Frekwencja nie powiodła się: wystawmy AgentaTeslę na działanie czystej wody. Część 1
Niedawno z Group-IB skontaktował się europejski producent sprzętu elektroinstalacyjnego – jego pracownik otrzymał pocztą podejrzany list ze złośliwym załącznikiem. Ilja Pomerancew, specjalista ds. analizy złośliwego oprogramowania w CERT Group-IB, przeprowadził szczegółową analizę tego pliku, odkrył znajdujące się w nim oprogramowanie szpiegowskie AgentTesla i powiedział, czego się spodziewać po takim złośliwym oprogramowaniu i jakie jest ono niebezpieczne.
Tym postem otwieramy serię artykułów o tym, jak analizować takie potencjalnie niebezpieczne pliki, a na najciekawszych czekamy 5 grudnia na bezpłatne interaktywne webinarium na ten temat „Analiza złośliwego oprogramowania: analiza rzeczywistych przypadków”. Wszystkie szczegóły znajdują się pod wycięciem.
Mechanizm dystrybucji
Wiemy, że złośliwe oprogramowanie dotarło do komputera ofiary za pośrednictwem wiadomości e-mail phishingowych. Adresatem listu był prawdopodobnie BCCed.
Analiza nagłówków wskazuje, że nadawca listu został oszukany. W rzeczywistości list pozostawiony vps56[.]oneworldhosting[.]com.
Załącznik do wiadomości e-mail zawiera archiwum WinRar qoute_jpeg56a.r15 ze złośliwym plikiem wykonywalnym QOUTE_JPEG56A.exe wewnątrz.
Ekosystem HPE
Zobaczmy teraz, jak wygląda ekosystem badanego szkodliwego oprogramowania. Poniższy schemat przedstawia jego budowę oraz kierunki współdziałania elementów.
Przyjrzyjmy się teraz bardziej szczegółowo każdemu komponentowi szkodliwego oprogramowania.
Ładowarka
Oryginalny plik QOUTE_JPEG56A.exe jest skompilowanym AutoIt v3 scenariusz.
Aby zaciemnić oryginalny skrypt, użyj zaciemniacza z podobnym PELock AutoIT-Obfuscator cechy.
Odciemnianie odbywa się w trzech etapach:
Usuwanie zaciemnień Bo jeśli
Pierwszym krokiem jest przywrócenie przepływu kontroli skryptu. Spłaszczanie przepływu sterowania to jeden z najpopularniejszych sposobów ochrony kodu binarnego aplikacji przed analizą. Mylące transformacje radykalnie zwiększają złożoność wyodrębniania i rozpoznawania algorytmów i struktur danych.
Odzyskiwanie wiersza
Do szyfrowania ciągów używane są dwie funkcje:
gdorizabegkvfca – Wykonuje dekodowanie w stylu Base64
xgacyukcyzxz - prosty bajt-bajt XOR pierwszego ciągu z długością drugiego
Usuwanie zaciemnień BinaryToString и Wykonać
Główny ładunek jest przechowywany w podzielonej formie w katalogu Czcionki sekcje zasobów pliku.
Do odszyfrowania wyodrębnionych danych służy funkcja WinAPI KryptaOdszyfruj, a klucz sesji wygenerowany na podstawie wartości jest używany jako klucz fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Odszyfrowany plik wykonywalny jest wysyłany na wejście funkcji UruchomPE, który wykonuje Wstrzykiwanie procesu в RegAsm.exe za pomocą wbudowanego Kod powłoki (znany również jako Uruchom kod powłoki PE). Autorstwo należy do użytkownika hiszpańskiego forum niewykrywalne[.]net pod pseudonimem Wardow.
Warto również zauważyć, że w jednym z wątków tego forum zaciemniacz ds AutoIt o podobnych właściwościach zidentyfikowanych podczas analizy próbki.
Strona Kod powłoki dość prosty i przyciąga uwagę jedynie zapożyczony od grupy hakerów AnunakCarbanak. Funkcja mieszania wywołań API.
Znamy również przypadki użycia Francuski kod powłoki różne wersje.
