Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В 1 части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу EjenTesla. В этой статье Илья приводит результаты поэтапного анализа основного модуля EjenTesla.

Ejen Tesla ialah perisian pengintipan modular yang diedarkan menggunakan model perisian hasad-sebagai-perkhidmatan di bawah samaran produk keylogger yang sah. Ejen Tesla mampu mengekstrak dan menghantar bukti kelayakan pengguna daripada penyemak imbas, klien e-mel dan klien FTP ke pelayan kepada penyerang, merakam data papan keratan dan menangkap skrin peranti. Pada masa analisis, tapak web rasmi pembangun tidak tersedia.

Fail konfigurasi

В таблице ниже перечислено, какие функциональные возможности применяются в используемом сэмпле:

Описание Nilai
Флаг использования KeyLogger benar
Флаг использования ScreenLogger palsu
Интервал отправки лога KeyLogger в минутах 20
Интервал отправки лога ScreenLogger в минутах 20
Флаг обработки клавиши Backspace. False – только логгирование. True – стирание предыдущей клавиши palsu
Тип CnC. Варианты: smtp, webpanel, ftp smtp
Флаг активации потока для завершения процессов из списка «%filter_list%» palsu
Флаг отключения UAC palsu
Флаг отключения менеджера задач palsu
Флаг отключения CMD palsu
Флаг отключения окна «Выполнить» palsu
Флаг отключения инструмента просмотра реестра palsu
Флаг отключения точек восстановления системы benar
Флаг отключения панели управления palsu
Флаг отключения MSCONFIG palsu
Флаг отключения контекстного меню в проводнике palsu
Флаг закрепления в системе palsu
Путь для копирования основного модуля при закреплении в системе %startupfolder% %insfolder%%insname%
Флаг задания атрибутов «Системный» и «Скрытный» для закрепленного в системе основного модуля palsu
Флаг выполнения рестарта при закреплении в системе palsu
Флаг перемещения основного модуля во временную папку palsu
Флаг выполнения обхода UAC palsu
Формат даты и времени для записи в лог yyyy-MM-dd HH:mm:ss
Флаг использования фильтра программ для KeyLogger benar
Тип фильтрации программ.
1 – имя программы ищется в заголовках окна
2 – имя программы ищется в имени процесса окна
1
Фильтр программ «facebook»,
«twitter»,
«gmail»,
«instagram»,
«movie»,
«skype»,
«porn»,
«hack»,
«whatsapp»,
«discord»

Закрепление основного модуля в системе

Если установлен соответствующий флаг, основной модуль копируется по пути, указанному в конфиге как путь для закрепления в системе.

В зависимости от значения из конфига файлу даются атрибуты «Скрытый» и «Системный».
Автозапуск обеспечивается двумя ветками реестра:

  • HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
  • HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%

Поскольку загрузчик производит инжект в процесс RegAsm, установка флага персиста для основного модуля приводит к довольно интересным последствиям. Вместо того, чтобы скопировать само себя, ВПО закрепило в системе оригинальный файл RegAsm.exe, в процесс которого осуществлялся инжект.

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2

Interaksi dengan C&C

Tanpa mengira kaedah yang digunakan, komunikasi rangkaian bermula dengan mendapatkan IP luaran mangsa menggunakan sumber tersebut checkip[.]amazonaws[.]com/.
Далее описаны методы сетевого взаимодействия, представленные в ВПО.

webpanel

Взаимодействие идет по HTTP-протоколу. ВПО выполняет POST-запрос со следующими заголовками:

  • User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
  • Connection: Keep-Alive
  • Jenis Kandungan: aplikasi / x-www-form-urlencoded

Адрес сервера задается значением %PostURL%. Зашифрованное сообщение передается в параметре «P». Механизм шифрования описан в разделе «Алгоритмы шифрования» (Метод 2).

Передаваемое сообщение имеет следующий вид:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

Parameter jenis указывает на тип сообщения:

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
hwid — записывается MD5-хеш от значений серийного номера материнской платы и ID процессора. Вероятнее всего, используется в качестве User ID.
masa — служит для передачи текущего времени и даты.
pcname — определяется как <Имя пользователя>/<Имя компьютера>.
logdata — данные лога.

При передаче паролей сообщение имеет вид:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

Далее следуют описания украденных данных в формате nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.

smtp

Взаимодействие идет по SMTP-протоколу. Передаваемое письмо имеет формат HTML. Параметр BADAN mempunyai bentuk:

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Заголовок письма имеет общий вид: <ИМЯ ПОЛЬЗОВАТЕЛЯ>/<ИМЯ КОМПЬЮТЕРА> <ТИП КОНТЕНТА>. Содержимое письма, как и его вложения, не шифруются.

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Взаимодействие идет по ftp-протоколу. На указанный сервер передается файл с именем <ТИП КОНТЕНТА>_<ИМЯ ПОЛЬЗОВАТЕЛЯ>-<ИМЯ КОМПЬЮТЕРА>_<ДАТА И ВРЕМЯ>.html. Содержимое файла не шифруется.

