Vēlētāju dalība neizdevās: pakļausim AgentTesla tīram ūdenim. 3. daļa

Ar šo rakstu mēs pabeidzam publikāciju sēriju, kas veltīta ļaunprātīgas programmatūras analīzei. IN pirmā daļa Mēs veicām detalizētu inficētā faila analīzi, ko Eiropas uzņēmums saņēma pa pastu, un atklājām tajā AgentTesla spiegprogrammatūru. In otrā daļa aprakstīja galvenā AgentTesla moduļa soli pa solim analīzes rezultātus.

Šodien Iļja Pomerancevs, CERT Group-IB ļaunprātīgas programmatūras analīzes speciālists, runās par ļaunprogrammatūras analīzes pirmo posmu - AgentTesla paraugu pusautomātisko izsaiņošanu, izmantojot trīs mini gadījumu piemēru no CERT Group-IB speciālistu prakses.

Parasti ļaunprogrammatūras analīzes pirmais posms ir aizsardzības noņemšana pakotnes, šifrētāja, aizsarga vai ielādētāja veidā. Vairumā gadījumu šo problēmu var atrisināt, palaižot ļaunprogrammatūru un veicot izgāztuves, taču ir situācijas, kad šī metode nav piemērota. Piemēram, ja ļaunprogrammatūra ir šifrētājs, ja tā aizsargā savus atmiņas apgabalus no dumpinga, ja kodā ir ietverti virtuālās mašīnas noteikšanas mehānismi vai ja ļaunprātīga programmatūra tiek atsāknēta tūlīt pēc palaišanas. Šādos gadījumos tiek izmantota tā sauktā “pusautomātiskā” izpakošana, tas ir, pētnieks pilnībā kontrolē procesu un var iejaukties jebkurā laikā. Apskatīsim šo procedūru, kā piemēru izmantojot trīs AgentTesla saimes paraugus. Šī ir salīdzinoši nekaitīga ļaunprātīga programmatūra, ja atspējojat tās piekļuvi tīklam.

Paraugs Nr.1

Avota fails ir MS Word dokuments, kas izmanto ievainojamību CVE-2017-11882.

Rezultātā krava tiek lejupielādēta un palaista.

Procesa koka un uzvedības marķieru analīze parāda ievadīšanu procesā RegAsm.exe.

Ir AgentTesla raksturīgie uzvedības marķieri.

Lejupielādētais paraugs ir izpildāmais NET.-fails, ko aizsargā aizsargs .NET reaktors.

Atvērsim to utilītprogrammā dnSpy x86 un pārejiet uz ieejas punktu.

Dodoties uz funkciju DateTimeOffset, mēs atradīsim inicializācijas kodu jaunajam NET.- modulis. Liekam pārtraukuma punkts uz līnijas, kas mūs interesē, un palaidiet failu.

Vienā no atgrieztajiem buferiem var redzēt MZ parakstu (0x4D 0x5A). Saglabāsim to.

Izmests izpildāmais fails ir dinamiska bibliotēka, kas ir ielādētājs, t.i. izvelk lietderīgo slodzi no resursu sadaļas un palaiž to.

Tajā pašā laikā paši nepieciešamie resursi izgāztuvē neatrodas. Tie ir vecāku izlasē.

Lietderība dnSpy ir divas ārkārtīgi noderīgas funkcijas, kas mums palīdzēs diezgan ātri izveidot “Frankenšteinu” no diviem saistītiem failiem.

1. Pirmais ļauj “ielīmēt” dinamisko bibliotēku vecāka paraugā.

   

2. Otrais ir pārrakstīt funkcijas kodu ieejas punktā, lai izsauktu ievietotās dinamiskās bibliotēkas vēlamo metodi.

   

Saglabājam savu “Frankenšteinu”, komplektu pārtraukuma punkts rindā, kas atgriež buferi ar atšifrētiem resursiem, un izveido izgāztuves pēc analoģijas ar iepriekšējo posmu.

Otrā izgāztuve ir ierakstīta VB.NET izpildāms fails, ko aizsargā mums pazīstams aizsargs ConfuserEx.

