Vao haingana, nisy mpanamboatra Eoropeana fitaovana fametrahana elektrika nifandray tamin'ny Group-IB - nahazo taratasy mampiahiahy ny mpiasany miaraka amin'ny fametahana maloto amin'ny mailaka. Ilya Pomerantsev, manam-pahaizana manokana momba ny famakafakana malware ao amin'ny CERT Group-IB, dia nanao fanadihadiana amin'ny antsipiriany momba ity rakitra ity, nahita ny spyware AgentTesla tao ary nilaza ny zavatra andrasana amin'ny malware toy izany sy ny loza aterak'izany.
Miaraka amin'ity lahatsoratra ity dia manokatra andian-dahatsoratra momba ny fomba famakafakana ireo rakitra mety hampidi-doza toy izany izahay, ary miandry ny tena mahaliana indrindra amin'ny 5 Desambra izahay amin'ny webinar interactive maimaimpoana momba ny lohahevitra. "Famakafakana Malware: Famakafakana ny tranga tena izy". Ny antsipiriany rehetra dia eo ambanin'ny fanapahana.
Mekanisma fizarana
Fantatray fa tonga tao amin'ny masinin'ilay niharam-boina tamin'ny alΓ lan'ny mailaka phishing ny malware. Ny nahazo ny taratasy dia azo inoana fa BCCed.
Ny famakafakana ny lohapejy dia mampiseho fa voasokajy ny mpandefa ny taratasy. Raha ny marina, ny taratasy niala tamin'ny vps56[.]oneworldhosting[.]com.
Ny fametahana mailaka dia misy arisiva WinRar qoute_jpeg56a.r15 miaraka amin'ny rakitra executable ratsy QOUTE_JPEG56A.exe anatiny.
Malware ecosystem
Andeha hojerentsika hoe manao ahoana ny ekΓ΄sistemin'ny malware eo am-pandinihana. Ny kisary etsy ambany dia mampiseho ny firafiny sy ny torolalan'ny fifandraisan'ireo singa.
Andeha hojerentsika tsirairay amin'ireo singa malware amin'ny antsipiriany bebe kokoa.
Loader
rakitra tany am-boalohany QOUTE_JPEG56A.exe dia natambatra AutoIt v3 script.
Mba hanafenana ny soratra tany am-boalohany, obfuscator misy mitovy Pelock AutoIT-Obfuscator toetra.
Deobfuscation dia tanterahina amin'ny dingana telo:
- Esory ny obfuscation Ho-Raha
Ny dingana voalohany dia ny famerenana ny fikorianan'ny script. Control Flow Flattening dia iray amin'ireo fomba mahazatra indrindra hiarovana ny kaody binary fampiharana amin'ny famakafakana. Ny fanovana mampisafotofoto dia mampitombo be ny fahasarotan'ny fitrandrahana sy ny fahafantarana ny algorithm sy ny rafitra angona.
- Famerenana andalana
Fampiasa roa no ampiasaina hanodinana tady:
- gdorizabegkvfca - Manao famadihana mitovy amin'ny Base64
- xgacyukcyzxz - byte-byte tsotra XOR amin'ny tady voalohany miaraka amin'ny halavan'ny faharoa
- gdorizabegkvfca - Manao famadihana mitovy amin'ny Base64
- Esory ny obfuscation BinaryToString ΠΈ hampihatra
Ny entana lehibe dia voatahiry amin'ny endrika mizara ao amin'ny lahatahiry endritsoratra fizarana loharanon'ny rakitra.
Ny filaharana gluing dia toy izao manaraka izao: TIEQHCXWFG, ΓmΓ©, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Ny fiasa WinAPI dia ampiasaina hamadika ny angon-drakitra nalaina CryptoDecrypt, ary ny fanalahidin'ny session vokarina mifototra amin'ny sanda dia ampiasaina ho fanalahidy fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ny rakitra azo tanterahana decrypted dia alefa any amin'ny fampidirana fiasa RunPE, izay manatanteraka ProcessInject Π² RegAsm.exe mampiasa naorina-in ShellCode (fantatra koa amin'ny hoe RunPE ShellCode). An'ny mpampiasa ny forum espaniola ny mpanoratra tsy hita maso[.]net eo ambanin'ny anaram-bositra Wardow.
Tsara ihany koa ny manamarika fa ao amin'ny iray amin'ireo kofehy amin'ity forum ity, ny obfuscator ho an'ny Eo amin'ny tafo miaraka amin'ny toetra mitovy fantatra nandritra ny fanadihadiana santionany.
ny tenany ShellCode tena tsotra ary misarika ny saina ihany no nindramina avy amin'ny vondrona mpijirika AnunakCarbanak. API antso hashing asa.
Fantatsika ihany koa ny tranga fampiasana Frenchy Shellcode dikan-teny samihafa.
