodul ze kopéieren wann se an de System pinnt | %startupfolder% %insfolder%%insname% |
| Fändel fir d'Attributer "System" an "Hidden" fir den Haaptmodul ze setzen, deen dem System zougewisen ass | falsch |
| Fändel fir e Restart auszeféieren wann se an de System gepecht sinn | falsch |
| Fändel fir den Haaptmodul an en temporäre Dossier ze réckelen | falsch |
| UAC Bypass Fändel | falsch |
| Datum an Zäit Format fir aloggen | jjjj-MM-dd HH:mm:ss |
| Fändel fir e Programmfilter fir KeyLogger ze benotzen | richteg |
| Typ vu Programmfilter. 1 - de Programmnumm gëtt an de Fënstertitel gesicht 2 - de Programmnumm gëtt am Fënsterprozessnumm gesicht |
1 |
| Programmfilter | "Facebook" "twitter" "gmail" "instagram" "Film" "skype" "porno" "hack" "whatsapp" "diskord" |
Befestegt den Haaptmodul an de System
Wann de entspriechende Fändel gesat ass, gëtt den Haaptmodul op de Wee kopéiert, deen an der Konfiguratioun als Wee fir de System zougewisen gëtt.
Ofhängeg vum Wäert vun der Konfiguratioun gëtt d'Datei d'Attributer "Hidden" a "System" kritt.
Autorun gëtt vun zwee Registry Branchen geliwwert:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Zënter dem Bootloader injizéiert de Prozess RegAsm, De persistente Fändel fir den Haaptmodul ze setzen féiert zu ganz interessant Konsequenzen. Amplaz selwer ze kopéieren, huet d'Malware déi ursprénglech Datei un de System befestegt RegAsm.exe, während där d'Injektioun duerchgefouert gouf.
Interaktioun mat C&C
Onofhängeg vun der Method déi benotzt gëtt, fänkt d'Netzwierkkommunikatioun un mat der Erhalen vun der externer IP vum Affer mat der Ressource [.]amazonaws[.]com/.
Déi folgend beschreift d'Netzwierkinteraktiounsmethoden, déi an der Software presentéiert ginn.
webpanel
D'Interaktioun fënnt iwwer den HTTP-Protokoll statt. De Malware fiert eng POST Ufro mat de folgenden Header aus:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Verbindung: Keep-Alive
- Inhalt-Typ: Applikatioun/x-www-form-urlencoded
D'Serveradress gëtt vum Wäert uginn %PostURL%. De verschlësselte Message gëtt am Parameter geschéckt «P». De Verschlësselungsmechanismus gëtt an der Rubrik beschriwwen "Verschlësselungsalgorithmen" (Methode 2).
Déi iwwerdroe Message gesäit esou aus:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter Typ weist de Messagetyp un:
hvid - en MD5 Hash gëtt aus de Wäerter vun der Seriennummer vum Motherboard a vum Prozessor ID opgeholl. Wahrscheinlech als User ID benotzt.
Zäit - déngt fir déi aktuell Zäit an Datum ze vermëttelen.
pcnumm - definéiert als /.
logdaten - Logdaten.
Wann Dir Passwierder vermëttelt, gesäit de Message esou aus:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Déi folgend sinn Beschreiwunge vun de geklauten Donnéeën am Format nclient[]={0}nlink[]={1}Benotzernumm[]={2}nPasswuert[]={3}.
Simple
D'Interaktioun fënnt iwwer de SMTP Protokoll statt. Den iwwerdroe Bréif ass am HTML Format. Parameter BODY huet d'Form:
Den Header vum Bréif huet déi allgemeng Form: / . Den Inhalt vum Bréif, wéi och seng Uschlëss, sinn net verschlësselte.
D'Interaktioun fënnt iwwer de FTP-Protokoll statt. E Fichier mam Numm gëtt op de spezifizéierte Server transferéiert _-_.html. Den Inhalt vun der Datei ass net verschlësselt.
Verschlësselung Algorithmen
Dëse Fall benotzt déi folgend Verschlësselungsmethoden:
D'1 Methode
Dës Method gëtt benotzt fir Strings am Haaptmodul ze verschlësselen. Den Algorithmus fir d'Verschlësselung benotzt ass AES.
Den Input ass eng sechs Zifferen Dezimalzuel. Déi folgend Transformatioun gëtt op et gemaach:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
De resultéierende Wäert ass den Index fir déi embedded Datearray.
All Array Element ass eng Sequenz DWORD. Beim Fusioun DWORD eng Array vu Bytes gëtt kritt: déi éischt 32 Bytes sinn de Verschlësselungsschlëssel, gefollegt vu 16 Bytes vum Initialiséierungsvektor, an déi verbleiwen Bytes sinn déi verschlësselte Donnéeën.
D'2 Methode
Algorithmus benotzt 3DES am Mode EZB mat Padding a ganz Bytes (PKCS 7).
De Schlëssel gëtt vum Parameter spezifizéiert %urlkey%, awer d'Verschlësselung benotzt säin MD5 Hash.