Pēc aizsarga noņemšanas mēs izmantojam iepriekš rakstītos YARA noteikumus un pārliecināmies, ka izpakotā ļaunprogrammatūra patiešām ir AgentTesla.

Paraugs Nr.2

Avota fails ir MS Excel dokuments. Iebūvēts makro izraisa ļaunprātīga koda izpildi.

Rezultātā tiek palaists PowerShell skripts.

Skripts atšifrē C# kodu un nodod tam kontroli. Pats kods ir sāknēšanas ielādētājs, kā to var redzēt arī no smilškastes pārskata.

Lietderīgā slodze ir izpildāma NET.- fails.

Faila atvēršana iekšā dnSpy x86, var redzēt, ka tas ir apmulsis. Apmulsuma noņemšana, izmantojot utilītu de4dot un atgriezties pie analīzes.

Pārbaudot kodu, jūs varat atklāt šādu funkciju:

Kodētās līnijas ir pārsteidzošas Ieejas punkts и piesaukt. Mēs liekam pārtraukuma punkts uz pirmo rindiņu, palaidiet un saglabājiet bufera vērtību baits_0.

Izgāztuve atkal ir lietojumprogramma NET. un aizsargāts ConfuserEx.

Mēs noņemam neskaidrības, izmantojot de4dot un augšupielādēt uz dnSpy. No faila apraksta mēs saprotam, ar ko mēs saskaramies CyaX-Sharp iekrāvējs.

Šim iekrāvējam ir plaša pretanalīzes funkcionalitāte.

Šī funkcionalitāte ietver iebūvēto Windows aizsardzības sistēmu apiešanu, Windows Defender atspējošanu, kā arī smilškastes un virtuālās mašīnas noteikšanas mehānismus. Ir iespējams ielādēt kravnesību no tīkla vai uzglabāt resursu sadaļā. Palaišana tiek veikta, ievadot savā procesā, sava procesa dublikātā vai procesos MSBuild.exe, vbc.exe и RegSvcs.exe atkarībā no uzbrucēja izvēlētā parametra.

Tomēr mums tie ir mazāk nozīmīgi nekā Antidempings-funkcija, kas papildina ConfuserEx. Tās avota kodu var atrast vietnē GitHub.

Lai atspējotu aizsardzību, mēs izmantosim iespēju dnSpy, kas ļauj rediģēt IL-kods.

Saglabājiet un instalējiet pārtraukuma punkts uz lietderīgās slodzes atšifrēšanas funkcijas izsaukšanas līniju. Tas atrodas galvenās klases konstruktorā.

Mēs palaižam un izmetam kravnesību. Izmantojot iepriekš rakstītos YARA noteikumus, mēs pārliecināmies, ka tas ir AgentTesla.

Paraugs Nr.3

Avota fails ir izpildāmais fails VB Native PE32- fails.

Entropijas analīze parāda liela šifrētu datu daļas klātbūtni.

Analizējot pieteikuma veidlapu in VB dekompilators jūs varat pamanīt dīvainu pikseļu fonu.

Entropijas grafiks bmp-image ir identisks oriģinālā faila entropijas grafikam, un izmērs ir 85% no faila lieluma.

Attēla vispārējais izskats norāda uz steganogrāfijas izmantošanu.

Pievērsīsim uzmanību procesa koka izskatam, kā arī injekcijas marķiera klātbūtnei.

Tas norāda, ka notiek izpakošana. Visual Basic iekrāvējiem (aka VBKrypt vai VBI inžektors) tipisks lietojums čaulas kods lai inicializētu kravnesību, kā arī veiktu pašu injekciju.

Analīze iekšā VB dekompilators parādīja notikuma klātbūtni Slodze pie veidlapas FegatassocAirballoon2.

Ejam uz IDA pro uz norādīto adresi un izpēti funkciju. Kods ir stipri aizsegts. Fragments, kas mūs interesē, ir parādīts zemāk.

