Vēlētāju dalība neizdevās: pakļausim AgentTesla tīram ūdenim. 2. daļa

Mēs turpinām rakstu sēriju, kas veltīta ļaunprātīgas programmatūras analīzei. IN pirmais Daļēji mēs stāstījām, kā CERT Group-IB ļaunprātīgas programmatūras analīzes speciālists Iļja Pomerancevs veica detalizētu faila analīzi, kas saņemts pa pastu no viena no Eiropas uzņēmumiem, un atklāja tajā spiegprogrammatūru. Aģents Tesla. Šajā rakstā Iļja sniedz galvenā moduļa soli pa solim analīzes rezultātus Aģents Tesla.

Aģents Tesla ir modulāra spiegošanas programmatūra, kas tiek izplatīta, izmantojot ļaunprogrammatūras kā pakalpojuma modeli likumīga taustiņu bloķētāja produkta aizsegā. Aģents Tesla spēj iegūt un pārsūtīt lietotāju akreditācijas datus no pārlūkprogrammām, e-pasta klientiem un FTP klientiem uz serveri uzbrucējiem, ierakstīt starpliktuves datus un tvert ierīces ekrānu. Analīzes laikā izstrādātāju oficiālā vietne nebija pieejama.

Konfigurācijas fails

Tālāk esošajā tabulā ir norādīts, kura funkcionalitāte attiecas uz jūsu izmantoto paraugu:

Apraksts	Vērtība
KeyLogger lietošanas karodziņš	patiess
ScreenLogger lietošanas karodziņš	nepatiess
KeyLogger žurnāla sūtīšanas intervāls minūtēs	20
ScreenLogger žurnāla sūtīšanas intervāls minūtēs	20
Backspace taustiņu apstrādes karodziņš. False — tikai reģistrēšana. True – dzēš iepriekšējo taustiņu	nepatiess
CNC tips. Iespējas: smtp, tīmekļa panelis, ftp	SMTP
Pavediena aktivizēšanas karodziņš procesu pārtraukšanai no saraksta “%filter_list%”	nepatiess
UAC atspējošanas karodziņš	nepatiess
Uzdevumu pārvaldnieka atspējošanas karodziņš	nepatiess
CMD atspējošanas karodziņš	nepatiess
Palaist loga atspējošanas karogu	nepatiess
Reģistra skatītāja atspējošanas karodziņš	nepatiess
Atspējot sistēmas atjaunošanas punktu karogu	patiess
Vadības paneļa atspējošanas karodziņš	nepatiess
MSCONFIG atspējošanas karodziņš	nepatiess
Atzīmējiet karogu, lai pārlūkprogrammā Explorer atspējotu konteksta izvēlni	nepatiess
Piespraust karogu	nepatiess
Ceļš galvenā moduļa kopēšanai, piespraužot to sistēmai	%startupfolder% %insfolder%%insname%
Karogs sistēmai piešķirtā galvenā moduļa atribūtu “System” un “Hidden” iestatīšanai	nepatiess
Atzīmējiet karogu, lai veiktu restartēšanu, kad tas ir piestiprināts sistēmai	nepatiess
Karogs galvenā moduļa pārvietošanai uz pagaidu mapi	nepatiess
UAC apiešanas karogs	nepatiess
Reģistrācijas datuma un laika formāts	gggg-MM-dd HH:mm:ss
Atzīmēt ar KeyLogger programmas filtra izmantošanu	patiess
Programmas filtrēšanas veids. 1 – programmas nosaukums tiek meklēts logu nosaukumos 2 – loga procesa nosaukumā tiek meklēts programmas nosaukums	1
Programmas filtrs	"facebook" "tviteris" "gmail" "instagram" "filma" "skype" "porno" "uzlauzt" "WhatsApp" "nesaskaņas"

Galvenā moduļa pievienošana sistēmai

Ja ir iestatīts atbilstošais karodziņš, galvenais modulis tiek kopēts uz ceļu, kas norādīts konfigurācijā kā ceļš, kas jāpiešķir sistēmai.

Atkarībā no konfigurācijas vērtības failam tiek piešķirti atribūti “Hidden” un “System”.
Automātisko palaišanu nodrošina divas reģistra filiāles:

• HKCU programmatūraMicrosoftWindows CurrentVersionRun%insregname%
• HKCUSOFTWAREMicrosoftWindows CurrentVersionExplorerStartupApprovedRun %insregname%

Tā kā sāknēšanas ielādētājs ievada procesā RegAsm, pastāvīgā karoga iestatīšana galvenajam modulim rada diezgan interesantas sekas. Tā vietā, lai sevi kopētu, ļaunprogrammatūra pievienoja sistēmai sākotnējo failu RegAsm.exe, kuras laikā tika veikta injekcija.

