Мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу ਏਜੰਟ ਟੇਸਲਾ. В этой статье Илья приводит результаты поэтапного анализа основного модуля ਏਜੰਟ ਟੇਸਲਾ.
ਏਜੰਟ ਟੇਸਲਾ ਇੱਕ ਮਾਡਿਊਲਰ ਜਾਸੂਸੀ ਸੌਫਟਵੇਅਰ ਹੈ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਕੀਲੌਗਰ ਉਤਪਾਦ ਦੀ ਆੜ ਵਿੱਚ ਇੱਕ ਮਾਲਵੇਅਰ-ਏ-ਏ-ਸਰਵਿਸ ਮਾਡਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਏਜੰਟ ਟੇਸਲਾ ਬ੍ਰਾਉਜ਼ਰਾਂ, ਈਮੇਲ ਕਲਾਇੰਟਸ ਅਤੇ FTP ਕਲਾਇੰਟਸ ਤੋਂ ਸਰਵਰ ਤੋਂ ਹਮਲਾਵਰਾਂ ਤੱਕ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ, ਕਲਿੱਪਬੋਰਡ ਡੇਟਾ ਰਿਕਾਰਡ ਕਰਨ ਅਤੇ ਡਿਵਾਈਸ ਸਕ੍ਰੀਨ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਸਮੇਂ, ਡਿਵੈਲਪਰਾਂ ਦੀ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ ਉਪਲਬਧ ਨਹੀਂ ਸੀ।
ਸੰਰਚਨਾ ਫਾਇਲ
В таблице ниже перечислено, какие функциональные возможности применяются в используемом сэмпле:
| ਵੇਰਵਾ | ਮੁੱਲ |
| Флаг использования KeyLogger | ਇਹ ਸੱਚ ਹੈ, |
| Флаг использования ScreenLogger | ਝੂਠੇ |
| Интервал отправки лога KeyLogger в минутах | 20 |
| Интервал отправки лога ScreenLogger в минутах | 20 |
| Флаг обработки клавиши Backspace. False – только логгирование. True – стирание предыдущей клавиши | ਝੂਠੇ |
| Тип CnC. Варианты: smtp, webpanel, ftp | SMTP |
| Флаг активации потока для завершения процессов из списка «%filter_list%» | ਝੂਠੇ |
| Флаг отключения UAC | ਝੂਠੇ |
| Флаг отключения менеджера задач | ਝੂਠੇ |
| Флаг отключения CMD | ਝੂਠੇ |
| Флаг отключения окна «Выполнить» | ਝੂਠੇ |
| Флаг отключения инструмента просмотра реестра | ਝੂਠੇ |
| Флаг отключения точек восстановления системы | ਇਹ ਸੱਚ ਹੈ, |
| Флаг отключения панели управления | ਝੂਠੇ |
| Флаг отключения MSCONFIG | ਝੂਠੇ |
| Флаг отключения контекстного меню в проводнике | ਝੂਠੇ |
| Флаг закрепления в системе | ਝੂਠੇ |
| Путь для копирования основного модуля при закреплении в системе | %startupfolder% %insfolder%%insname% |
| Флаг задания атрибутов «Системный» и «Скрытный» для закрепленного в системе основного модуля | ਝੂਠੇ |
| Флаг выполнения рестарта при закреплении в системе | ਝੂਠੇ |
| Флаг перемещения основного модуля во временную папку | ਝੂਠੇ |
| Флаг выполнения обхода UAC | ਝੂਠੇ |
| Формат даты и времени для записи в лог | yyyy-MM-dd HH:mm:ss |
| Флаг использования фильтра программ для KeyLogger | ਇਹ ਸੱਚ ਹੈ, |
| Тип фильтрации программ. 1 – имя программы ищется в заголовках окна 2 – имя программы ищется в имени процесса окна |
1 |
| Фильтр программ | «facebook», «twitter», «gmail», «instagram», «movie», «skype», «porn», «hack», «whatsapp», «discord» |
Закрепление основного модуля в системе
Если установлен соответствующий флаг, основной модуль копируется по пути, указанному в конфиге как путь для закрепления в системе.
В зависимости от значения из конфига файлу даются атрибуты «Скрытый» и «Системный».
Автозапуск обеспечивается двумя ветками реестра:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Поскольку загрузчик производит инжект в процесс RegAsm, установка флага персиста для основного модуля приводит к довольно интересным последствиям. Вместо того, чтобы скопировать само себя, ВПО закрепило в системе оригинальный файл RegAsm.exe, в процесс которого осуществлялся инжект.
C&C ਨਾਲ ਪਰਸਪਰ ਪ੍ਰਭਾਵ
ਵਰਤੇ ਗਏ ਢੰਗ ਦੇ ਬਾਵਜੂਦ, ਨੈੱਟਵਰਕ ਸੰਚਾਰ ਸਰੋਤ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪੀੜਤ ਦੇ ਬਾਹਰੀ IP ਪ੍ਰਾਪਤ ਕਰਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ [.]amazonaws[.]com/.