Ho fanampin'ny fampiasa nofaritana, dia fantatray ihany koa ny fiasa tsy mavitrika:
- Fanakanana ny famaranana ny fizotran'ny manual amin'ny mpitantana ny asa
- Mamerina ny fizotry ny ankizy rehefa tapitra izany
- Bypass UAC
- Mitahiry ny entana ho rakitra
- Fampisehoana ny varavarankely modal
- Miandry ny fiovan'ny toeran'ny cursor totozy
- AntiVM sy AntiSandbox
- tena fandringanana
- Mipoitra ny entana avy amin'ny tambajotra
Fantatsika fa ny fiasa toy izany dia mahazatra ho an'ny mpiaro CypherIT, izay toa ny bootloader resahina.
Main module of software
Manaraka, holazainay fohifohy ny maody fototra amin'ny malware, ary handinika izany amin'ny antsipiriany kokoa ao amin'ny lahatsoratra faharoa. Amin'ity tranga ity, dia fampiharana amin'ny .NET.
Nandritra ny fanadihadiana dia hitanay fa obfuscator no nampiasaina ConfuserEX.
IELlibrary.dll
Ny trano famakiam-boky dia voatahiry ho loharano mΓ΄dely lehibe ary plugin malaza ho an'ny AgentTesla, izay manome fampiasa amin'ny fitrandrahana fampahalalana isan-karazany avy amin'ny Internet Explorer sy Edge navigateur.
Agent Tesla dia rindrambaiko fitsikilovana modular nozaraina tamin'ny alΓ lan'ny maodely malware-as-a-service amin'ny endrika vokatra keylogger ara-dalΓ na. Agent Tesla dia afaka maka sy mamindra ny fahazoan-dΓ lana ho an'ny mpampiasa avy amin'ny navigateur, mpanjifa mailaka ary mpanjifa FTP mankany amin'ny mpizara ho an'ny mpanafika, mirakitra angon-drakitra amin'ny clipboard, ary maka ny efijery fitaovana. Tamin'ny fotoana nanaovana fanadihadiana dia tsy nisy ny tranonkala ofisialin'ny mpamorona.
Ny teboka fidirana dia ny asa GetSavedPasswords kilasy InternetExplorer.
Amin'ny ankapobeny, ny famonoana kaody dia tsipika ary tsy misy fiarovana amin'ny fanadihadiana. Ny asa tsy tanteraka ihany no mendrika hojerena GetSavedCookies. Raha ny fahitana azy dia tokony hitarina ny fiasan'ny plugin, saingy tsy vita mihitsy izany.
Fametrahana ny bootloader amin'ny rafitra
Andeha hodinihintsika ny fomba ampifandraisina amin'ny rafitra ny bootloader. Ny santionany amin'ny fianarana dia tsy vatofantsika, fa amin'ny tranga mitovy amin'izany dia mitranga izany araka ny drafitra manaraka:
- Ao anaty folder C:UsersPublic noforonina ny script Visual Basic
Ohatra amin'ny script:
- Ny votoatin'ny rakitra loader dia nofonosina tarehintsoratra tsy misy dikany ary voatahiry ao amin'ny lahatahiry %Temp%Anaran'ny rakitra>
- Ny famaha autorun dia noforonina ao amin'ny rejisitra ho an'ny rakitra script HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Noho izany, mifototra amin'ny valin'ny ampahany voalohany amin'ny famakafakana, dia afaka nametraka ny anaran'ny fianakavian'ny singa rehetra amin'ny malware eo am-pandinihana, namakafaka ny lamin'ny otrikaretina, ary nahazo zavatra hanoratana sonia. Hanohy ny famakafakana an'io zavatra io isika ao amin'ny lahatsoratra manaraka, izay hijerentsika amin'ny antsipiriany bebe kokoa ny maody fototra AgentTesla. Aza adino!
Raha ny tokony ho izy, amin'ny 5 Desambra dia manasa ny mpamaky rehetra izahay amin'ny webinar interactive maimaimpoana momba ny lohahevitra "Fandinihana ny malware: famakafakana ny tranga tena izy", izay hanehoan'ny mpanoratra ity lahatsoratra ity, manam-pahaizana manokana momba ny CERT-GIB, amin'ny Internet ny dingana voalohany amin'ny famakafakana malware - famongorana semi-automatique ny santionany amin'ny alΓ lan'ny ohatra amin'ny tranga telo tena izy avy amin'ny fanao, ary afaka mandray anjara amin'ny fanadihadiana ianao. Ny webinar dia mety ho an'ireo manam-pahaizana efa manana traikefa amin'ny famakafakana ireo rakitra maloto. Ny fisoratana anarana dia avy amin'ny mailaka orinasa: . Miandry anao!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
Hashes
| anarana | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| Type | Archive WinRAR |
| Size | 823014 |
| anarana | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| Type | PE (Script AutoIt natambatra) |
| Size | 1327616 |
| OriginalName | Unknown |
| DateStamp | 15.07.2019 |
| Mpifandray | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| Type | ShellCode |
| Size | 1474 |
Source: www.habr.com