موږ د مالویر تحلیل ته وقف شوي زموږ د مقالو لړۍ ته دوام ورکوو. IN په یوه برخه کې، موږ وویل چې څنګه الیا پومیرانتسیف، د CERT ګروپ-IB کې د مالویر تحلیل متخصص، د یوې اروپایی شرکت څخه د بریښنالیک له لارې ترلاسه شوي فایل مفصل تحلیل ترسره کړ او هلته یې سپایویر کشف کړ. AgentTesla. په دې مقاله کې، الیا د اصلي ماډل د ګام په ګام تحلیل پایلې وړاندې کوي AgentTesla.
اجنټ ټیسلا یو ماډلر جاسوسي سافټویر دی چې د یو مشروع کیلاګر محصول تر پوښښ لاندې د مالویر په توګه د خدمت ماډل په کارولو سره توزیع شوی. اجنټ ټیسلا د براؤزرونو ، بریښنالیک پیرودونکو او FTP پیرودونکو څخه سرور ته برید کونکو ته د کارونکي اسناد استخراج او لیږدولو ، د کلپ بورډ ډیټا ثبتولو ، او د وسیلې سکرین نیول کولو وړتیا لري. د تحلیل په وخت کې، د پراختیا کونکو رسمي ویب پاڼه شتون نلري.
د ترتیب فایل
لاندې جدول لیست کوي چې کوم فعالیت په هغه نمونه کې پلي کیږي چې تاسو یې کاروئ:
| شرح | ارزښت |
| د KeyLogger کارولو بیرغ | رښتيا |
| د ScreenLogger کارولو بیرغ | غلط |
| KeyLogger لاګ په دقیقو کې د لیږلو وقفه | 20 |
| په دقیقو کې د ScreenLogger log لیږلو وقفه | 20 |
| د بیک سپیس کلیدي اداره کولو بیرغ. غلط - یوازې ننوتل. ریښتیا - پخوانۍ کیلي پاکوي | غلط |
| د CNC ډول. اختیارونه: smtp، webpanel، ftp | smtp |
| د "%filter_list%" لیست څخه د پروسو ختمولو لپاره د تار فعالولو بیرغ | غلط |
| UAC بیرغ غیر فعال کړئ | غلط |
| د کاري مدیر بیرغ غیر فعال کړئ | غلط |
| CMD بیرغ غیر فعال کړئ | غلط |
| د کړکۍ غیر فعال بیرغ چل کړئ | غلط |
| د راجستر لیدونکي بیرغ غیر فعال کړئ | غلط |
| د سیسټم بیا رغولو ټکي بیرغ غیر فعال کړئ | رښتيا |
| د کنټرول پینل بیرغ غیر فعال کړئ | غلط |
| MSCONFIG بیرغ غیر فعال کړئ | غلط |
| په اکسپلورر کې د شرایطو مینو غیر فعالولو لپاره بیرغ وکړئ | غلط |
| د پنبې بیرغ | غلط |
| د اصلي ماډل د کاپي کولو لپاره لاره کله چې سیسټم ته یې پین کړئ | %startupfolder% %insfolder%%insname% |
| سیسټم ته ټاکل شوي اصلي ماډل لپاره د "سیسټم" او "پټ" ځانګړتیاو تنظیم کولو لپاره بیرغ | غلط |
| د بیا پیل کولو لپاره بیرغ وکړئ کله چې سیسټم ته پنډ شوی وي | غلط |
| یو لنډمهاله فولډر ته د اصلي ماډل حرکت کولو لپاره بیرغ | غلط |
| د UAC بای پاس بیرغ | غلط |
| د ننوتلو لپاره نیټه او وخت بڼه | yyyy-MM-dd HH:mm:ss |
| د KeyLogger لپاره د پروګرام فلټر کارولو لپاره بیرغ | رښتيا |
| د پروګرام د فلټر کولو ډول. 1 - د پروګرام نوم د کړکۍ په سرلیکونو کې پلټل کیږي 2 - د پروګرام نوم د کړکۍ پروسې نوم کې لیدل کیږي |
1 |
| د پروګرام فلټر | "فیسبوک" "ټویټر" "gmail" "انسټاګرام" "فلم" "سکایپ" "فحش" "هیک" "واټساپ" "اختلاف" |
سیسټم ته د اصلي ماډل ضمیمه کول
که اړونده بیرغ ترتیب شوی وي، اصلي ماډل په ترتیب کې مشخص شوي لارې ته کاپي کیږي لکه څنګه چې سیسټم ته ټاکل کیږي.
د ترتیب څخه د ارزښت پورې اړه لري، فایل ته "پټ" او "سیسټم" ځانګړتیاوې ورکول کیږي.
Autorun د دوه راجستری څانګو لخوا چمتو شوی:
- د HKCU سافټویر مایکروسافټ وینډوز اوسني نسخه چلول %insregname%
- HKCUSOFTWARMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
ځکه چې بوټلوډر پروسې ته داخلیږي RegAsm، د اصلي ماډل لپاره دوامداره بیرغ ترتیب کول خورا په زړه پوري پایلو لامل کیږي. د ځان د کاپي کولو پرځای، مالویر اصلي فایل سیسټم ته وصل کړ RegAsm.exeپه هغه وخت کې چې انجیکشن ترسره شو.
د C&C سره تعامل
پرته له دې چې کارول شوي میتود ته په پام سره، د شبکې اړیکه د سرچینې په کارولو سره د قرباني بهرني IP ترلاسه کولو سره پیل کیږي amazonaws[.]com/.
لاندې په سافټویر کې وړاندې شوي د شبکې متقابل عمل میتودونه تشریح کوي.