Mijiedarbība ar C&C

Neatkarīgi no izmantotās metodes tīkla komunikācija sākas ar upura ārējā IP iegūšanu, izmantojot resursu čeks[.]amazonaws[.]com/.
Tālāk ir aprakstītas programmatūrā piedāvātās tīkla mijiedarbības metodes.

tīmekļa panelis

Mijiedarbība notiek, izmantojot HTTP protokolu. Ļaunprātīga programmatūra izpilda POST pieprasījumu ar šādām galvenēm:

• Lietotāja aģents: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
• Savienojums: Keep-Alive
• Satura veids: pieteikums/x-www-form-urlencoded

Servera adresi norāda vērtība %PostURL%. Šifrētais ziņojums tiek nosūtīts parametrā «P». Šifrēšanas mehānisms ir aprakstīts sadaļā "Šifrēšanas algoritmi" (2. metode).

Pārsūtītais ziņojums izskatās šādi:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

Parametrs tips norāda ziņojuma veidu:

hwid — no mātesplates sērijas numura un procesora ID vērtībām tiek ierakstīts MD5 jaucējs. Visticamāk, tas tiek izmantots kā lietotāja ID.
laiks — kalpo pašreizējā laika un datuma pārsūtīšanai.
datora nosaukums - definēts kā <Lietotājvārds>/<Datora nosaukums>.
logdati — žurnāla dati.

Pārsūtot paroles, ziņojums izskatās šādi:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

Tālāk ir sniegti nozagto datu apraksti šādā formātā nclient[]={0}nlink[]={1}lietotājvārds[]={2}nparole[]={3}.

SMTP

Mijiedarbība notiek, izmantojot SMTP protokolu. Pārsūtītā vēstule ir HTML formātā. Parametrs ĶERMEŅA izskatās kā:

Vēstules galvenei ir vispārīga forma: <LIETOTĀJVĀRDS>/<DATORA NOSAUKUMS> <SATURA VEIDS>. Vēstules saturs, kā arī tās pielikumi nav šifrēti.

Mijiedarbība notiek, izmantojot FTP protokolu. Fails ar nosaukumu tiek pārsūtīts uz norādīto serveri <SATURA VEIDS>_<LIETOTĀJVĀRDS>-<DATORA NOSAUKUMS>_<DATUMS UN LAIKS>.html. Faila saturs nav šifrēts.

Šifrēšanas algoritmi

Šajā gadījumā tiek izmantotas šādas šifrēšanas metodes:

1 metode

Šo metodi izmanto, lai šifrētu virknes galvenajā modulī. Šifrēšanai izmantotais algoritms ir AES.

Ievade ir sešciparu decimālskaitlis. Tam tiek veikta šāda transformācija:

f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

Iegūtā vērtība ir iegultā datu masīva indekss.

Katrs masīva elements ir secība DWORD. Apvienojot DWORD tiek iegūts baitu masīvs: pirmie 32 baiti ir šifrēšanas atslēga, kam seko 16 inicializācijas vektora baiti, bet atlikušie baiti ir šifrētie dati.

2 metode

Izmantotais algoritms 3DES režīmā ECB ar polsterējumu veselos baitos (PKCS7).

Atslēga ir norādīta ar parametru %urlkey%tomēr šifrēšanai tiek izmantots MD5 hash.

Ļaunprātīga funkcionalitāte

Pētotajā paraugā tiek izmantotas šādas programmas, lai īstenotu savu ļaunprātīgo funkciju:

atslēgu reģistrētājs

Ja ir atbilstošs ļaunprātīgas programmatūras karogs, izmantojot funkciju WinAPI SetWindowsHookEx piešķir savu apstrādātāju tastatūras taustiņu nospiešanas notikumiem. Apdarinātāja funkcija sākas, iegūstot aktīvā loga nosaukumu.

Ja ir iestatīts lietojumprogrammu filtrēšanas karogs, filtrēšana tiek veikta atkarībā no norādītā veida:

1. programmas nosaukums tiek meklēts logu nosaukumos
2. programmas nosaukums tiek meklēts loga procesa nosaukumā

Pēc tam žurnālam tiek pievienots ieraksts ar informāciju par aktīvo logu šādā formātā:

Pēc tam tiek ierakstīta informācija par nospiesto taustiņu:

