Amin'ity lahatsoratra ity dia mameno ny andian-dahatsoratra natokana ho an'ny famakafakana ny rindrambaiko maloto izahay. IN Nanao famakafakana amin'ny antsipiriany momba ny rakitra voan'ny aretina izay noraisin'ny orinasa Eoropeana tamin'ny mailaka izahay ary nahita ny spyware AgentTesla tao. In dia nanoritsoritra ny valin'ny famakafakana tsikelikely ny maody lehibe AgentTesla.
Androany i Ilya Pomerantsev, manam-pahaizana manokana amin'ny famakafakana malware ao amin'ny CERT Group-IB, dia hiresaka momba ny dingana voalohany amin'ny famakafakana malware - famotsorana semi-automatique ny santionany AgentTesla amin'ny fampiasana ny ohatry ny tranga telo kely avy amin'ny fanaon'ny manam-pahaizana CERT Group-IB.
Amin'ny ankapobeny, ny dingana voalohany amin'ny fanadihadiana malware dia ny fanesorana ny fiarovana amin'ny endrika packer, cryptor, protector na loader. Amin'ny ankabeazan'ny toe-javatra, ity olana ity dia azo vahana amin'ny alΓ lan'ny fampandehanana ny malware sy ny fanariam-pako, saingy misy toe-javatra izay tsy mety io fomba io. Ohatra, raha encryption ny malware, raha miaro ny faritra fitadidiany tsy hariana, raha misy mekanika fitiliana milina virtoaly ilay kaody, na raha miverina avy hatrany ilay malware rehefa manomboka. Amin'ny toe-javatra toy izany, dia ampiasaina ny antsoina hoe "semi-automatique", izany hoe ny mpikaroka dia mifehy tanteraka ny dingana ary afaka miditra amin'ny fotoana rehetra. Andeha hojerentsika ity fomba ity amin'ny fampiasana santionany telo amin'ny fianakaviana AgentTesla ho ohatra. Ity dia malware somary tsy mampidi-doza raha esorinao ny fidirana amin'ny tambajotra.
Santionany No. 1
Ny rakitra loharano dia rakitra MS Word izay manararaotra ny vulnerability CVE-2017-11882.
Vokatr'izany dia alaina sy alefa ny entana.
Ny famakafakana ny hazo fizotry sy ny mari-pamantarana fitondran-tena dia mampiseho ny tsindrona ao anatin'ilay dingana RegAsm.exe.
Misy marika fitondran-tena mampiavaka ny AgentTesla.
Ny santionany alaina dia ny executable .NET-rakitra voaaro amin'ny mpiaro .NET Reactor.
Andao hanokatra azy ao amin'ny utility dnSpy x86 ary mandroso mankany amin'ny teboka fidirana.
Amin'ny fandehanana any amin'ny fonction DateTimeOffset, ho hitantsika ny kaody fanombohana ny vaovao .NET-module. Aleo apetraka teboka tapaka amin'ny tsipika izay mahaliana antsika ary mihazakazaka ny rakitra.
Ao amin'ny iray amin'ireo buffer naverina dia afaka mahita ny sonia MZ ianao (0x4d 0x5a). Andao hovonjena.
Ny rakitra azo tanterahana nariana dia tranomboky mavitrika izay loader, i.e. manaisotra ny enta-mavesatra avy amin'ny fizarana loharano ary manomboka izany.
Mandritra izany fotoana izany, ny loharanon-karena ilaina ihany koa dia tsy hita ao amin'ny fanariam-pako. Ao amin'ny santionan'ny ray aman-dreny izy ireo.
Utility dnSpy manana fiasa roa tena ilaina izay hanampy antsika haingana hamorona "Frankenstein" avy amin'ny rakitra roa mifandray.
- Ny voalohany dia ahafahanao "mametaka" tranomboky mavitrika amin'ny santionan'ny ray aman-dreny.
- Ny faharoa dia ny mamerina manoratra ny fehezan-dalΓ na miasa eo amin'ny teboka fidirana hiantsoana ny fomba tiana ao amin'ny tranomboky mavitrika nampidirina.
Mamonjy ny "Frankenstein", napetraka izahay teboka tapaka eo amin'ny tsipika mamerina buffer miaraka amin'ny loharanon-karena voadio, ary mamokatra fanariam-pako amin'ny alΓ lan'ny fanoharana amin'ny dingana teo aloha.