Далее описаны методы сетевого взаимодействия, представленные в ВПО.
webpanel
Взаимодействие идет по HTTP-протоколу. ВПО выполняет POST-запрос со следующими заголовками:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Connection: Keep-Alive
- ਸਮੱਗਰੀ-ਕਿਸਮ: ਐਪਲੀਕੇਸ਼ਨ/x-www-form-urlencoded
Адрес сервера задается значением %PostURL%. Зашифрованное сообщение передается в параметре «ਪੀ. Механизм шифрования описан в разделе «Алгоритмы шифрования» (Метод 2).
Передаваемое сообщение имеет следующий вид:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
ਪੈਰਾਮੀਟਰ ਦੀ ਕਿਸਮ указывает на тип сообщения:
hwid — записывается MD5-хеш от значений серийного номера материнской платы и ID процессора. Вероятнее всего, используется в качестве User ID.
ਵਾਰ — служит для передачи текущего времени и даты.
pcname — определяется как <Имя пользователя>/<Имя компьютера>.
logdata — данные лога.
При передаче паролей сообщение имеет вид:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Далее следуют описания украденных данных в формате nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
Взаимодействие идет по SMTP-протоколу. Передаваемое письмо имеет формат HTML. Параметр BODY имеет вид:
Заголовок письма имеет общий вид: <ИМЯ ПОЛЬЗОВАТЕЛЯ>/<ИМЯ КОМПЬЮТЕРА> <ТИП КОНТЕНТА>. Содержимое письма, как и его вложения, не шифруются.
Взаимодействие идет по ftp-протоколу. На указанный сервер передается файл с именем <ТИП КОНТЕНТА>_<ИМЯ ПОЛЬЗОВАТЕЛЯ>-<ИМЯ КОМПЬЮТЕРА>_<ДАТА И ВРЕМЯ>.html. Содержимое файла не шифруется.
ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ
В данном кейсе используются следующие методы шифрования:
1 ਵਿਧੀ
Этот метод используется для шифрования строк в основном модуле. Для шифрования применяется алгоритм ਏ ਈ ਐਸ.
На вход подается шестизначное десятичное число. Над ним производится следующее преобразование:
f(x) = (((x >> 2 — 31059) ^ 6380) — 1363) >> 3
Полученное значение является индексом для вшитого массива данных.
Каждый элемент массива — последовательность ਡਵੋਰਡ. При объединении ਡਵੋਰਡ получается массив байтов: первые 32 байта — ключ шифрования, далее следуют 16 байтов вектора инициализации, а оставшиеся байты — зашифрованные данные.
2 ਵਿਧੀ
Используется алгоритм 3DES ਮੋਡ ਵਿੱਚ ਈਸੀਬੀ с дополнением в целых байтах (PKCS7).
Ключ задается параметром %urlkey%, однако при шифровании используется его MD5-хеш.
ਖ਼ਰਾਬ ਕਾਰਜਸ਼ੀਲਤਾ
Изучаемый сэмпл использует следующие программы для реализации своей вредоносной функции:
ਕੀਲੌਗਰ
При наличии соответствующего флага ВПО при помощи WinAPI-функции SetWindowsHookEx назначает свой обработчик для событий нажатия клавиш на клавиатуре. Функция обработчика начинается с получения заголовка активного окна.
Если установлен флаг выполнения фильтрации приложений, производится фильтрация в зависимости от заданного типа:
- имя программы ищется в заголовках окна
- имя программы ищется в имени процесса окна
Далее в лог добавляется запись с информацией об активном окне в формате:
Затем записывается информация о нажатой клавише:
| ਕੁੰਜੀ | ਰਿਕਾਰਡਿੰਗ |
| ਬੈਕਸਪੇਸ | В зависимости от флага обработки клавиши Backspace: False – {BACK} True – стирание предыдущей клавиши |
| ਕੈਪਸ ਲਾਕ | {CAPSLOCK} |
| Esc | {ESC} |
| ਪੇਜਅਪ | {PageUp} |
| ਡਾਊਨ | ↓ |
| ਮਿਟਾ | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| ਸਪੇਸ | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + ਟੈਬ | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| ਸੱਜੇ | → |
| Up | ↑ |
| F1 | {F1} |
| ਖੱਬੇ | ← |
| PageDown | {PageDown} |
| ਸੰਮਿਲਿਤ ਕਰੋ | {Insert} |
| ਜਿੱਤ | {Win} |
| ਨਮਲਾਕ | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| ਘਰ | {HOME} |
| ਏੰਟਰ ਕਰੋ | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Другая клавиша | Символ в верхнем или нижнем регистре в зависимости от положений клавиш CapsLock и Shift |
С заданной периодичностью собранный лог отправляется на сервер. Если передача оказалась неудачной, лог сохраняется в файл %TEMP%log.tmp в формате:
Когда сработает таймер, файл будет передан на сервер.