Atslēga	Ieraksts
Atpakaļatkāpe	Atkarībā no atkāpšanās taustiņa apstrādes karoga: False – {ATPAKAĻ} True – dzēš iepriekšējo taustiņu
LIELIE BURTI	{LIELIE BURTI}
ESC	{ESC}
PageUp	{PageUp}
uz leju	↓
DELETE	{DEL}
"	"
F5	{F5}
&	&
F10	{F10}
TAB	{TAB}
<	<
>	>
Atstarpe
F8	{F8}
F12	{F12}
F9	{F9}
ALT + TAB	{ALT+TAB}
END	{END}
F4	{F4}
F2	{F2}
CTRL	{CTRL}
F6	{F6}
tiesības	→
Up	↑
F1	{F1}
kreisais	←
PageDown	{PageDown}
ielaidums	{Ievietot}
uzvara	{Uzvara}
NumLock	{NumLock}
F11	{F11}
F3	{F3}
SĀKUMS	{MĀJAS}
ENTER	{ENTER}
ALT + F4	{ALT+F4}
F7	{F7}
Cita atslēga	Rakstzīme ir ar lielajiem vai mazajiem burtiem atkarībā no taustiņu CapsLock un Shift pozīcijām

Noteiktā biežumā apkopotais žurnāls tiek nosūtīts uz serveri. Ja pārsūtīšana ir neveiksmīga, žurnāls tiek saglabāts failā %TEMP%log.tmp formātā:

Kad taimeris aktivizējas, fails tiks pārsūtīts uz serveri.

ScreenLogger

Noteiktā biežumā ļaunprogrammatūra izveido ekrānuzņēmumu šādā formātā Jpeg ar nozīmi Kvalitāte vienāds ar 50 un saglabā to failā %APPDATA %<Nejauša 10 rakstzīmju secība>.jpg. Pēc pārsūtīšanas fails tiek izdzēsts.

ClipboardLogger

Ja ir iestatīts atbilstošais karodziņš, pārtvertajā tekstā tiek veikta aizstāšana saskaņā ar zemāk esošo tabulu.

Pēc tam žurnālā tiek ievietots teksts:

PasswordStealer

Ļaunprātīga programmatūra var lejupielādēt paroles no šādām lietojumprogrammām:

Pārlūkprogrammas	Pasta klienti	FTP klienti
hroms	perspektīva	FileZilla
Firefox	Thunderbird	WS_FTP
IE/Edge	Foxmail	WinSCP
safari	Operas pasts	CoreFTP
Opera pārlūks	IncrediMail	FTP navigators
Yandex	Pocomail	FlashFXP
Comodo	Eudora	SmartFTP
ChromePlus	TheBat	FTPCommander
Hroms	Pastkastīte
Lāpa	ClawsMail
7Star
Draugs
BraveSoftware	Jabber klienti	VPN klienti
CentBrowser	Psi/Psi+	Atveriet VPN
Čedota
CocCoc
Elementu pārlūks	Lejupielādes pārvaldnieki
Episkā privātuma pārlūks	Internet Download Manager
Komēta	JDownloader
Orbitums
Sputņik
uCozMedia
Vivaldi
SeaMonkey
Flock pārlūka
UC Browser
BlackHawk
Kiberlapsa
K-Meleon
ledus kaķis
Icedragon
PaleMoon
ūdenslapsa
Falkon pārlūks

Pretdarbība dinamiskajai analīzei

• Izmantojot funkciju miegs. Ļauj apiet dažas smilšu kastes pēc taimauta
• Vītnes iznīcināšana Zona.Identifier. Ļauj slēpt faila lejupielādes faktu no interneta
• Parametrā %filter_list% norāda procesu sarakstu, kurus ļaunprātīga programmatūra pārtrauks ik pēc vienas sekundes
• Atvienošana UAC
• Uzdevumu pārvaldnieka atspējošana
• Atvienošana CMD
• Logu atspējošana "Skriet"
• Vadības paneļa atspējošana
• Rīka atspējošana Regedit
• Sistēmas atjaunošanas punktu atspējošana
• Atspējojiet konteksta izvēlni programmā Explorer
• Atvienošana MSCONFIG
• Apvedceļš UAC:

Galvenā moduļa neaktīvās iespējas

Galvenā moduļa analīzes laikā tika identificētas funkcijas, kas bija atbildīgas par izplatīšanos tīklā un peles pozīcijas izsekošanu.

tārps

Noņemamā datu nesēja pievienošanas notikumi tiek pārraudzīti atsevišķā pavedienā. Kad ir izveidots savienojums, ļaunprogrammatūra ar nosaukumu tiek kopēta failu sistēmas saknē scr.exe, pēc tam tā meklē failus ar paplašinājumu lnk. Ikviena komanda lnk mainās uz cmd.exe /c startējiet scr.exe&startējiet <oriģinālo komandu> un izejiet.

Katram multivides saknes direktorijam tiek piešķirts atribūts "Paslēpts" un tiek izveidots fails ar paplašinājumu lnk ar slēptā direktorija nosaukumu un komandu cmd.exe /c startēt scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" un iziet.