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2

Algoritma penyulitan

В данном кейсе используются следующие методы шифрования:

Kaedah 1

Этот метод используется для шифрования строк в основном модуле. Для шифрования применяется алгоритм AES.

На вход подается шестизначное десятичное число. Над ним производится следующее преобразование:

f(x) = (((x >> 2 — 31059) ^ 6380) — 1363) >> 3

Полученное значение является индексом для вшитого массива данных.

Каждый элемент массива — последовательность DWORD. При объединении DWORD получается массив байтов: первые 32 байта — ключ шифрования, далее следуют 16 байтов вектора инициализации, а оставшиеся байты — зашифрованные данные.

Kaedah 2

Используется алгоритм 3DES dalam mod ECB с дополнением в целых байтах (PKCS7).

Ключ задается параметром %urlkey%, однако при шифровании используется его MD5-хеш.

Fungsi hasad

Изучаемый сэмпл использует следующие программы для реализации своей вредоносной функции:

pencatat kunci

При наличии соответствующего флага ВПО при помощи WinAPI-функции SetWindowsHookEx назначает свой обработчик для событий нажатия клавиш на клавиатуре. Функция обработчика начинается с получения заголовка активного окна.

Если установлен флаг выполнения фильтрации приложений, производится фильтрация в зависимости от заданного типа:

  1. имя программы ищется в заголовках окна
  2. имя программы ищется в имени процесса окна

Далее в лог добавляется запись с информацией об активном окне в формате:

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Затем записывается информация о нажатой клавише:

Kunci Rekod
Backspace В зависимости от флага обработки клавиши Backspace: False – {BACK}
True – стирание предыдущей клавиши
CAPS LOCK {CAPSLOCK}
ESC {ESC}
HalamanUp {PageUp}
Down &darr;
DELETE {DEL}
" "
F5 {F5}
& &
F10 {F10}
TAB {TAB}
< <
> >
Angkasa
F8 {F8}
F12 {F12}
F9 {F9}
ALT + TAB {ALT+TAB}
AKHIR {END}
F4 {F4}
F2 {F2}
CTRL {CTRL}
F6 {F6}
Kanan
Up &uarr;
F1 {F1}
Left &larr;
Halaman bawah {PageDown}
Memasukkan {Insert}
Menang {Win}
Kunci nombor {NumLock}
F11 {F11}
F3 {F3}
LAMAN UTAMA {HOME}
ENTER {ENTER}
ALT + F4 {ALT+F4}
F7 {F7}
Другая клавиша Символ в верхнем или нижнем регистре в зависимости от положений клавиш CapsLock и Shift

С заданной периодичностью собранный лог отправляется на сервер. Если передача оказалась неудачной, лог сохраняется в файл %TEMP%log.tmp в формате:

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Когда сработает таймер, файл будет передан на сервер.

ScreenLogger

С заданной периодичностью ВПО создает снимок экрана в формате Jpeg dengan makna Kualiti равным 50 и сохраняет его в файл %APPDATA %<Произвольная последовательность из 10 символов>.jpg. После передачи файл удаляется.

ClipboardLogger

Если установлен соответствующий флаг, в перехваченном тексте производятся замены согласно приведенной таблице.

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
После этого текст вставляется в лог:

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2

PasswordStealer

ВПО может производить выгрузку паролей из следующих приложений:

pelayar Pelanggan mel FTP клиенты
Chrome Outlook FileZilla
Firefox Thunderbird WS_FTP
IE/Edge Foxmail WinSCP
Safari Opera Mail CoreFTP
Pelayar Opera IncrediMail FTP Navigator
Yandex Pocomail FlashFXP
Comodo Eudora SmartFTP
ChromePlus TheBat FTPCommander
Kromium Peti Surat
Obor ClawsMail
7Star
Amigo
Perisian BraveSoftware Jabber клиенты VPN клиенты
CentBrowser Psi/Psi+ Buka VPN
Chedot
CocCoc
Elements Browser Muat turun Pengurus
Penyemak Imbas Privasi Epik Internet Download Manager
Komet JDownloader
orbitum
Sputnik
uCozMedia
Vivaldi
SeaMonkey
Flock Browser
UC Browser
Helang Hitam
Rubah Siber
K-Meleon
kucing ais
Naga ais
PaleMoon
WaterFox
Pelayar Falkon

Bertindak balas kepada analisis dinamik

  • Menggunakan fungsi Tidur. Позволяет обойти по таймауту некоторые песочницы
  • Уничтожение потока Kawasan.Kenalpasti. Позволяет скрыть факт загрузки файла из интернета
  • Dalam parameter %filter_list% задается список процессов, которые ВПО будет завершать с интервалом в одну секунду
  • Memutuskan sambungan UAС
  • Отключение менеджера задач
  • Memutuskan sambungan CMD
  • Отключение окна "Lari"
  • Отключение панели управления
  • Отключение инструмента RegEdit
  • Отключение точек восстановления системы
  • Отключение контекстного меню в проводнике
  • Memutuskan sambungan MSCONFIG
  • pintasan UAC:

Неактивные возможности основного модуля

В ходе анализа основного модуля были выявлены функции, отвечающие за распространение по сети и отслеживание положения мыши.