Béiswëlleg Funktionalitéit
D'Probe ënner Studie benotzt déi folgend Programmer fir seng béiswëlleg Funktioun ëmzesetzen:
Schlëssel Logger
Wann et e entspriechende Malware Fändel gëtt mat der WinAPI Funktioun SetWindowsHookEx zougewisen seng eege Handler fir keypress Evenementer op der Keyboard. D'Handlerfunktioun fänkt un andeems Dir den Titel vun der aktiver Fënster kritt.
Wann den Uwendungsfilterfändel agestallt ass, gëtt d'Filterung ofhängeg vum spezifizéierten Typ ausgefouert:
- de Programmnumm gëtt an de Fënstertitel gesicht
- de Programmnumm gëtt an der Fënsterprozessnumm opgekuckt
Als nächst gëtt e Rekord am Logbuch mat Informatioun iwwer déi aktiv Fënster am Format bäigefüügt:
Da gëtt Informatioun iwwer de gedréckte Schlëssel opgeholl:
| Schlëssel | Opnahm |
| Backspace | Ofhängeg vum Backspace Schlësselveraarbechtungsfändel: False - {BACK} True - läscht de fréiere Schlëssel |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Säit erop | {PageUp} |
| Down | ↓ |
| läschen | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| Tab | {TAB} |
| < | < |
| > | > |
| Raum | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| ENT | {END} |
| F4 | {F4} |
| F2 | {F2} |
| ewech | {CTRL} |
| F6 | {F6} |
| Riets | → |
| Up | ↑ |
| F1 | {F1} |
| lénks | ← |
| PageDown | {PageDown} |
| dobäizemaachen | {Insert} |
| gewannen | {Gewann} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Aner Schlëssel | De Charakter ass an ieweschte oder klenge Buschtawen ofhängeg vun de Positiounen vun de CapsLock a Shift Schlësselen |
Mat enger spezifizéierter Frequenz gëtt de gesammelt Log un de Server geschéckt. Wann den Transfer net erfollegräich ass, gëtt de Logbuch an eng Datei gespäichert %TEMP%log.tmp am Format:
Wann den Timer brennt, gëtt d'Datei op de Server transferéiert.
ScreenLogger
Mat enger spezifizéierter Frequenz erstellt d'Malware e Screenshot am Format Jpeg mat Bedeitung Qualitéit gläich 50 a späichert et op eng Datei %APPDATA %.jpg. Nom Transfert gëtt de Fichier geläscht.
ClipboardLogger
Wann de passenden Fändel gesat ass, ginn Ersatzstécker am ofgefaangen Text no der Tabell hei ënnen gemaach.
Duerno gëtt den Text an de Logbuch agefouert:
Passwuert Stealer
De Malware kann Passwierder vun de folgenden Uwendungen eroflueden:
| Browser | Mail Clienten | FTP Clienten |
| Bauoffall | Ausbléck | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Fox Mail | WinSCP |
| WWF | Opera Mail | CoreFTP |
| Oper Browser | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTP Commander |
| Chrom | Postbox | |
| Torch | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Jabber Clienten | VPN Clienten |
| CentBrowser | Psi/Psi+ | Open VPN |
| Chedot | ||
| CocCoc | ||
| Elementer Browser | Download Manager | |
| Epic Privatsphär Browser | Internet Download- Manager | |
| Koméiten | JDownloader | |
| Orbitum | ||
| verlur | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| BlackHawk | ||
| Cyber Fox | ||
| K-Meléon | ||
| Eis Kaz | ||
| EisDragon | ||
| PaleMoon | ||
| waterfox | ||
| Falcon Browser |
Géigewier zu dynamescher Analyse
- Benotzt d'Funktioun Schlof. Erlaabt Iech e puer Sandkëschte mam Timeout ëmzegoen
- E Fuedem zerstéieren Beräich.Identifikatioun. Erlaabt Iech d'Tatsaach ze verstoppen fir eng Datei vum Internet erofzelueden
- Am Parameter %filter_list% spezifizéiert eng Lëscht vu Prozesser déi d'Malware mat Intervalle vun enger Sekonn ofschléissen
- Ofkopplung UAC
- Den Task Manager auszeschalten
- Ofkopplung CMD
- Eng Fënster auszeschalten "Iwwerpréiwen"
- Desaktivéiere vun der Kontrollpanel
- En Tool auszeschalten RegEdit
- System Restauratioun Punkten auszeschalten
- Desaktivéiere vum Kontextmenü am Explorer
- Ofkopplung MSCONFIG
- Bypass UAC:
Inaktiv Fonctiounen vun der Haaptrei Modul
Wärend der Analyse vum Haaptmodul goufe Funktiounen identifizéiert, déi verantwortlech waren fir iwwer d'Netz ze verbreeden an d'Positioun vun der Maus ze verfolgen.
Wuerm
Eventer fir eraushuelbare Medien ze verbannen ginn an engem getrennten Fuedem iwwerwaacht. Wann Dir ugeschloss ass, gëtt d'Malware mam Numm op d'Root vum Dateiesystem kopéiert scr.exe, duerno sicht se no Dateien mat der Extensioun lnk. Jiddereen seng Equipe lnk Ännerunge fir cmd.exe /c start scr.exe&start & exit.