Ny fanariam-pako faharoa dia voasoratra ao VB.NET rakitra azo tanterahana izay arovan'ny mpiaro mahazatra antsika ConfuserEx.
Aorian'ny fanesorana ilay mpiaro dia mampiasa ny fitsipika YARA nosoratana teo aloha izahay ary azo antoka fa tena AgentTesla ilay malware tsy voafehy.
Santionany No. 2
Ny rakitra loharano dia rakitra MS Excel. Ny macro naorina ao dia mahatonga ny famonoana kaody ratsy.
Vokatr'izany dia natomboka ny script PowerShell.
Ny script dia mamadika ny kaody C # ary mamindra ny fifehezana azy. Ny kaody dia bootloader, araka ny hita amin'ny tatitra sandbox.
Ny payload dia executable .NET-rakitra.
Manokatra ny rakitra in dnSpy x86, hitanareo fa voasaron-tava. Esory ny obfuscation amin'ny fampiasana ny utility de4dot ary miverina amin'ny analyse.
Rehefa mandinika ny code ianao dia mety hahita ity asa manaraka ity:
Mahavariana ireo tsipika voakodia EntryPoint ΠΈ mangataka. Napetrakay teboka tapaka mankany amin'ny andalana voalohany, mihazakazaka ary tehirizo ny sanda buffer byte_0.
Ny fanariam-pako dia fampiharana indray .NET ary arovana ConfuserEx.
Esory ny obfuscation amin'ny fampiasana de4dot ary ampidiro ao amin'ny dnSpy. Avy amin'ny famaritana ny rakitra dia takatsika fa miatrika CyaX-Sharp loader.
Ity loader ity dia manana fiasa manohitra ny fanadihadiana.
Ity fampiasa ity dia ahitana ny fandalovana ny rafitra fiarovana Windows naorina, ny fanafoanana ny Windows Defender, ary koa ny sandbox sy ny mekanika fitiliana milina virtoaly. Azo atao ny mametaka ny entana avy amin'ny tambajotra na mitahiry izany ao amin'ny fizarana loharano. Ny fandefasana dia atao amin'ny alalan'ny tsindrona amin'ny dingana manokana, amin'ny dika mitovy amin'ny fizotrany manokana, na amin'ny dingana MSBuild.exe, vbc.exe ΠΈ RegSvcs.exe miankina amin'ny parameter nofidin'ny mpanafika.
Na izany aza, ho antsika dia tsy dia manan-danja loatra izy ireo AntiDump-asa izay manampy ConfuserEx. Hita ao amin'ny .
Mba hanesorana ny fiarovana dia hampiasa ny fahafahana izahay dnSpy, izay ahafahanao manitsy IL-code.
Tehirizo ary apetraho teboka tapaka mankany amin'ny tsipika miantso ny asa decryption payload. Izy io dia hita ao amin'ny mpanamboatra ny kilasy fototra.
Mamoaka sy manary ny entana izahay. Amin'ny fampiasana ny fitsipika YARA nosoratana teo aloha, dia azonay antoka fa ity no AgentTesla.
Santionany No. 3
Ny rakitra loharano dia ny executable VB Native PE32-rakitra.
Ny fanadihadiana entropy dia mampiseho ny fisian'ny ampahany betsaka amin'ny angon-drakitra voatahiry.
Rehefa mandinika ny taratasy fangatahana in VB Decompiler mety mahatsikaritra fiaviana pixelated hafahafa ianao.
Grapika entropy BMP-Ny sary dia mitovy amin'ny grafika entropy amin'ny rakitra tany am-boalohany, ary ny habeny dia 85% amin'ny haben'ny rakitra.
Ny endrika ankapobeny amin'ny sary dia manondro ny fampiasana steganography.
Andeha hojerentsika ny endriky ny hazo fizotry, ary koa ny fisian'ny marika tsindrona.
Midika izany fa eo am-pandrafetana ny entana. Ho an'ny Visual Basic loaders (aka VBKrypt na VBInjector) fampiasa mahazatra shellcode hanombohana ny enta-mavesatra, ary koa ny fanatanterahana ny tsindrona.
Analyse in VB Decompiler naneho ny fisian'ny hetsika iray Load amin'ny endrika FegatassocAirballoon2.
Andao ho any IDA pro mankany amin'ny adiresy voafaritra ary diniho ny asa. Ny kaody dia voasarona mafy. Ny sombin-javatra mahaliana antsika dia aseho eto ambany.