MouseTracker

Pārtveršanas metode ir līdzīga tai, ko izmanto tastatūrai. Šī funkcionalitāte joprojām ir izstrādes stadijā.

Failu darbība

Taka	Apraksts
%Temp%temp.tmp	Satur UAC apiešanas mēģinājumu skaitītāju
%startupfolder%%insfolder%%insname%	Ceļš, kas jāpiešķir HPE sistēmai
%Temp%tmpG{Pašreizējais laiks milisekundēs}.tmp	Galvenā moduļa dublējuma ceļš
%Temp%log.tmp	Žurnāla fails
%AppData%{Patvaļīga 10 rakstzīmju secība}.jpeg	Ekrānšāviņi
C:UsersPublic{Patvaļīga 10 rakstzīmju secība}.vbs	Ceļš uz vbs failu, ko sāknēšanas ielādētājs var izmantot, lai pievienotu sistēmai
%Temp%{Pielāgotās mapes nosaukums}{Faila nosaukums}	Ceļš, ko sāknēšanas ielādētājs izmanto, lai pievienotos sistēmai

Uzbrucēja profils

Pateicoties kodētajiem autentifikācijas datiem, mēs varējām piekļūt komandu centram.

Tas ļāva mums identificēt uzbrucēju pēdējo e-pasta adresi:

junaid[.]in***@gmail[.]com.

Komandu centra domēna vārds ir reģistrēts pastam sg***@gmail[.]com.

Secinājums

Veicot detalizētu uzbrukumā izmantotās ļaunprogrammatūras analīzi, mēs varējām noteikt tās funkcionalitāti un iegūt vispilnīgāko kompromitēšanas indikatoru sarakstu, kas attiecas uz šo gadījumu. Izpratne par tīkla mijiedarbības mehānismu starp ļaunprātīgu programmatūru ļāva sniegt ieteikumus informācijas drošības rīku darbības pielāgošanai, kā arī rakstīt stabilus IDS noteikumus.

Galvenās briesmas Aģents Tesla piemēram, DataStealer, jo tai nav jāpiedalās sistēmā vai jāgaida vadības komanda, lai veiktu savus uzdevumus. Kad tas ir iekārtā, tas nekavējoties sāk vākt privāto informāciju un pārsūta to uz CnC. Šī agresīvā uzvedība savā ziņā ir līdzīga izspiedējprogrammatūras uzvedībai, ar vienīgo atšķirību, ka pēdējai pat nav nepieciešams tīkla savienojums. Ja sastopaties ar šo ģimeni, pēc inficētās sistēmas attīrīšanas no pašas ļaunprogrammatūras noteikti jānomaina visas paroles, kuras vismaz teorētiski varētu saglabāt kādā no iepriekš minētajām aplikācijām.

Skatoties uz priekšu, pieņemsim, ka uzbrucēji sūta Aģents Tesla, sākotnējais sāknēšanas ielādētājs tiek mainīts ļoti bieži. Tas ļauj uzbrukuma laikā palikt nepamanītiem statiskajiem skeneriem un heiristiskajiem analizatoriem. Un šīs ģimenes tieksme nekavējoties sākt savu darbību padara sistēmu monitorus nederīgus. Labākais veids, kā cīnīties ar AgentTesla, ir sākotnējā analīze smilšu kastē.

Trešajā šīs sērijas rakstā apskatīsim citus izmantotos sāknēšanas ielādētājus Aģents Tesla, kā arī izpētīt to pusautomātiskās izpakošanas procesu. Nepalaid garām!

Saputrot

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C&C

URL

sina-c0m[.]icu

smtp[.]sina-c0m[.]icu

RegKey

reģistra

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{skripta nosaukums}

HKCUSoftwareMicrosoftWindows CurrentVersionRun%insregname%

HKCUSOFTWAREMicrosoftWindows CurrentVersionExplorerStartupApprovedRun%insregname%

Mutex

Rādītāju nav.

faili

Failu darbība

%Temp%temp.tmp

%startupfolder%%insfolder%%insname%

%Temp%tmpG{Pašreizējais laiks milisekundēs}.tmp

%Temp%log.tmp

%AppData%{Patvaļīga 10 rakstzīmju secība}.jpeg

C:UsersPublic{Patvaļīga 10 rakstzīmju secība}.vbs

%Temp%{Pielāgotās mapes nosaukums}{Faila nosaukums}

Informācija par paraugiem

Vārds	nezināms
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
tips	PE (.NET)
Izmēri	327680
OriginalName	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
Datuma zīmogs	01.07.2019
Kompilators	VB.NET

Vārds	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
tips	PE (.NET DLL)
Izmēri	16896
OriginalName	IELibrary.dll
Datuma zīmogs	11.10.2016
Kompilators	Microsoft Linker (48.0*)

Avots: www.habr.com