All Verzeechnes an der Wuerzel vun de Medien gëtt en Attribut kritt "Verstoppt" an eng Datei gëtt mat der Extensioun erstallt lnk mam Numm vum verstoppte Verzeechnes an dem Kommando cmd.exe /c start scr.exe&explorer /root,"%CD%" & lass.
MouseTracker
D'Method fir d'Interceptioun auszeféieren ass ähnlech wéi déi fir d'Tastatur benotzt. Dës Funktionalitéit ass nach ëmmer ënner Entwécklung.
Fichier Aktivitéit
| Wee | Beschreiwung |
| %Temp%temp.tmp | Enthält e Konter fir UAC Contournement Versich |
| %startupfolder%%insfolder%%insname% | Wee fir den HPE System zougewisen ze ginn |
| %Temp%tmpG{Aktuell Zäit an Millisekonnen}.tmp | Wee fir Backupsatellit vun der Haaptrei Modul |
| %Temp%log.tmp | Log Datei |
| %AppData%{Eng arbiträr Sequenz vun 10 Zeechen}.jpeg | Screenshots |
| C:UsersPublic{Eng arbiträr Sequenz vun 10 Zeechen}.vbs | Wee op eng vbs-Datei déi de Bootloader benotze kann fir un de System ze befestigen |
| %Temp%{Numm vum Benotzerdefinéierten Ordner}{Dateiname} | Wee vum Bootloader benotzt fir sech un de System ze befestigen |
Ugräifer Profil
Dank hardcoded Authentifikatiounsdaten konnte mir Zougang zum Kommandozenter kréien.
Dëst erlaabt eis déi lescht E-Mail vun den Ugräifer z'identifizéieren:
junaid[.]in***@gmail[.]com.
Den Domain Numm vum Kommandozenter gëtt op d'Mail registréiert sg***@gmail[.]com.
Konklusioun
Wärend enger detailléierter Analyse vun der Malware, déi am Attack benotzt gouf, konnte mir seng Funktionalitéit feststellen an déi komplett Lëscht vun Indicateuren vu Kompromëss, déi relevant sinn fir dëse Fall. D'Mechanismen vun der Netzinteraktioun tëscht Malware ze verstoen huet et méiglech Empfehlungen ze ginn fir d'Operatioun vun Informatiounssécherheetsinstrumenten unzepassen, wéi och stabil IDS-Regele schreiwen.
Haaptgefor Agent Tesla wéi DataStealer an datt et net un de System engagéiert muss oder op e Kontrollkommando waarden fir seng Aufgaben auszeféieren. Eemol op der Maschinn fänkt se direkt un privat Informatioun ze sammelen an iwwerdréit se op CnC. Dëst aggressivt Verhalen ass op e puer Weeër ähnlech wéi d'Behuele vu Ransomware, mam eenzegen Ënnerscheed ass datt déi lescht net emol eng Netzwierkverbindung erfuerdert. Wann Dir dës Famill begéint, nodeems Dir den infizéierte System vun der Malware selwer gebotzt hutt, sollt Dir definitiv all Passwierder änneren, déi op d'mannst theoretesch an enger vun den uewe genannte Applikatiounen gespäichert kënne ginn.
No vir kucken, loosse mer soen, datt Ugräifer schéckt Agent Tesla, den initialen Bootloader gëtt ganz dacks geännert. Dëst erlaabt Iech onnotéiert ze bleiwen vu statesche Scanner an heuristesche Analysatoren zur Zäit vum Attack. An d'Tendenz vun dëser Famill fir direkt hir Aktivitéiten unzefänken mécht Systemmonitore nëtzlos. De beschte Wee fir AgentTesla ze bekämpfen ass virleefeg Analyse an enger Sandkëscht.
Am drëtten Artikel vun dëser Serie kucke mir aner Bootloader déi benotzt ginn Agent Tesla, a studéiert och de Prozess vun hirer semi-automatescher Auspackung. Verpasst net!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Registry |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Scriptname} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexen
Et gi keng Indicateuren.
Fichieren
| Fichier Aktivitéit |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Aktuell Zäit an Millisekonnen}.tmp |
| %Temp%log.tmp |
| %AppData%{Eng arbiträr Sequenz vun 10 Zeechen}.jpeg |
| C:UsersPublic{Eng arbiträr Sequenz vun 10 Zeechen}.vbs |
| %Temp%{Numm vum Benotzerdefinéierten Ordner}{Dateiname} |
Beispiller Info
| Numm | onbekannt |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Type | PE (.NET) |
| Gréisst | 327680 |
| Original Numm | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Datum Stamp | 01.07.2019 |
| compiler | VB.NET |
| Numm | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Type | PE (.NET DLL) |
| Gréisst | 16896 |
| Original Numm | IELibrary.dll |
| Datum Stamp | 11.10.2016 |
| compiler | Microsoft Linker (48.0*) |
Source: will.com