Il-parteċipazzjoni falliet: ejja nesponu lil AgentTesla għal ilma nadif. Parti 1
Riċentement, manifattur Ewropew ta 'tagħmir ta' installazzjoni elettrika kkuntattja lill-Grupp-IB - l-impjegat tiegħu rċieva ittra suspettuża b'sekwestru malizzjuż fil-posta. Ilya Pomerantsev, speċjalista tal-analiżi tal-malware f'CERT Group-IB, wettaq analiżi dettaljata ta 'dan il-fajl, skopra l-spyware AgentTesla hemmhekk u qal x'għandek tistenna minn tali malware u kif huwa perikoluż.
B'din il-post qed niftħu sensiela ta' artikli dwar kif janalizzaw fajls bħal dawn potenzjalment perikolużi, u qed nistennew l-aktar kurjużi fil-5 ta' Diċembru għal webinar interattiv b'xejn dwar is-suġġett "Analiżi tal-Malware: Analiżi ta' Każijiet Reali". Id-dettalji kollha huma taħt il-qatgħa.
Mekkaniżmu ta' distribuzzjoni
Nafu li l-malware laħaq il-magna tal-vittma permezz ta' emails ta' phishing. Ir-riċevitur tal-ittra kien probabbilment BCCed.
Analiżi tal-headers turi li min jibgħat l-ittra kien spoofed. Fil-fatt, l-ittra telqet bil vps56[.]oneworldhosting[.]com.
Issa ejja naraw kif tidher l-ekosistema tal-malware li qed jiġi studjat. Id-dijagramma hawn taħt turi l-istruttura tagħha u d-direzzjonijiet ta 'interazzjoni tal-komponenti.
Issa ejja nħarsu lejn kull wieħed mill-komponenti tal-malware f'aktar dettall.
Loader
Fajl oriġinali QOUTE_JPEG56A.exe huwa miġbur AutoIt v3 iskrittura.
Biex offuscate l-iskrittura oriġinali, offuscator ma simili PELock AutoIT-Obfuscator karatteristiċi.
Id-deofuskazzjoni titwettaq fi tliet stadji:
Tneħħija ta' tfixkil Għal-Jekk
L-ewwel pass huwa li tirrestawra l-fluss tal-kontroll tal-iskript. L-Iċċattjar tal-Fluss tal-Kontroll huwa wieħed mill-aktar modi komuni biex jipproteġi l-kodiċi binarju tal-applikazzjoni mill-analiżi. Trasformazzjonijiet konfużi jżidu b'mod drammatiku l-kumplessità tal-estrazzjoni u r-rikonoxximent tal-algoritmi u l-istrutturi tad-dejta.
L-irkupru tar-ringiela
Jintużaw żewġ funzjonijiet biex jikkriptaw is-sekwijiet:
gdorizabegkvfca - Iwettaq dekodifikazzjoni bħal Base64
xgacyukcyzxz - XOR sempliċi byte-byte tal-ewwel string bit-tul tat-tieni
Tneħħija ta' tfixkil BinaryToString и Teżegwixxi
It-tagħbija prinċipali hija maħżuna f'forma maqsuma fid-direttorju Fonts sezzjonijiet tar-riżorsi tal-fajl.
L-ordni tal-inkullar hija kif ġej: TIEQHCXWFG, IMME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Il-funzjoni WinAPI tintuża biex tiddikriptaġġ id-data estratta CryptDecrypt, u ċ-ċavetta tas-sessjoni ġġenerata abbażi tal-valur tintuża bħala ċ-ċavetta fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Il-fajl eżekutibbli decrypted jintbagħat lill-input tal-funzjoni RunPE, li twettaq ProċessInjetta в RegAsm.exe bl-użu built-in ShellCode (magħruf ukoll bħala RunPE ShellCode). L-awtur jappartjeni lill-utent tal-forum Spanjol indetectables[.]net taħt il-laqam Wardow.
Ta 'min jinnota wkoll li f'wieħed mill-ħjut ta' dan il-forum, obfuscator għal Fuq il-bejt bi proprjetajiet simili identifikati waqt l-analiżi tal-kampjun.
Nnifsu ShellCode pjuttost sempliċi u jiġbed l-attenzjoni biss mislufa mill-grupp hacker AnunakCarbanak. Funzjoni tal-hashing tas-sejħa tal-API.
