I rahua te hurihanga: me whakaatu a AgentTesla ki te wai ma. Wāhanga 1
I tata nei, ka whakapiri atu tetahi kaihanga Pakeha o nga taputapu whakauru hiko ki te Rōpū-IB - i whakawhiwhia e tana kaimahi he reta whakapae me te taapiri kino i roto i te mēra. Ilya Pomerantsev, he tohunga tātari malware i CERT Group-IB, i whakahaere he tātaritanga taipitopito o tenei konae, i kitea te torotoro AgentTesla i reira ka korero he aha te tumanako mai i taua malware me pehea te kino.
Na tenei panui kei te whakatuwherahia e matou he raupapa tuhinga mo te wetewete i nga konae tino kino, a kei te tatari matou mo nga mea tino mohio i te Hakihea 5th mo te ipurangi whakawhitiwhiti kore utu mo te kaupapa. "Te Tirohanga Malware: Te Tirohanga o nga Take Tuturu". Ko nga korero katoa kei raro i te tapahi.
Tikanga tohatoha
E mohio ana matou i tae atu te malware ki te miihini a te tangata i paopaohia ma nga imeera hītinihanga. Ko te kaiwhiwhi o te reta i BCCed pea.
Ko te tātaritanga o nga pane e whakaatu ana i tinihangatia te kaituku o te reta. Ko te tikanga, i mahue te reta me vps56[.]oneworldhosting[.]com.
Kei roto i te taapiri imeera he puranga WinRar qoute_jpeg56a.r15 me te konae whakahaere kino QOUTE_JPEG56A.exe roto.
Te rauwiringa kaiao kino
Inaianei kia kite tatou he aha te ahua o te rauwiringa kaiao o te malware e rangahaua ana. Ko te hoahoa i raro nei e whakaatu ana i tona hanganga me nga ahunga o te taunekeneke o nga waahanga.
Inaianei me titiro ki ia o nga waahanga malware i roto i nga korero taipitopito.
Kaiuta
Kōnae taketake QOUTE_JPEG56A.exe he mea whakahiato Aunoa v3 tuhinga.
Hei whakapouri i te tuhinga taketake, he obfuscator he rite PElock AutoIT-Obfuscator āhuatanga.
Ka whakahaerehia te whakakore i nga waahanga e toru:
Te tango i te whakama Mo-Mehemea
Ko te mahi tuatahi ko te whakahoki i te rere mana o te tuhinga. Ko te Whakapapa Whakahaere Rere Ko tetahi o nga huarahi tino noa hei tiaki i te waehere rua tono mai i te tātaritanga. Ko nga panoni rangirua ka piki ake te uaua o te tango me te mohio ki nga algorithm me nga hanganga raraunga.
Whakaora haupae
E rua nga mahi hei whakamuna i nga aho:
gdorizabegkvfca - Ka mahia te wetewete-rite ki te Base64
xgacyukcyzxz - paita-paita ngawari XOR o te aho tuatahi me te roa o te tuarua
Te tango i te whakama BinaryToString и Whakarite
Ko te kawenga matua kei te rongoa i roto i te ahua wehewehe i roto i te whaiaronga Momotuhi nga waahanga rauemi o te konae.
Ko te raupapa whakapiri e whai ake nei: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWHJHO, AVZOUMVFRDWFLWU.
Ka whakamahia te mahi WinAPI ki te wetewete i nga raraunga kua tangohia CryptoDecrypt, ka whakamahia te kī wātū i hangaia i runga i te uara hei kī fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ka tukuna te konae kawe i wetemuna ki te whakauru mahi RunPE, e kawe ana TukangaTuhia в RegAsm.exe whakamahi hanga-i roto i ShellCode (mohiotia ano ko RunPE ShellCode). Ko te Kaituhi kei te kaiwhakamahi o te huinga Spanish kitea[.]net i raro i te ingoa karanga Wardow.
Me mahara ano kei roto i tetahi o nga miro o tenei huinga, he obfuscator mo I te tuanui me nga ahuatanga rite i kitea i te wa o te tātaritanga tauira.
Ko ia ShellCode he tino ngawari me te kukume i te aro mai i te roopu hacker AnunakCarbanak. API karanga hashing mahi.
Kei te mohio ano matou ki nga keehi whakamahi Frenchy Shellcode putanga rereke.
