Ma tenei tuhinga ka whakaotia e matou te raupapa o nga panui e whakatapua ana ki te tātari i nga rorohiko kino. IN I whakahaerehia e matou he tātaritanga mo tetahi konae kua pangia i whakawhiwhia e tetahi kamupene pakeha ma te mēra, ka kitea he tutei AgentTesla ki reira. I roto i whakaahuahia nga hua o te tātaritanga taahiraa-i-te-taahiraa o te waahanga matua AgentTesla.
I tenei ra ka korero a Ilya Pomerantsev, he tohunga mo te tātari malware i te CERT Group-IB, mo te waahanga tuatahi o te tātaritanga kino - te wetewete aunoa i nga tauira AgentTesla ma te whakamahi i te tauira o nga keehi iti e toru mai i nga mahi a nga tohunga CERT Group-IB.
Ko te tikanga, ko te waahanga tuatahi i roto i te tātaritanga kino ko te tango i te whakamarumaru i te ahua o te packer, cryptor, protector, loader ranei. I te nuinga o nga wa, ka taea te whakatau i tenei raru ma te whakahaere i te malware me te mahi putunga, engari he waahi kaore e pai ana tenei tikanga. Hei tauira, ki te mea he whakamuna te malware, mena ka tiakina e ia ona rohe mahara kia kaua e makahia, mena kei roto i te waehere nga miihini miihini mariko, mena ka whakaara ano te malware i muri tonu i te tiimata. I roto i enei ahuatanga, ka whakamahia te mea e kiia nei ko te "semi-aunoa" wetewete, ara, kei te kairangahau te mana whakahaere katoa mo te mahi ka taea te wawao i nga wa katoa. Ka whakaarohia tenei tikanga ma te whakamahi i nga tauira e toru o te whanau AgentTesla hei tauira. He kino kino kino tenei mena ka whakakorehia e koe tana urunga whatunga.
Tauira Nama 1
Ko te konae puna he tuhinga MS Word e whakamahi ana i te whakaraeraetanga CVE-2017-11882.
Ko te mutunga, ka tangohia te utu ka tukuna.
Ko te tātaritanga o te rakau tukanga me nga tohu whanonga e whakaatu ana i te werohanga ki te tukanga RegAsm.exe.
He tohu tohu whanonga a AgentTesla.
Ko te tauira kua tangohia ko te mea kawe .NET-Ko te konae e tiakina ana e te kaitarai .NET Reactor.
Kia whakatuwhera tatou i roto i te whaipainga dnSpy x86 ka neke atu ki te waahi urunga.
Ma te haere ki te mahi RāWāWākē, ka kitea e matou te waehere arawhiti mo te mea hou .NET-kōwae. Me whakatakoto whatiwhati i runga i te raina e hiahia ana matou me te whakahaere i te konae.
I tetahi o nga parepare kua hoki mai ka kite koe i te waitohu MZ (0x4D 0x5A). Kia ora tatou.
Ko te konae ka taea te whakahaere he whare pukapuka hihiri he utauta, a. ka tango i te utunga mai i te waahanga rauemi ka whakarewahia.
I te wa ano, ko nga rauemi e tika ana kaore i te waahi ki te putunga. Kei roto i te tauira matua.
Mahinga dnSpy e rua nga mahi tino whaihua hei awhina i a maatau ki te hanga i tetahi "Frankenstein" mai i nga konae e rua.
- Ko te tuatahi ka taea e koe te "whakapiri" he whare pukapuka hihiri ki te tauira matua.
- Ko te tuarua ko te tuhi ano i te waehere mahi i te waahi urunga ki te karanga i te tikanga e hiahiatia ana o te whare pukapuka hihiri kua whakauruhia.
Ka tiakina e matou to maatau "Frankenstein", huinga whatiwhati i runga i te raina e whakahoki ana i te papaa me nga rauemi wetemuna, ka whakaputa i te putunga ma te whakataurite ki te atamira o mua.
Ko te putunga tuarua kua tuhia ki roto VB.NET he konae kawe e parea ana e tetahi kaitarai e mohio ana ki a maatau ConfuserEx.