Cacing

В отдельном потоке отслеживаются события подключения съемных носителей. При подключении в корень файловой системы копируется ВПО с именем scr.exe, после чего выполняется поиск файлов с расширением lnk. Команда каждого lnk меняется на cmd.exe /c start scr.exe&start <оригинальная команда>& exit.

Каждой директории в корне носителя дается атрибут "Tersembunyi" и создается файл с расширением lnk с именем скрытой директории и командой cmd.exe /c start scr.exe&explorer /root,»%CD%<ИМЯ ДИРЕКТОРИИ>» & exit.

MouseTracker

Метод выполнения перехвата аналогичен используемому для клавиатуры. Этот функционал пока находится в разработке.

Файловая активность

Jalan Описание
%Temp%temp.tmp Содержит счетчик попыток обхода UAC
%startupfolder%%insfolder%%insname% Путь для закрепления в системе ВПО
%Temp%tmpG{Текущее время в милесекундах}.tmp Путь для бэкапа основного модуля
%Temp%log.tmp Лог-файл
%AppData%{Произвольная последовательность из 10 симоволов}.jpeg Screenshot
C:UsersPublic{Произвольная последовательность из 10 симоволов}.vbs Путь к vbs файлу, который загрузчик может использовать для закрпления в системе
%Temp%{Произвольное имя папки}{Имя файла} Путь, используемый загрузчиком для закрепления в системе

Profil penyerang

Благодаря «зашитым» данным аутентификации нам удалось получить доступ к командному центру.

Jumlah keluar mengundi gagal: mari dedahkan AgentTesla kepada air bersih. Bahagian 2
Это позволило нам выявить конечную почту злоумышленников:

junaid[.]in***@gmail[.]com.

Доменное имя командного центра зарегистрировано на почту sg***@gmail[.]com.

Kesimpulan

В ходе детального анализа ВПО, использовавшегося в атаке, нам удалось установить его функциональные возможности и получить наиболее полный список индикаторов компрометации, актуальных для данного кейса. Понимание механизмов сетевого взаимодействия малвари позволило дать рекомендации по корректировке работы средств защиты информации, а также написать устойчивые IDS-правила.

Основная опасность EjenTesla как DataStealer в том, что для выполнения своих задач ему не требуется производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает ее на CnC. Такое агрессивное поведение в некотором роде схоже с поведением шифровальщиков, с той лишь разницей, что вторым не требуется даже наличие сетевого соединения. При столкновении с этим семейством после очистки зараженной системы от самого ВПО следует в обязательном порядке произвести смену всех паролей, которые могли хотя бы теоретически оказаться сохраненными в одном из перечисленных выше приложений.

Забегая вперед, скажем, что злоумышленники, рассылающие EjenTesla, очень часто меняют первоначальный загрузчик. Это позволяет в момент атаки оставаться незамеченными для статических сканеров и эвристических анализаторов. А склонность этого семейства сразу же начинать свою деятельность делает бесполезными системные мониторы. Наилучший способ борьбы с AgentTesla — предварительный анализ в песочнице.

В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые EjenTesla, а также изучим процесс их полуавтоматической распаковки. Не пропустите!

Hash

SHA1
A8C2765B3D655BA23886D663D22BDD8EF6E8E894
8010CC2AF398F9F951555F7D481CE13DF60BBECF
79B445DE923C92BF378B19D12A309C0E9C5851BF
15839B7AB0417FA35F2858722F0BD47BDF840D62
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C&C

URL
sina-c0m[.]icu
smtp[.]sina-c0m[.]icu

RegKey

pendaftaran
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Имя скрипта}
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname%
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname%

mutexes

Индикаторы отсутствуют.

Fail

Файловая активность
%Temp%temp.tmp
%startupfolder%%insfolder%%insname%
%Temp%tmpG{Текущее время в милесекундах}.tmp
%Temp%log.tmp
%AppData%{Произвольная последовательность из 10 симоволов}.jpeg
C:UsersPublic{Произвольная последовательность из 10 симоволов}.vbs
%Temp%{Произвольное имя папки}{Имя файла}

Samples Info

Nama Tidak diketahui
MD5 F7722DD8660B261EA13B710062B59C43
SHA1 15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256 41DC0D5459F25E2FDCF8797948A7B315D3CB0753
98D808D1772CACCC726AF6E9
Jenis PE (.NET)
Saiz 327680
Nama Asal AZZRIDKGGSLTYFUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
Cap Tarikh 01.07.2019
Pengkompil VB.NET

Nama IELlibrary.dll
MD5 BFB160A89F4A607A60464631ED3ED9FD
SHA1 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256 D55800A825792F55999ABDAD199DFA54F3184417
215A298910F2C12CD9CC31EE
Jenis PE (.NET DLL)
Saiz 16896
Nama Asal IELlibrary.dll
Cap Tarikh 11.10.2016
Pengkompil Microsoft Linker(48.0*)

Sumber: www.habr.com

Tambah komen