Il-parteċipazzjoni falliet: ejja nesponu lil AgentTesla għal ilma nadif. Parti 1

Riċentement, manifattur Ewropew ta 'tagħmir ta' installazzjoni elettrika kkuntattja lill-Grupp-IB - l-impjegat tiegħu rċieva ittra suspettuża b'sekwestru malizzjuż fil-posta. Ilya Pomerantsev, speċjalista tal-analiżi tal-malware f'CERT Group-IB, wettaq analiżi dettaljata ta 'dan il-fajl, skopra l-spyware AgentTesla hemmhekk u qal x'għandek tistenna minn tali malware u kif huwa perikoluż.

B'din il-post qed niftħu sensiela ta' artikli dwar kif janalizzaw fajls bħal dawn potenzjalment perikolużi, u qed nistennew l-aktar kurjużi fil-5 ta' Diċembru għal webinar interattiv b'xejn dwar is-suġġett "Analiżi tal-Malware: Analiżi ta' Każijiet Reali". Id-dettalji kollha huma taħt il-qatgħa.

Mekkaniżmu ta' distribuzzjoni

Nafu li l-malware laħaq il-magna tal-vittma permezz ta' emails ta' phishing. Ir-riċevitur tal-ittra kien probabbilment BCCed.

Analiżi tal-headers turi li min jibgħat l-ittra kien spoofed. Fil-fatt, l-ittra telqet bil vps56[.]oneworldhosting[.]com.

It-twaħħil tal-email fih arkivju WinRar qoute_jpeg56a.r15 b'fajl eżekutibbli malizzjuż QOUTE_JPEG56A.exe ġewwa.

Ekosistema tal-malware

Issa ejja naraw kif tidher l-ekosistema tal-malware li qed jiġi studjat. Id-dijagramma hawn taħt turi l-istruttura tagħha u d-direzzjonijiet ta 'interazzjoni tal-komponenti.

Issa ejja nħarsu lejn kull wieħed mill-komponenti tal-malware f'aktar dettall.

Loader

Fajl oriġinali QOUTE_JPEG56A.exe huwa miġbur AutoIt v3 iskrittura.

Biex offuscate l-iskrittura oriġinali, offuscator ma simili PELock AutoIT-Obfuscator karatteristiċi.
Id-deofuskazzjoni titwettaq fi tliet stadji:

1. Tneħħija ta' tfixkil Għal-Jekk

   L-ewwel pass huwa li tirrestawra l-fluss tal-kontroll tal-iskript. L-Iċċattjar tal-Fluss tal-Kontroll huwa wieħed mill-aktar modi komuni biex jipproteġi l-kodiċi binarju tal-applikazzjoni mill-analiżi. Trasformazzjonijiet konfużi jżidu b'mod drammatiku l-kumplessità tal-estrazzjoni u r-rikonoxximent tal-algoritmi u l-istrutturi tad-dejta.

   

2. L-irkupru tar-ringiela

   Jintużaw żewġ funzjonijiet biex jikkriptaw is-sekwijiet:

   • gdorizabegkvfca - Iwettaq dekodifikazzjoni bħal Base64

     

   • xgacyukcyzxz - XOR sempliċi byte-byte tal-ewwel string bit-tul tat-tieni

     

   

3. Tneħħija ta' tfixkil BinaryToString и Teżegwixxi

   

It-tagħbija prinċipali hija maħżuna f'forma maqsuma fid-direttorju Fonts sezzjonijiet tar-riżorsi tal-fajl.

L-ordni tal-inkullar hija kif ġej: TIEQHCXWFG, IMME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Il-funzjoni WinAPI tintuża biex tiddikriptaġġ id-data estratta CryptDecrypt, u ċ-ċavetta tas-sessjoni ġġenerata abbażi tal-valur tintuża bħala ċ-ċavetta fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Il-fajl eżekutibbli decrypted jintbagħat lill-input tal-funzjoni RunPE, li twettaq ProċessInjetta в RegAsm.exe bl-użu built-in ShellCode (magħruf ukoll bħala RunPE ShellCode). L-awtur jappartjeni lill-utent tal-forum Spanjol indetectables[.]net taħt il-laqam Wardow.

Ta 'min jinnota wkoll li f'wieħed mill-ħjut ta' dan il-forum, obfuscator għal Fuq il-bejt bi proprjetajiet simili identifikati waqt l-analiżi tal-kampjun.

Nnifsu ShellCode pjuttost sempliċi u jiġbed l-attenzjoni biss mislufa mill-grupp hacker AnunakCarbanak. Funzjoni tal-hashing tas-sejħa tal-API.