Eto ny habaka adiresin'ny dingana dia nojerena mba hahitana sonia. Tena mampiahiahy io fomba fiasa io.
Voalohany, ny adiresy fanombohana scan 0x400100. Statika io sanda io ary tsy ahitsy rehefa afindra ny fototra. Amin'ny toe-piainana tsara indrindra amin'ny trano fonenana dia manondro ny farany PE-ny lohatenin'ny rakitra azo tanterahana. Na izany aza, ny angon-drakitra dia tsy static, ny sandany dia mety hiova, ary ny fitadiavana ny tena adiresy ny sonia ilaina, na dia tsy hiteraka fihoaram-pefy miovaova, dia mety haharitra ela.
Faharoa, ny hevitry ny sonia iWGK. Heveriko fa miharihary fa kely loatra ny 4 bytes mba hiantohana ny maha-tokana. Ary raha raisinao ny teboka voalohany, dia avo dia avo ny mety hisian'ny fahadisoana.
Raha ny marina, ny ampahany ilaina dia mifatotra amin'ny faran'ny hita teo aloha BMP- sary amin'ny offset 0xA1D0D.
famonoana Shellcode natao tamin'ny dingana roa. Ny voalohany dia mamaritra ny vatana fototra. Amin'ity tranga ity, ny fanalahidy dia voafaritra amin'ny alΓ lan'ny herisetra.
Atsipazo ilay decrypted Shellcode ary jereo ny andalana.
Voalohany, fantatsika izao ny fiasa hamoronana fizotry ny zaza: CreateProcessInternalW.
Faharoa, nanjary nahafantatra ny fomba fiasan'ny fixation amin'ny rafitra izahay.
Andao hiverina amin'ny dingana voalohany. Aleo apetraka teboka tapaka amin'ny CreateProcessInternalW ary manohy ny famonoana. Manaraka izany dia hitantsika ny fifandraisana NtGetContextThread/NtSetContextThread, izay manova ny adiresy fanombohana famonoana ho amin'ny adiresy ShellCode.
Mifandray amin'ny dingana noforonina miaraka amin'ny debugger izahay ary manetsika ny hetsika Atsaharo ny fampandehanana / fanalana ny libraryu, tohizo ny dingana ary miandry ny fametahana .NET- tranomboky.
Fampiasana fanampiny ProcessHacker manariaka faritra misy tsy voafono .NET-fampiharana.
Atsaharo ny dingana rehetra ary mamafa ny dika mitovy amin'ny malware izay tafiditra ao anatin'ny rafitra.
Ny rakitra nariana dia arovan'ny mpiaro .NET Reactor, izay azo esorina mora foana amin'ny fampiasana fitaovana iray de4dot.
Amin'ny fampiasana ny fitsipika YARA nosoratana teo aloha, dia azonay antoka fa AgentTesla ity.
To mamintina
Noho izany, nasehonay tamin'ny antsipiriany ny dingan'ny famoahana santionany semi-automatique amin'ny fampiasana tranga kely telo ho ohatra, ary nanadihady ihany koa ny malware mifototra amin'ny tranga iray feno, nahita fa ny santionany nodinihina dia AgentTesla, mametraka ny asany sy ny a lisitra feno amin'ny famantarana ny marimaritra iraisana.
Mitaky fotoana sy ezaka be ny famakafakana ny zava-dratsy nataonay, ary mpiasa manokana ao amin'ny orinasa no manao izany asa izany, fa tsy ny orinasa rehetra no vonona hampiasa mpandinika.
Ny iray amin'ireo tolotra omen'ny Group-IB Laboratory of Computer Forensics and Malicious Code Analysis dia valin'ny trangan-javatra an-tserasera. Ary mba tsy handany fotoana ny mpanjifa amin'ny fankatoavana ny antontan-taratasy sy ny fifanakalozan-kevitra momba azy ireo ao anatin'ny fanafihana an-tserasera, dia nandefa ny Group-IB Retainer valin'ny zava-nitranga, serivisy famaliana tranga mialoha famandrihana izay ahitana dingana famakafakana malware ihany koa. Misy fampahalalana bebe kokoa momba izany .
Raha te-handalina indray ianao ny fomba famongorana ny santionan'ny AgentTesla ary hijery ny fomba anaovan'ny manam-pahaizana manokana CERT Group-IB, dia azonao atao ny misintona ny firaketana webinar momba ity lohahevitra ity. .
Source: www.habr.com