Šeit procesa adrešu telpa tiek pārbaudīta, lai iegūtu parakstu. Šī pieeja ir ārkārtīgi apšaubāma.

Pirmkārt, skenēšanas sākuma adrese 0x400100. Šī vērtība ir statiska un netiek koriģēta, pārvietojot pamatni. Ideālos siltumnīcas apstākļos tas norādīs beigas PE- izpildāmā faila galvene. Taču datu bāze nav statiska, tās vērtība var mainīties, un vajadzīgā paraksta īstās adreses meklēšana, lai arī tā neizraisīs mainīgo pārplūdi, var aizņemt ļoti ilgu laiku.

Otrkārt, paraksta nozīme iWGK. Es domāju, ka ir acīmredzams, ka 4 baiti ir pārāk mazs, lai garantētu unikalitāti. Un, ja ņem vērā pirmo punktu, varbūtība kļūdīties ir diezgan augsta.

Faktiski vajadzīgais fragments ir pievienots iepriekš atrastajam galā bmp-attēli ar nobīdi 0xA1D0D.

Piepildījums Shellcode veikta divos posmos. Pirmais atšifrē galveno korpusu. Šajā gadījumā atslēgu nosaka brutāls spēks.

Izmetiet atšifrēto Shellcode un paskaties uz līnijām.

Pirmkārt, mēs tagad zinām funkciju, lai izveidotu bērnu procesu: CreateProcessInternalW.

Otrkārt, mēs apzinājāmies fiksācijas mehānismu sistēmā.

Atgriezīsimies pie sākotnējā procesa. Liekam pārtraukuma punkts par CreateProcessInternalW un turpināt izpildi. Tālāk mēs redzam savienojumu NtGetContextThread/NtSetContextThread, kas maina izpildes sākuma adresi uz adresi ShellCode.

Mēs pieslēdzamies izveidotajam procesam ar atkļūdotāju un aktivizējam notikumu Apturēt bibliotēkas ielādi/izlādēšanu, atsāciet procesu un gaidiet ielādi NET.- bibliotēkas.

Turpmāka lietošana ProcessHacker izgāztuves reģioni, kuros ir neizpakots NET.-pieteikums.

Mēs apturam visus procesus un izdzēšam ļaunprātīgās programmatūras kopiju, kas ir iegulta sistēmā.

Izmesto failu aizsargā aizsargs .NET reaktors, kuru var viegli noņemt, izmantojot utilītu de4dot.

Izmantojot iepriekš rakstītos YARA noteikumus, mēs pārliecināmies, ka tas ir AgentTesla.

Apkopojot

Tātad, mēs detalizēti demonstrējām pusautomātiskās parauga izpakošanas procesu, kā piemēru izmantojot trīs mini lietas, kā arī analizējām ļaunprātīgu programmatūru, pamatojoties uz pilnvērtīgu lietu, uzzinot, ka pētāmais paraugs ir AgentTesla, nosakot tā funkcionalitāti un pilns kompromisa rādītāju saraksts.

Ļaunprātīgā objekta analīze, ko mēs veicām, prasa daudz laika un pūļu, un šis darbs uzņēmumā būtu jāveic speciālam darbiniekam, taču ne visi uzņēmumi ir gatavi pieņemt darbā analītiķi.

Viens no Group-IB Datoru kriminālistikas un ļaunprātīgo kodu analīzes laboratorijas sniegtajiem pakalpojumiem ir reaģēšana uz kiberincidentiem. Un, lai klienti netērētu laiku dokumentu apstiprināšanai un to apspriešanai kiberuzbrukuma laikā, Group-IB uzsāka Incidentu reaģēšanas glabātājs, pirmsabonēšanas incidentu reaģēšanas pakalpojums, kas ietver arī ļaunprātīgas programmatūras analīzes darbību. Plašāku informāciju par to var atrast šeit.

Ja vēlaties vēlreiz izpētīt, kā tiek izpakoti AgentTesla paraugi, un redzēt, kā to dara CERT Group-IB speciālists, varat lejupielādēt vebināra ierakstu par šo tēmu šeit.

Avots: www.habr.com