Aħna konxji wkoll ta 'każijiet ta' użu Frenchy Shellcode verżjonijiet differenti.
Minbarra l-funzjonalità deskritta, identifikajna wkoll funzjonijiet inattivi:
Nistennew li l-pożizzjoni tal-cursor tal-maws tinbidel
AntiVM u AntiSandbox
Awto-distruzzjoni
Ippumpjar tat-tagħbija min-netwerk
Aħna nafu li tali funzjonalità hija tipika għall-protettur CypherIT, li, apparentement, huwa l-bootloader inkwistjoni.
Modulu ewlieni tas-softwer
Sussegwentement, aħna ser niddeskrivu fil-qosor il-modulu ewlieni tal-malware, u nqisuh f'aktar dettall fit-tieni artiklu. F'dan il-każ, hija applikazzjoni fuq . NET.
Matul l-analiżi, skoprejna li ntuża obfuscator ConfuserEX.
IELibrary.dll
Il-librerija hija maħżuna bħala riżorsa modulu prinċipali u hija plugin magħruf għal AġentTesla, li tipprovdi funzjonalità għall-estrazzjoni ta' informazzjoni varji mill-browsers tal-Internet Explorer u Edge.
L-aġent Tesla huwa softwer ta 'spjunjar modulari mqassam bl-użu ta' mudell ta 'malware-as-a-service taħt l-iskuża ta' prodott keylogger leġittimu. L-aġent Tesla kapaċi jiġbed u jittrasmetti l-kredenzjali tal-utent mill-browsers, il-klijenti tal-email u l-klijenti tal-FTP lejn is-server lill-attakkanti, jirreġistra dejta tal-clipboard, u jaqbad l-iskrin tal-apparat. Fil-ħin tal-analiżi, il-websajt uffiċjali tal-iżviluppaturi ma kinitx disponibbli.
Il-punt tad-dħul huwa l-funzjoni GetSavedPasswords klassi InternetExplorer.
B'mod ġenerali, l-eżekuzzjoni tal-kodiċi hija lineari u ma fiha l-ebda protezzjoni kontra l-analiżi. Biss il-funzjoni mhux realizzata jistħoqqilha attenzjoni GetSavedCookies. Apparentement, il-funzjonalità tal-plugin suppost kellha tiġi estiża, iżda dan qatt ma sar.
It-twaħħil tal-bootloader mas-sistema
Ejja nistudjaw kif il-bootloader huwa mwaħħal mas-sistema. Il-kampjun taħt studju ma jankrax, iżda f'avvenimenti simili jseħħ skont l-iskema li ġejja:
Fil-folder C:UtentiPubbliku hija maħluqa iskrittura Visual Basic
Eżempju ta' skript:
Il-kontenut tal-fajl tal-loader huwa kkuttunat b'karattru null u ssejvjat fil-folder %Temp%
Għalhekk, abbażi tar-riżultati tal-ewwel parti tal-analiżi, stajna nistabbilixxu l-ismijiet tal-familji tal-komponenti kollha tal-malware taħt studju, nanalizzaw il-mudell tal-infezzjoni, u niksbu wkoll oġġetti għall-kitba tal-firem. Se nkomplu l-analiżi tagħna ta 'dan l-oġġett fl-artiklu li jmiss, fejn se nħarsu lejn il-modulu prinċipali f'aktar dettall AġentTesla. Titlifx!
Mill-mod, fil-5 ta 'Diċembru nistiednu lill-qarrejja kollha għal webinar interattiv b'xejn dwar is-suġġett "Analiżi ta' malware: analiżi ta 'każijiet reali", fejn l-awtur ta' dan l-artikolu, speċjalista CERT-GIB, se juri online l-ewwel stadju ta ' Analiżi tal-malware - tneħħija semi-awtomatika ta 'kampjuni bl-użu ta' l-eżempju ta 'tliet mini-każijiet reali mill-prattika, u tista' tieħu sehem fl-analiżi. Il-webinar huwa adattat għal speċjalisti li diġà għandhom esperjenza fl-analiżi ta 'fajls malizzjużi. Ir-reġistrazzjoni hija strettament minn email korporattiva: jirreġistra. Qed nistennik!