ਸਕਰੀਨਲੌਗਰ
С заданной периодичностью ВПО создает снимок экрана в формате ਜੇਪੀਜੀ ਅਰਥ ਦੇ ਨਾਲ ਕੁਆਲਟੀ равным 50 и сохраняет его в файл %APPDATA %<Произвольная последовательность из 10 символов>.jpg. После передачи файл удаляется.
ਕਲਿੱਪਬੋਰਡਲੌਗਰ
Если установлен соответствующий флаг, в перехваченном тексте производятся замены согласно приведенной таблице.
После этого текст вставляется в лог:
ਪਾਸਵਰਡ ਚੋਰੀ ਕਰਨ ਵਾਲਾ
ВПО может производить выгрузку паролей из следующих приложений:
| ਬ੍ਰਾਊਜ਼ਰ | ਮੇਲ ਗਾਹਕ | FTP клиенты |
| ਕਰੋਮ | ਆਉਟਲੁੱਕ | FileZilla |
| ਫਾਇਰਫਾਕਸ | ਥੰਡਰਬਰਡ | WS_FTP |
| IE/Edge | ਫੌਕਸਮੇਲ | WinSCP |
| Safari | ਓਪੇਰਾ ਮੇਲ | CoreFTP |
| ਓਪੇਰਾ ਬਰਾserਜ਼ਰ | IncrediMail | FTP Navigator |
| ਯੈਨਡੇਕਸ | Pocomail | ਫਲੈਸ਼ਐਫਐਕਸਪੀ |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| Chromium | ਪੋਸਟਬਾਕਸ | |
| ਟੌਰਚ | ClawsMail | |
| 7Star | ||
| ਐਮੀਗੋ | ||
| BraveSoftware | Jabber клиенты | VPN клиенты |
| CentBrowser | Psi/Psi+ | ਓਪਨ ਵੀਪੀਐਨ |
| ਚੇਡੋਟ | ||
| ਕੋਕਕੋਕ | ||
| Elements Browser | ਡਾਊਨਲੋਡ ਪ੍ਰਬੰਧਕ | |
| ਐਪਿਕ ਪ੍ਰਾਈਵੇਸੀ ਬਰਾserਜ਼ਰ | ਇੰਟਰਨੈੱਟ ਡਾਉਨਲੋਡ ਮੈਨੇਜਰ | |
| ਕੋਮੇਟਾ | ਜੇਡਾਉਨਲੋਡਰ | |
| Bitਰਬਿਟਮ | ||
| ਸਪੂਟਨੀਕ | ||
| uCozMedia | ||
| ਵਿਵਾਲੀ | ||
| ਸੀਮਾਮੁਖੀ | ||
| Flock Browser | ||
| ਯੂ ਸੀ ਬਰਾਊਜਰ | ||
| ਬਲੈਕਹਾਕ | ||
| ਸਾਈਬਰਫੌਕਸ | ||
| ਕੇ-ਮੇਲਿਓਨ | ||
| ਆਈਸਕੈਟ | ||
| ਆਈਸਡ੍ਰੈਗਨ | ||
| ਪੈਲਮੂਨ | ||
| ਵਾਟਰਫੌਕਸ | ||
| ਫਾਲਕਨ ਬਰਾਊਜ਼ਰ |
ਗਤੀਸ਼ੀਲ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਪ੍ਰਤੀਰੋਧ
- Использование функции ਸਲੀਪ. Позволяет обойти по таймауту некоторые песочницы
- Уничтожение потока ਖੇਤਰ.ਪਛਾਣ. Позволяет скрыть факт загрузки файла из интернета
- ਪੈਰਾਮੀਟਰ ਵਿੱਚ %filter_list% задается список процессов, которые ВПО будет завершать с интервалом в одну секунду
- ਡਿਸਕਨੈਕਟ ਕਰੋ UAС
- Отключение менеджера задач
- ਡਿਸਕਨੈਕਟ ਕਰੋ ਸੀ.ਐਮ.ਡੀ.
- Отключение окна "ਰਨ"
- Отключение панели управления
- Отключение инструмента RegEdit
- Отключение точек восстановления системы
- Отключение контекстного меню в проводнике
- ਡਿਸਕਨੈਕਟ ਕਰੋ MSCONFIG
- ਬਾਈਪਾਸ UAC:
Неактивные возможности основного модуля
В ходе анализа основного модуля были выявлены функции, отвечающие за распространение по сети и отслеживание положения мыши.
