Tsy nahomby ny fandraisana anjara: andao hasehontsika amin'ny rano madio ny AgentTesla. Fizarana 1
Vao haingana, nisy mpanamboatra Eoropeana fitaovana fametrahana elektrika nifandray tamin'ny Group-IB - nahazo taratasy mampiahiahy ny mpiasany miaraka amin'ny fametahana maloto amin'ny mailaka. Ilya Pomerantsev, manam-pahaizana manokana momba ny famakafakana malware ao amin'ny CERT Group-IB, dia nanao fanadihadiana amin'ny antsipiriany momba ity rakitra ity, nahita ny spyware AgentTesla tao ary nilaza ny zavatra andrasana amin'ny malware toy izany sy ny loza aterak'izany.
Miaraka amin'ity lahatsoratra ity dia manokatra andian-dahatsoratra momba ny fomba famakafakana ireo rakitra mety hampidi-doza toy izany izahay, ary miandry ny tena mahaliana indrindra amin'ny 5 Desambra izahay amin'ny webinar interactive maimaimpoana momba ny lohahevitra. "Famakafakana Malware: Famakafakana ny tranga tena izy". Ny antsipiriany rehetra dia eo ambanin'ny fanapahana.
Mekanisma fizarana
Fantatray fa tonga tao amin'ny masinin'ilay niharam-boina tamin'ny alΓ lan'ny mailaka phishing ny malware. Ny nahazo ny taratasy dia azo inoana fa BCCed.
Ny famakafakana ny lohapejy dia mampiseho fa voasokajy ny mpandefa ny taratasy. Raha ny marina, ny taratasy niala tamin'ny vps56[.]oneworldhosting[.]com.
Ny fametahana mailaka dia misy arisiva WinRar qoute_jpeg56a.r15 miaraka amin'ny rakitra executable ratsy QOUTE_JPEG56A.exe anatiny.
Malware ecosystem
Andeha hojerentsika hoe manao ahoana ny ekΓ΄sistemin'ny malware eo am-pandinihana. Ny kisary etsy ambany dia mampiseho ny firafiny sy ny torolalan'ny fifandraisan'ireo singa.
rakitra tany am-boalohany QOUTE_JPEG56A.exe dia natambatra AutoIt v3 script.
Mba hanafenana ny soratra tany am-boalohany, obfuscator misy mitovy Pelock AutoIT-Obfuscator toetra.
Deobfuscation dia tanterahina amin'ny dingana telo:
Esory ny obfuscation Ho-Raha
Ny dingana voalohany dia ny famerenana ny fikorianan'ny script. Control Flow Flattening dia iray amin'ireo fomba mahazatra indrindra hiarovana ny kaody binary fampiharana amin'ny famakafakana. Ny fanovana mampisafotofoto dia mampitombo be ny fahasarotan'ny fitrandrahana sy ny fahafantarana ny algorithm sy ny rafitra angona.
Ny fiasa WinAPI dia ampiasaina hamadika ny angon-drakitra nalaina CryptoDecrypt, ary ny fanalahidin'ny session vokarina mifototra amin'ny sanda dia ampiasaina ho fanalahidy fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ny rakitra azo tanterahana decrypted dia alefa any amin'ny fampidirana fiasa RunPE, izay manatanteraka ProcessInject Π² RegAsm.exe mampiasa naorina-in ShellCode (fantatra koa amin'ny hoe RunPE ShellCode). An'ny mpampiasa ny forum espaniola ny mpanoratra tsy hita maso[.]net eo ambanin'ny anaram-bositra Wardow.
Tsara ihany koa ny manamarika fa ao amin'ny iray amin'ireo kofehy amin'ity forum ity, ny obfuscator ho an'ny Eo amin'ny tafo miaraka amin'ny toetra mitovy fantatra nandritra ny fanadihadiana santionany.
ny tenany ShellCode tena tsotra ary misarika ny saina ihany no nindramina avy amin'ny vondrona mpijirika AnunakCarbanak. API antso hashing asa.
Fantatsika ihany koa ny tranga fampiasana Frenchy Shellcode dikan-teny samihafa.