Oprócz opisanej funkcjonalności zidentyfikowaliśmy także funkcje nieaktywne:
Blokowanie ręcznego zakończenia procesu w menedżerze zadań
Ponowne uruchamianie procesu potomnego po jego zakończeniu
Omiń UAC
Zapisywanie ładunku do pliku
Demonstracja okien modalnych
Oczekiwanie na zmianę pozycji kursora myszy
AntiVM i AntiSandbox
Samozniszczenie
Pompowanie ładunku z sieci
Wiemy, że taka funkcjonalność jest typowa dla ochraniacza CypherIT, który najwyraźniej jest omawianym programem ładującym.
Główny moduł oprogramowania
Następnie pokrótce opiszemy główny moduł szkodliwego oprogramowania i omówimy go bardziej szczegółowo w drugim artykule. W tym przypadku jest to aplikacja na .NET.
Podczas analizy odkryliśmy, że zastosowano zaciemniacz ConfuserEX.
IELibrary.dll
Biblioteka jest przechowywana jako główny zasób modułu i jest dobrze znaną wtyczką do Agent Tesla, który zapewnia funkcjonalność wydobywania różnych informacji z przeglądarek Internet Explorer i Edge.
Agent Tesla to modułowe oprogramowanie szpiegowskie dystrybuowane w modelu złośliwego oprogramowania jako usługi pod przykrywką legalnego produktu rejestrującego naciśnięcia klawiszy. Agent Tesla potrafi wyodrębniać i przesyłać dane uwierzytelniające użytkowników z przeglądarek, klientów poczty e-mail i klientów FTP na serwer do atakujących, rejestrując dane w schowku i przechwytując ekran urządzenia. W momencie analizy oficjalna strona deweloperów była niedostępna.
Punktem wejścia jest funkcja Uzyskaj zapisane hasła klasa Internet Explorer.
Ogólnie rzecz biorąc, wykonanie kodu jest liniowe i nie zawiera żadnej ochrony przed analizą. Na uwagę zasługuje jedynie niezrealizowana funkcja Pobierz zapisane pliki cookie. Podobno funkcjonalność wtyczki miała zostać rozszerzona, jednak nigdy tego nie zrobiono.
Dołączenie bootloadera do systemu
Przyjrzyjmy się, jak program ładujący jest podłączony do systemu. Badany okaz nie zakotwicza się, lecz w podobnych przypadkach zachodzi według następującego schematu:
W folderze C:UżytkownicyPubliczni tworzony jest skrypt Visual Basic
Przykład skryptu:
Zawartość pliku modułu ładującego jest uzupełniana znakiem null i zapisywana w folderze %Temp%<Nazwa folderu niestandardowego><Nazwa pliku>
W rejestrze dla pliku skryptu tworzony jest klucz autorun HKCUSoftwareMicrosoftWindowsCurrentVersionRun<nazwa skryptu>
Zatem na podstawie wyników pierwszej części analizy udało nam się ustalić nazwy rodzin wszystkich składników badanego szkodliwego oprogramowania, przeanalizować schemat infekcji, a także uzyskać obiekty do pisania podpisów. Analizę tego obiektu będziemy kontynuować w kolejnym artykule, gdzie bardziej szczegółowo przyjrzymy się głównemu modułowi Agent Tesla. Nie przegap!
Przy okazji, 5 grudnia zapraszamy wszystkich czytelników na bezpłatny interaktywny webinar na temat „Analiza złośliwego oprogramowania: analiza rzeczywistych przypadków”, gdzie autor artykułu, specjalista CERT-GIB, pokaże online pierwszy etap analiza złośliwego oprogramowania - półautomatyczne rozpakowywanie próbek na przykładzie trzech prawdziwych mini-przypadków z praktyki, i możesz wziąć udział w analizie. Webinarium jest przeznaczone dla specjalistów, którzy mają już doświadczenie w analizie złośliwych plików. Rejestracja odbywa się wyłącznie z firmowego adresu e-mail: Zarejestruj się. Czekając na ciebie!