ਕੀੜਾ
В отдельном потоке отслеживаются события подключения съемных носителей. При подключении в корень файловой системы копируется ВПО с именем scr.exe, после чего выполняется поиск файлов с расширением lnk. Команда каждого lnk меняется на cmd.exe /c start scr.exe&start <оригинальная команда>& exit.
Каждой директории в корне носителя дается атрибут "ਲੁਕਿਆ" и создается файл с расширением lnk с именем скрытой директории и командой cmd.exe /c start scr.exe&explorer /root,»%CD%<ИМЯ ДИРЕКТОРИИ>» & exit.
MouseTracker
Метод выполнения перехвата аналогичен используемому для клавиатуры. Этот функционал пока находится в разработке.
Файловая активность
| ਮਾਰਗ | ਵੇਰਵਾ |
| %Temp%temp.tmp | Содержит счетчик попыток обхода UAC |
| %startupfolder%%insfolder%%insname% | Путь для закрепления в системе ВПО |
| %Temp%tmpG{Текущее время в милесекундах}.tmp | Путь для бэкапа основного модуля |
| %Temp%log.tmp | Лог-файл |
| %AppData%{Произвольная последовательность из 10 симоволов}.jpeg | ਸਕਰੀਨਸ਼ਾਟ |
| C:UsersPublic{Произвольная последовательность из 10 симоволов}.vbs | Путь к vbs файлу, который загрузчик может использовать для закрпления в системе |
| %Temp%{Произвольное имя папки}{Имя файла} | Путь, используемый загрузчиком для закрепления в системе |
ਹਮਲਾਵਰ ਪ੍ਰੋਫਾਈਲ
Благодаря «зашитым» данным аутентификации нам удалось получить доступ к командному центру.
Это позволило нам выявить конечную почту злоумышленников:
junaid[.]in***@gmail[.]com.
Доменное имя командного центра зарегистрировано на почту sg***@gmail[.]com.
ਸਿੱਟਾ
В ходе детального анализа ВПО, использовавшегося в атаке, нам удалось установить его функциональные возможности и получить наиболее полный список индикаторов компрометации, актуальных для данного кейса. Понимание механизмов сетевого взаимодействия малвари позволило дать рекомендации по корректировке работы средств защиты информации, а также написать устойчивые IDS-правила.
Основная опасность ਏਜੰਟ ਟੇਸਲਾ как DataStealer в том, что для выполнения своих задач ему не требуется производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает ее на CnC. Такое агрессивное поведение в некотором роде схоже с поведением шифровальщиков, с той лишь разницей, что вторым не требуется даже наличие сетевого соединения. При столкновении с этим семейством после очистки зараженной системы от самого ВПО следует в обязательном порядке произвести смену всех паролей, которые могли хотя бы теоретически оказаться сохраненными в одном из перечисленных выше приложений.
Забегая вперед, скажем, что злоумышленники, рассылающие ਏਜੰਟ ਟੇਸਲਾ, очень часто меняют первоначальный загрузчик. Это позволяет в момент атаки оставаться незамеченными для статических сканеров и эвристических анализаторов. А склонность этого семейства сразу же начинать свою деятельность делает бесполезными системные мониторы. Наилучший способ борьбы с AgentTesla — предварительный анализ в песочнице.
В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые ਏਜੰਟ ਟੇਸਲਾ, а также изучим процесс их полуавтоматической распаковки. Не пропустите!
ਹੈਸ਼
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ਸੀ ਐਂਡ ਸੀ
| URL ਨੂੰ |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| ਰਜਿਸਟਰੀ |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Имя скрипта} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
ਮੂਟੈਕਸ
Индикаторы отсутствуют.
ਫਾਇਲ
| Файловая активность |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Текущее время в милесекундах}.tmp |
| %Temp%log.tmp |
| %AppData%{Произвольная последовательность из 10 симоволов}.jpeg |
| C:UsersPublic{Произвольная последовательность из 10 симоволов}.vbs |
| %Temp%{Произвольное имя папки}{Имя файла} |
Samples Info
| ਨਾਮ | ਅਣਜਾਣ |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ਦੀ ਕਿਸਮ | PE (.NET) |
| ਆਕਾਰ | 327680 |
| ਅਸਲੀ ਨਾਮ | AZZRIDKGGSLTYFUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| ਮਿਤੀ ਸਟੈਂਪ | 01.07.2019 |
| ਕੰਪਾਈਲਰ | VB.NET |
| ਨਾਮ | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ਦੀ ਕਿਸਮ | PE (.NET DLL) |
| ਆਕਾਰ | 16896 |
| ਅਸਲੀ ਨਾਮ | IELibrary.dll |
| ਮਿਤੀ ਸਟੈਂਪ | 11.10.2016 |
| ਕੰਪਾਈਲਰ | Microsoft Linker(48.0*) |
ਸਰੋਤ: www.habr.com