Aħna konxji wkoll ta 'każijiet ta' użu Frenchy Shellcode verżjonijiet differenti.
Minbarra l-funzjonalità deskritta, identifikajna wkoll funzjonijiet inattivi:

• Imblukkar tat-tmiem tal-proċess manwali fil-maniġer tal-kompiti

  

• Jibda mill-ġdid proċess tifel meta jintemm

  

• Bypass UAC

  

• Iffrankar tat-tagħbija f'fajl

  

• Dimostrazzjoni ta' twieqi modali

  

• Nistennew li l-pożizzjoni tal-cursor tal-maws tinbidel

  

• AntiVM u AntiSandbox

  

• Awto-distruzzjoni

  

• Ippumpjar tat-tagħbija min-netwerk

  

Aħna nafu li tali funzjonalità hija tipika għall-protettur CypherIT, li, apparentement, huwa l-bootloader inkwistjoni.

Modulu ewlieni tas-softwer

Sussegwentement, aħna ser niddeskrivu fil-qosor il-modulu ewlieni tal-malware, u nqisuh f'aktar dettall fit-tieni artiklu. F'dan il-każ, hija applikazzjoni fuq . NET.

Matul l-analiżi, skoprejna li ntuża obfuscator ConfuserEX.

IELibrary.dll

Il-librerija hija maħżuna bħala riżorsa modulu prinċipali u hija plugin magħruf għal AġentTesla, li tipprovdi funzjonalità għall-estrazzjoni ta' informazzjoni varji mill-browsers tal-Internet Explorer u Edge.

L-aġent Tesla huwa softwer ta 'spjunjar modulari mqassam bl-użu ta' mudell ta 'malware-as-a-service taħt l-iskuża ta' prodott keylogger leġittimu. L-aġent Tesla kapaċi jiġbed u jittrasmetti l-kredenzjali tal-utent mill-browsers, il-klijenti tal-email u l-klijenti tal-FTP lejn is-server lill-attakkanti, jirreġistra dejta tal-clipboard, u jaqbad l-iskrin tal-apparat. Fil-ħin tal-analiżi, il-websajt uffiċjali tal-iżviluppaturi ma kinitx disponibbli.

Il-punt tad-dħul huwa l-funzjoni GetSavedPasswords klassi InternetExplorer.

B'mod ġenerali, l-eżekuzzjoni tal-kodiċi hija lineari u ma fiha l-ebda protezzjoni kontra l-analiżi. Biss il-funzjoni mhux realizzata jistħoqqilha attenzjoni GetSavedCookies. Apparentement, il-funzjonalità tal-plugin suppost kellha tiġi estiża, iżda dan qatt ma sar.

It-twaħħil tal-bootloader mas-sistema

Ejja nistudjaw kif il-bootloader huwa mwaħħal mas-sistema. Il-kampjun taħt studju ma jankrax, iżda f'avvenimenti simili jseħħ skont l-iskema li ġejja:

1. Fil-folder C:UtentiPubbliku hija maħluqa iskrittura Visual Basic

   Eżempju ta' skript:

   

2. Il-kontenut tal-fajl tal-loader huwa kkuttunat b'karattru null u ssejvjat fil-folder %Temp%
3. Ċavetta awtorun tinħoloq fir-reġistru għall-fajl tal-iskript HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Għalhekk, abbażi tar-riżultati tal-ewwel parti tal-analiżi, stajna nistabbilixxu l-ismijiet tal-familji tal-komponenti kollha tal-malware taħt studju, nanalizzaw il-mudell tal-infezzjoni, u niksbu wkoll oġġetti għall-kitba tal-firem. Se nkomplu l-analiżi tagħna ta 'dan l-oġġett fl-artiklu li jmiss, fejn se nħarsu lejn il-modulu prinċipali f'aktar dettall AġentTesla. Titlifx!

Mill-mod, fil-5 ta 'Diċembru nistiednu lill-qarrejja kollha għal webinar interattiv b'xejn dwar is-suġġett "Analiżi ta' malware: analiżi ta 'każijiet reali", fejn l-awtur ta' dan l-artikolu, speċjalista CERT-GIB, se juri online l-ewwel stadju ta ' Analiżi tal-malware - tneħħija semi-awtomatika ta 'kampjuni bl-użu ta' l-eżempju ta 'tliet mini-każijiet reali mill-prattika, u tista' tieħu sehem fl-analiżi. Il-webinar huwa adattat għal speċjalisti li diġà għandhom esperjenza fl-analiżi ta 'fajls malizzjużi. Ir-reġistrazzjoni hija strettament minn email korporattiva: jirreġistra. Qed nistennik!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hash

isem	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
tip	Arkivju WinRAR
daqs	823014

isem	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
tip	PE (Iskript AutoIt Miġbur)
daqs	1327616
Isem Oriġinali	Mhux magħruf
Timbru tad-Data	15.07.2019
Links	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
tip	ShellCode
daqs	1474

Sors: www.habr.com