Nesen ar Group IB sazinÄjÄs kÄds Eiropas elektroinstalÄcijas iekÄrtu ražotÄjs - tÄ darbinieks pa pastu saÅÄmis aizdomÄ«gu vÄstuli ar ļaunprÄtÄ«gu pielikumu. Iļja Pomerancevs, ļaunprÄtÄ«gas programmatÅ«ras analÄ«zes speciÄlists no CERT Group-IB, veica detalizÄtu Ŕī faila analÄ«zi, atklÄja tajÄ esoÅ”o AgentTesla spiegprogrammatÅ«ru un pastÄstÄ«ja, ko sagaidÄ«t no Å”Ädas ļaunprÄtÄ«gas programmatÅ«ras un cik tÄ ir bÄ«stama.
Ar Å”o ierakstu mÄs atklÄjam rakstu sÄriju par to, kÄ analizÄt Å”Ädus potenciÄli bÄ«stamus failus, un gaidÄ«sim ziÅkÄrÄ«gÄkos 5. decembrÄ« uz bezmaksas interaktÄ«vu vebinÄru par Å”o tÄmu. āÄ»aunprÄtÄ«gas programmatÅ«ras analÄ«ze: reÄlu gadÄ«jumu analÄ«zeā. Visas detaļas ir zem griezuma.
Sadales mehÄnisms
MÄs zinÄm, ka ļaunprogrammatÅ«ra sasniedza upura maŔīnu, izmantojot pikŔķerÄÅ”anas e-pastus. VÄstules saÅÄmÄjs, iespÄjams, bija BCC.
Virsrakstu analÄ«ze liecina, ka vÄstules sÅ«tÄ«tÄjs ir bijis viltots. PatiesÄ«bÄ vÄstuli atstÄja ar vps56[.]oneworldhosting[.]com.
E-pasta pielikumÄ ir WinRar arhÄ«vs qoute_jpeg56a.r15 ar ļaunprÄtÄ«gu izpildÄmo failu QOUTE_JPEG56A.exe iekÅ”Ä.
Ä»aunprÄtÄ«gas programmatÅ«ras ekosistÄma
Tagad apskatÄ«sim, kÄ izskatÄs pÄtÄmÄs ļaunprogrammatÅ«ras ekosistÄma. ZemÄk redzamÄ diagramma parÄda tÄ struktÅ«ru un komponentu mijiedarbÄ«bas virzienus.
Tagad aplÅ«kosim katru ļaunprÄtÄ«gÄs programmatÅ«ras komponentu sÄ«kÄk.
IekrÄvÄjs
OriÄ£inÄlais fails QOUTE_JPEG56A.exe ir apkopots AutoIt v3 skripts.
Lai aptumÅ”otu sÄkotnÄjo skriptu, obfuscator ar lÄ«dzÄ«gu PELock AutoIT-Obfuscator Ä«paŔības.
DebfuskÄcija tiek veikta trÄ«s posmos:
Apmulsuma noÅemÅ”ana Par-Ja
Pirmais solis ir atjaunot skripta vadÄ«bas plÅ«smu. Kontroles plÅ«smas izlÄ«dzinÄÅ”ana ir viens no visizplatÄ«tÄkajiem veidiem, kÄ aizsargÄt lietojumprogrammas binÄro kodu no analÄ«zes. MulsinoÅ”as transformÄcijas ievÄrojami palielina algoritmu un datu struktÅ«ru iegÅ«Å”anas un atpazÄ«Å”anas sarežģītÄ«bu.
Rindu atkopŔana
VirkÅu Å”ifrÄÅ”anai tiek izmantotas divas funkcijas:
gdorizabegkvfca ā veic Base64 lÄ«dzÄ«gu dekodÄÅ”anu
Funkcija WinAPI tiek izmantota, lai atÅ”ifrÄtu iegÅ«tos datus CryptDecrypt, un kÄ atslÄga tiek izmantota sesijas atslÄga, kas Ä£enerÄta, pamatojoties uz vÄrtÄ«bu fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
AtÅ”ifrÄtais izpildÄmais fails tiek nosÅ«tÄ«ts uz funkcijas ievadi RunPE, kas veic ProcessInject Š² RegAsm.exe izmantojot iebÅ«vÄto ShellCode (zinÄms arÄ« kÄ RunPE ShellCode). AutorÄ«ba pieder spÄÅu foruma lietotÄjam nosakÄmie[.]tÄ«kls ar segvÄrdu Wardow.
Ir arÄ« vÄrts atzÄ«mÄt, ka vienÄ no Ŕī foruma pavedieniem, obfuscator for Pie jumta ar lÄ«dzÄ«gÄm Ä«paŔībÄm, kas konstatÄtas paraugu analÄ«zes laikÄ.
Pats ShellCode pavisam vienkÄrÅ”s un piesaista uzmanÄ«bu tikai aizgÅ«ts no hakeru grupas AnunakCarbanak. API zvanu jaukÅ”anas funkcija.
MÄs esam informÄti arÄ« par lietoÅ”anas gadÄ«jumiem Frenchy Shellcode dažÄdas versijas.