I tua atu i te taumahinga kua whakamaramatia, i tautuhia ano e matou nga mahi hohekore:
Te aukati i te whakamutu tukanga a-ringa i te kaiwhakahaere mahi
Ka timata ano i te tukanga tamaiti ina mutu ana
Tukuna UAC
Te tiaki i te utu ki te konae
Whakaaturanga o nga matapihi aratau
E tatari ana kia huri te tuunga pehu kiore
AntiVM me AntiSandbox
Te whakangaro-whaiaro
Te pupuhi utunga mai i te whatunga
E mohio ana matou he ahua noa tenei mahi mo te kaitiaki CypherIT, ko te ahua nei ko te bootloader e patai ana.
Kōwae matua o te pūmanawa
I muri mai, ka whakaahua poto matou i te waahanga matua o te malware, ka whakaarohia i roto i nga korero i roto i te tuhinga tuarua. I tenei keehi, he tono kei runga .NET.
I te wa o te tātaritanga, i kitea e matou i whakamahia he obfuscator ConfuserEX.
IELlibrary.dll
Kei te rongoa te whare pukapuka hei rauemi waahanga matua, he mono rongonui mo KaihokoTesla, e whakarato ana i nga mahi mo te tango i nga momo korero mai i nga kaitirotiro Internet Explorer me Edge.
Ko te Agent Tesla he raupaparorohiko torotoro rereke kua tohatohahia ma te whakamahi i te tauira malware-as-a-ratonga i raro i te ahua o te hua keylogger tika. Ka taea e Agent Tesla te tango me te tuku i nga tohu a nga kaiwhakamahi mai i nga kaitirotiro, nga kaihoko imeera me nga kaihoko FTP ki te tūmau ki te hunga whakaeke, te tuhi raraunga papatopenga, me te hopu i te mata o te taputapu. I te wa o te tātaritanga, kaore i te waatea te paetukutuku mana o nga kaihanga.
Ko te waahi urunga ko te mahi GetSavedPasswords akomanga InternetExplorer.
I te nuinga o te waa, he raina te mahi waehere, kaore he whakamarumaru ki te tātari. Ko te mahi karekau noa e tika kia arohia GetSavedCookies. Ko te ahua, ko te mahi o te mono i tika kia whakawhänuihia, engari kaore i mahia.
Te taapiri i te bootloader ki te punaha
Me ako me pehea te hono o te bootloader ki te punaha. Ko te tauira i raro i te rangahau kaore i te punga, engari i nga ahuatanga rite ka puta i runga i te kaupapa e whai ake nei:
Kei te kōpaki C:UssPublic ka hangaia te tuhinga Visual Basic
Tauira hōtuhi:
Ko nga mea kei roto i te konae bootloader kua kapi ki te ahua kore ka tiakina ki te kōpaki %Temp%<Ingoa kōpaki ritenga><ingoa Kōnae>
Ka hangaia he taviri autorun ki te rehita mo te konae tuhinga HKCUSoftwareMicrosoftWindowsCurrentVersionRun<ingoa Hōtuhi>
Na, i runga i nga hua o te waahanga tuatahi o te tātaritanga, i taea e matou te whakatuu i nga ingoa o nga whanau o nga waahanga katoa o te malware kei te akohia, te tātari i te tauira mate, me te whiwhi taonga mo te tuhi hainatanga. Ka haere tonu ta matou wetewete i tenei mea i roto i te tuhinga e whai ake nei, i reira ka titiro atu ki te waahanga matua KaihokoTesla. Kaua e ngaro!
Ma te ara, i te Hakihea 5 ka tono matou ki nga kaipanui katoa ki te ipurangi whakawhitiwhiti koreutu i runga i te kaupapa "Tataritanga o te kino: tātaritanga o nga keehi tuuturu", kei reira te kaituhi o tenei tuhinga, he tohunga CERT-GIB, ka whakaatu i runga ipurangi te waahanga tuatahi o tātari malware - wetewete aunoa i nga tauira ma te whakamahi i te tauira o nga keehi iti e toru mai i nga mahi, ka taea e koe te uru ki te tātari. He pai te webinar mo nga tohunga kua whai wheako ki te tarai i nga konae kino. Ko te rehitatanga mai i te imeera umanga: rehita. E tatari ana ki a koe!