Ho fanampin'ny fampiasa nofaritana, dia fantatray ihany koa ny fiasa tsy mavitrika:
Fanakanana ny famaranana ny fizotran'ny manual amin'ny mpitantana ny asa
Mamerina ny fizotry ny ankizy rehefa tapitra izany
Bypass UAC
Mitahiry ny entana ho rakitra
Fampisehoana ny varavarankely modal
Miandry ny fiovan'ny toeran'ny cursor totozy
AntiVM sy AntiSandbox
tena fandringanana
Mipoitra ny entana avy amin'ny tambajotra
Fantatsika fa ny fiasa toy izany dia mahazatra ho an'ny mpiaro CypherIT, izay toa ny bootloader resahina.
Main module of software
Manaraka, holazainay fohifohy ny maody fototra amin'ny malware, ary handinika izany amin'ny antsipiriany kokoa ao amin'ny lahatsoratra faharoa. Amin'ity tranga ity, dia fampiharana amin'ny .NET.
Nandritra ny fanadihadiana dia hitanay fa obfuscator no nampiasaina ConfuserEX.
IELlibrary.dll
Ny trano famakiam-boky dia voatahiry ho loharano mΓ΄dely lehibe ary plugin malaza ho an'ny AgentTesla, izay manome fampiasa amin'ny fitrandrahana fampahalalana isan-karazany avy amin'ny Internet Explorer sy Edge navigateur.
Agent Tesla dia rindrambaiko fitsikilovana modular nozaraina tamin'ny alΓ lan'ny maodely malware-as-a-service amin'ny endrika vokatra keylogger ara-dalΓ na. Agent Tesla dia afaka maka sy mamindra ny fahazoan-dΓ lana ho an'ny mpampiasa avy amin'ny navigateur, mpanjifa mailaka ary mpanjifa FTP mankany amin'ny mpizara ho an'ny mpanafika, mirakitra angon-drakitra amin'ny clipboard, ary maka ny efijery fitaovana. Tamin'ny fotoana nanaovana fanadihadiana dia tsy nisy ny tranonkala ofisialin'ny mpamorona.
Ny teboka fidirana dia ny asa GetSavedPasswords kilasy InternetExplorer.
Amin'ny ankapobeny, ny famonoana kaody dia tsipika ary tsy misy fiarovana amin'ny fanadihadiana. Ny asa tsy tanteraka ihany no mendrika hojerena GetSavedCookies. Raha ny fahitana azy dia tokony hitarina ny fiasan'ny plugin, saingy tsy vita mihitsy izany.
Fametrahana ny bootloader amin'ny rafitra
Andeha hodinihintsika ny fomba ampifandraisina amin'ny rafitra ny bootloader. Ny santionany amin'ny fianarana dia tsy vatofantsika, fa amin'ny tranga mitovy amin'izany dia mitranga izany araka ny drafitra manaraka:
Ao anaty folder C:UsersPublic noforonina ny script Visual Basic
Ohatra amin'ny script:
Ny votoatin'ny rakitra loader dia nofonosina tarehintsoratra tsy misy dikany ary voatahiry ao amin'ny lahatahiry %Temp%Anaran'ny rakitra>
Ny famaha autorun dia noforonina ao amin'ny rejisitra ho an'ny rakitra script HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Noho izany, mifototra amin'ny valin'ny ampahany voalohany amin'ny famakafakana, dia afaka nametraka ny anaran'ny fianakavian'ny singa rehetra amin'ny malware eo am-pandinihana, namakafaka ny lamin'ny otrikaretina, ary nahazo zavatra hanoratana sonia. Hanohy ny famakafakana an'io zavatra io isika ao amin'ny lahatsoratra manaraka, izay hijerentsika amin'ny antsipiriany bebe kokoa ny maody fototra AgentTesla. Aza adino!
Raha ny tokony ho izy, amin'ny 5 Desambra dia manasa ny mpamaky rehetra izahay amin'ny webinar interactive maimaimpoana momba ny lohahevitra "Fandinihana ny malware: famakafakana ny tranga tena izy", izay hanehoan'ny mpanoratra ity lahatsoratra ity, manam-pahaizana manokana momba ny CERT-GIB, amin'ny Internet ny dingana voalohany amin'ny famakafakana malware - famongorana semi-automatique ny santionany amin'ny alΓ lan'ny ohatra amin'ny tranga telo tena izy avy amin'ny fanao, ary afaka mandray anjara amin'ny fanadihadiana ianao. Ny webinar dia mety ho an'ireo manam-pahaizana efa manana traikefa amin'ny famakafakana ireo rakitra maloto. Ny fisoratana anarana dia avy amin'ny mailaka orinasa: hisoratra anarana. Miandry anao!