Papildus aprakstÄ«tajai funkcionalitÄtei mÄs identificÄjÄm arÄ« neaktÄ«vÄs funkcijas:
ManuÄla procesa pÄrtraukÅ”anas bloÄ·ÄÅ”ana uzdevumu pÄrvaldniekÄ
BÄrna procesa restartÄÅ”ana, kad tas tiek pÄrtraukts
Apiet UAC
Kravas saglabÄÅ”ana failÄ
ModÄlo logu demonstrÄÅ”ana
Gaida, līdz mainīsies peles kursora pozīcija
AntiVM un AntiSandbox
PaÅ”iznÄ«cinÄÅ”ana
Kravas atsÅ«knÄÅ”ana no tÄ«kla
MÄs zinÄm, ka Å”Äda funkcionalitÄte ir raksturÄ«ga aizsargam CypherIT, kas acÄ«mredzot ir attiecÄ«gais sÄknÄÅ”anas ielÄdÄtÄjs.
Galvenais programmatūras modulis
TÄlÄk mÄs Ä«si aprakstÄ«sim galveno ļaunprÄtÄ«gÄs programmatÅ«ras moduli un sÄ«kÄk to aplÅ«kosim otrajÄ rakstÄ. Å ajÄ gadÄ«jumÄ tÄ ir lietojumprogramma NET..
AnalÄ«zes laikÄ mÄs atklÄjÄm, ka tika izmantots obfuskators ConfuserEX.
IELibrary.dll
BibliotÄka tiek glabÄta kÄ galvenais moduļa resurss un ir labi zinÄms spraudnis AÄ£ents Tesla, kas nodroÅ”ina funkcionalitÄti dažÄdas informÄcijas iegÅ«Å”anai no pÄrlÅ«kprogrammÄm Internet Explorer un Edge.
AÄ£ents Tesla ir modulÄra spiegoÅ”anas programmatÅ«ra, kas tiek izplatÄ«ta, izmantojot ļaunprogrammatÅ«ras kÄ pakalpojuma modeli likumÄ«ga taustiÅu bloÄ·ÄtÄja produkta aizsegÄ. AÄ£ents Tesla spÄj iegÅ«t un pÄrsÅ«tÄ«t lietotÄju akreditÄcijas datus no pÄrlÅ«kprogrammÄm, e-pasta klientiem un FTP klientiem uz serveri uzbrucÄjiem, ierakstÄ«t starpliktuves datus un tvert ierÄ«ces ekrÄnu. AnalÄ«zes laikÄ izstrÄdÄtÄju oficiÄlÄ vietne nebija pieejama.
Ieejas punkts ir funkcija GetSavedPasswords klases InternetExplorer.
KopumÄ koda izpilde ir lineÄra un nesatur nekÄdu aizsardzÄ«bu pret analÄ«zi. Tikai nerealizÄtÄ funkcija ir pelnÄ«jusi uzmanÄ«bu GetSavedCookies. AcÄ«mredzot bija paredzÄts paplaÅ”inÄt spraudÅa funkcionalitÄti, taÄu tas nekad netika izdarÄ«ts.
SÄknÄÅ”anas ielÄdÄja pievienoÅ”ana sistÄmai
IzpÄtÄ«sim, kÄ sÄknÄÅ”anas ielÄdÄtÄjs ir pievienots sistÄmai. PÄtÄ«tais paraugs nenoenkurojas, bet lÄ«dzÄ«gos gadÄ«jumos tas notiek saskaÅÄ ar Å”Ädu shÄmu:
MapÄ C:UsersPublic tiek izveidots skripts Visual Basic
Skripta piemÄrs:
IelÄdÄtÄja faila saturs tiek polsterÄts ar nulles rakstzÄ«mi un saglabÄts mapÄ %Temp%<PielÄgotÄs mapes nosaukums><Faila nosaukums>
Skripta faila reÄ£istrÄ tiek izveidota automÄtiskÄs palaiÅ”anas atslÄga HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Skripta nosaukums>
TÄtad, pamatojoties uz analÄ«zes pirmÄs daļas rezultÄtiem, mÄs varÄjÄm noteikt visu pÄtÄmÄs ļaunprÄtÄ«gÄs programmatÅ«ras komponentu Ä£imeÅu nosaukumus, analizÄt infekcijas modeli un arÄ« iegÅ«t objektus parakstu rakstÄ«Å”anai. MÄs turpinÄsim Ŕī objekta analÄ«zi nÄkamajÄ rakstÄ, kur sÄ«kÄk aplÅ«kosim galveno moduli AÄ£ents Tesla. Nepalaid garÄm!
Starp citu, 5. decembrÄ« aicinÄm visus lasÄ«tÄjus uz bezmaksas interaktÄ«vu vebinÄru par tÄmu āÄ»aunprÄtÄ«gas programmatÅ«ras analÄ«ze: reÄlu gadÄ«jumu analÄ«zeā, kurÄ Å”Ä« raksta autors, CERT-GIB speciÄlists tieÅ”saistÄ rÄdÄ«s pirmo posmu ļaunprÄtÄ«gas programmatÅ«ras analÄ«ze - pusautomÄtiska paraugu izpakoÅ”ana, izmantojot trÄ«s reÄlus mini gadÄ«jumus no prakses, un jÅ«s varat piedalÄ«ties analÄ«zÄ. VebinÄrs ir piemÄrots speciÄlistiem, kuriem jau ir pieredze ļaunprÄtÄ«gu failu analÄ«zÄ. ReÄ£istrÄcija notiek tikai no korporatÄ«vÄ e-pasta: reÄ£istrÄjieties tagad. Gaidot tevi!