Whai muri i te tango i te kaiwawao, ka whakamahia e matou nga ture YARA i tuhia i mua ake nei me te mohio ko te kino kino kua kore ko AgentTesla.
Tauira Nama 2
Ko te kōnae pūtake he tuhinga MS Excel. Ma te tonotono hanga-i roto ka mahia he waehere kino.
Ko te mutunga, ka whakarewahia te tuhinga PowerShell.
Ka wetewetehia e te tuhinga te waehere C # me te whakawhiti mana ki reira. Ko te waehere ake he bootloader, ka kitea ano mai i te purongo pouaka kirikiri.
Ko te utu utu he kawenga .NET-kōnae.
Te whakatuwhera i te konae ki roto dnSpy x86, ka kite koe kua whakapouritia. Te tango obfuscation ma te whakamahi i te taputapu de4dot ka hoki ki te tātari.
Ina tirotirohia te waehere, ka kitea pea e koe te mahi e whai ake nei:
He rawe nga rarangi whakawaehere Whakaurunga и Tohea. Ka hoatu e matou whatiwhati ki te rarangi tuatahi, rere me te tiaki i te uara parepare paita_0.
Ko te putunga he tono kei runga ano .NET ka tiakina ConfuserEx.
Ka tangohia e matou te whakamaarama ma te whakamahi de4dot ka tukuatu ki dnSpy. Mai i te whakaahuatanga o nga konae kei te maarama taatau e pa ana ki a maatau CyaX-Sharp Loader.
He maha nga mahi anti-tataritanga o tenei kaitautai.
Kei roto i tenei taumahinga te karo i nga punaha whakamarumaru Windows i roto, te whakakore i a Windows Defender, tae atu ki te pouaka kirikiri me nga momo miihini mariko. Ka taea te utaina te utunga mai i te whatunga ka penapena ranei ki te waahanga rauemi. Ka mahia te whakarewatanga ma te werohanga ki roto i tana ake tukanga, ki te taarua o tana ake tukanga, ki roto ranei i nga tukanga MSBuild.exe, vbc.exe и RegSvcs.exe i runga i te tawhā i whiriwhiria e te kaikohuru.
Heoi, ki a matou he iti ake te hiranga AntiDump-mahi e taapiri ana ConfuserEx. Ka kitea tana waehere puna i .
Hei whakakore i te whakamarumaru, ka whakamahia e matou te waahi dnSpy, ka taea e koe te whakatika IL-waehere.
Tiakina ka tāuta whatiwhati ki te raina o te karanga i te mahi wetewete utu. Kei roto i te kaihanga o te akomanga matua.
Ka whakarewahia, ka makahia e matou te utu. Ma te whakamahi i nga ture YARA i tuhia i mua, ka whakarite maatau ko AgentTesla tenei.
Tauira Nama 3
Ko te konae puna ko te whakahaere VB Maori PE32-kōnae.
Ko te tātaritanga Entropy e whakaatu ana i te noho o tetahi waahanga nui o nga raraunga whakamunatia.
I te wetewete i te puka tono i roto VB Decompiler ka kite pea koe i tetahi papamuri pika kee.
Kauwhata entropy tōpū-he rite te ahua ki te kauwhata entropy o te konae taketake, a ko te rahi ko te 85% o te rahi o te konae.
Ko te ahua whanui o te ahua e tohu ana i te whakamahinga o te steganography.
Kia whai whakaaro tatou ki te ahua o te rakau mahi, me te aroaro o te tohu werohanga.
He tohu tenei kei te haere tonu te wetewete. Mo nga kaitautai Visual Basic (aka VBKrypt ranei VBInjector) whakamahi tikanga shellcode ki te timata i te utu, me te mahi ano i te werohanga.
Tātaritanga i roto i VB Decompiler i whakaatu i te aroaro o tetahi huihuinga Utaina i te puka FegatassocAirballoon2.
Haere tatou ki IDA pro ki te wahitau kua tohua me te ako i te mahi. Ko te waehere kua tino whakapouritia. Ko te wahanga e pai ana ki a maatau kei te whakaatuhia i raro nei.
I konei ka karapahia te waahi wahitau o te tukanga mo te hainatanga. He tino ruarua tenei huarahi.
Tuatahi, ko te wahitau tiimata karapa 0x400100. He pateko tenei uara, kaore i te whakatikatika ina nekehia te turanga. I roto i nga tikanga kati kōtuhi ka tohu te mutunga PE-te pane o te kōnae kawe. Heoi, ehara te papaaarangi i te pateko, ka huri tona uara, me te rapu mo te wahitau tuuturu o te hainatanga e hiahiatia ana, ahakoa kaore e puta he rerenga rereke, ka roa te waa.
Tuarua, ko te tikanga o te hainatanga iWGK. Ki taku whakaaro ka kitea he iti rawa te 4 paita hei whakapumau i te ahurei. A, ki te whai whakaaro koe ki te waahi tuatahi, he tino nui te tupono o te he.
Ko te tikanga, ko te kongakonga e hiahiatia ana ka piri ki te pito o te mea i kitea i mua tōpū-whakaahua ma te taapiri 0xA1D0D.
Mahi Shellcode ka mahia i roto i nga waahanga e rua. Ko te tuatahi ka wehewehe i te tinana matua. I tenei keehi, ka whakatauhia te ki ma te kaha kaha.
Makahia te mea wetemuna Shellcode ka titiro ki nga rarangi.
Tuatahi, kua mohio tatou inaianei ki te mahi ki te hanga i te tukanga tamaiti: WaihangaProcessInternalW.
Tuarua, i mohio matou ki te tikanga o te whakatika i roto i te punaha.
Kia hoki ki te mahi taketake. Me whakatakoto whatiwhati i runga i WaihangaProcessInternalW ka haere tonu te mahi. I muri mai ka kite tatou i te hononga NtGetContextThread/NtSetContextThread, ka huri i te wahitau timata mahi ki te wahitau ShellCode.
Ka hono atu matou ki te tukanga i hangaia me te patuiro me te whakahohe i te kaupapa Whakatarewahia te utaina/tangotanga o te whare pukapuka, whakaara ano i te mahi ka tatari mo te uta .NET-whare pukapuka.
Te whakamahi ano TukatukaHacker putunga rohe kei roto kua wetewetehia .NET-tono.
Ka whakamutua e matou nga mahi katoa ka mukua te kape o te malware kua mau ki roto i te punaha.
Ka parea te konae kua makahia e te kaitarai .NET Reactor, ka ngawari te tango ma te whakamahi i tetahi taputapu de4dot.
Ma te whakamahi i nga ture YARA i tuhia i mua, ka whakarite maatau ko AgentTesla tenei.
Me whakarāpopototia
Na, i whakaatu taipitopito matou i te tukanga o te wetewete tauira ahua-aunoa ma te whakamahi i nga keehi-iti e toru hei tauira, me te tātari hoki i te kino kino i runga i te keehi katoo, ka kitea ko te tauira e rangahaua ana ko AgentTesla, e whakatuu ana i tana mahi me te he rarangi katoa o nga tohu whakaraerae.
Ko te tātaritanga o te mea kino i mahia e matou me nui te wa me te whakapau kaha, me mahi tenei mahi e tetahi kaimahi motuhake i roto i te kamupene, engari kaore nga kamupene katoa e rite ki te mahi i tetahi kaitirotiro.
Ko tetahi o nga ratonga e whakaratohia ana e te Roopu-IB Laboratory of Computer Forensics and Kino Code Analysis ko te whakautu ki nga aitua ipurangi. Na kia kore ai nga kaihoko e moumou taima ki te whakaae i nga tuhinga me te korerorero ki a raatau i waenga o te whakaeke ipurangi, ka whakarewahia e te Rōpū-IB Kaipupuri Whakautu Whakautu, he ratonga urupare mai i te ohaurunga i mua i te ohaurunga kei roto hoki he taahiraa tātaritanga kino. Ka kitea etahi atu korero mo tenei .
Mena kei te pirangi koe ki te ako ano me pehea te wetewete i nga tauira AgentTesla ka kite me pehea te mahi a tetahi tohunga CERT Group-IB, ka taea e koe te tango i te rekoata paetukutuku mo tenei kaupapa .
Source: will.com