ویب پینل
تعامل د HTTP پروتوکول له لارې ترسره کیږي. مالویر د لاندې سرلیکونو سره د POST غوښتنه اجرا کوي:
- کارن-ایجنټ: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv: 1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- اړیکه: ژوندی وساتئ
- د منځپانګې ډول: غوښتنلیک/x-www-form-urlencoded
د سرور پته د ارزښت لخوا مشخص شوې % پوسټ URL. کوډ شوی پیغام په پیرامیټر کې لیږل کیږي «پی». د کوډ کولو میکانیزم په برخه کې تشریح شوی "د کوډ کولو الګوریتم" (دوهمه طریقه).
لیږدول شوی پیغام داسې ښکاري:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
پارسيم ډول د پیغام ډول په ګوته کوي:
hwid - د MD5 هش د مور بورډ سیریل نمبر او پروسیسر ID ارزښتونو څخه ثبت شوی. ډیری احتمال د کارن ID په توګه کارول کیږي.
وخت - د اوسني وخت او نیټې لیږدولو لپاره خدمت کوي.
د کمپیوټر نوم - په توګه تعریف شوی <کارن نوم>/<د کمپیوټر نوم>.
logdata - د ننوتلو ډاټا.
کله چې پاسورډونه لیږدول، پیغام داسې ښکاري:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
لاندې په شکل کې د غلا شوي معلوماتو توضیحات دي nclient[]={0}nlink[]={1}نوم نوم[]={2}npassword[]={3}.
smtp
تعامل د SMTP پروتوکول له لارې ترسره کیږي. لیږدول شوی لیک په HTML بڼه کې دی. پیرامیټر د بدن داسې ښکاري لکه چې:
د لیک سرلیک عمومي بڼه لري: <د کارونکي نوم>/<د کمپیوټر نوم> <د منځپانګې ډول>. د لیک محتويات، او همدارنګه د هغې ضمیمې، کوډ شوي ندي.
تعامل د FTP پروتوکول له لارې ترسره کیږي. د نوم سره یو فایل ټاکل شوي سرور ته لیږدول کیږي د منځپانګې ډول>_<د کارونکي نوم>-<د کمپیوټر نوم>_<تاریخ او وخت>.html. د فایل منځپانګې کوډ شوي ندي.
د کوډ کولو الګوریتم
دا قضیه د لاندې کوډ کولو میتودونه کاروي:
د ایکس این ایم ایکس طریقه
دا طریقه په اصلي ماډل کې د تارونو کوډ کولو لپاره کارول کیږي. د کوډ کولو لپاره کارول شوی الګوریتم دی AES.
داخلول شپږ عدده لسیزه شمیره ده. لاندې بدلون په دې کې ترسره کیږي:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
پایله لرونکی ارزښت د سرایت شوي ډیټا سرې لپاره شاخص دی.
هر سري عنصر یو ترتیب دی DWORD. کله چې یوځای شي DWORD د بایټونو یو لړ ترلاسه کیږي: لومړی 32 بایټس د کوډ کولو کیلي دي، ورپسې د ابتدايي ویکتور 16 بایټس دي، او پاتې بایټس کوډ شوي ډاټا دي.
د ایکس این ایم ایکس طریقه
الګوریتم کارول کیږي 3DES په حالت کې ECB په ټول بایټونو کې د پیډینګ سره (PKCS7).
کلید د پیرامیټر لخوا مشخص شوی %urlkey%په هرصورت، کوډ کول خپل MD5 هش کاروي.
ناوړه فعالیت
د مطالعې لاندې نمونه د دې ناوړه فعالیت پلي کولو لپاره لاندې برنامې کاروي:
کیليګګر
که چیرې د WinAPI فنکشن په کارولو سره ورته مالویر بیرغ شتون ولري د وینډوز هک ایکس تنظیم کړئ په کیبورډ کې د کیپریس پیښو لپاره خپل هینډلر ګماري. د هینډلر فعالیت د فعال کړکۍ سرلیک ترلاسه کولو سره پیل کیږي.
که چیرې د غوښتنلیک فلټر کولو بیرغ تنظیم شوی وي ، نو فلټر کول د ټاکل شوي ډول پورې اړه لري:
- د پروګرام نوم د کړکۍ په سرلیکونو کې لیدل کیږي
- د پروګرام نوم د کړکۍ پروسې نوم کې لیدل کیږي
بیا، په بڼه کې د فعال کړکۍ په اړه د معلوماتو سره په لاګ کې یو ریکارډ اضافه شوی:
بیا د فشار شوي کیلي په اړه معلومات ثبت شوي:
| کیلي | ریکارډ |
| شاته | د بیک اسپیس کلیدي پروسس کولو بیرغ پورې اړه لري: غلط - {BACK} ریښتیا - پخوانۍ کیلي پاکوي |
| کاپسلک | {CAPSLOCK} |
| ESC | {ESC} |
| پاUه | {PageUp} |
| Down | ↓ |
| ړنګول | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| فضا | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + ټب | {ALT+TAB} |
| پای | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| حق | → |
| Up | ↑ |
| F1 | {F1} |
| کيڼ | ← |
| پاڼه ښکته | {پاڼه ښکته} |
| درج | {ناستول} |
| ته ماتې ورکړه | {وګټل} |
| د شمېرو بندولو تڼي | {د شمېرو بندولو تڼي} |
| F11 | {F11} |
| F3 | {F3} |
| کور | {کور} |
| کې وليکئ | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| نور کلیدي | کرکټر د CapsLock او Shift کیلي موقعیتونو پورې اړه لري په پورتنۍ یا ښکته قضیه کې |
په یوه ټاکلې فریکونسۍ کې، راټول شوي لاګ سرور ته لیږل کیږي. که لیږد ناکامه وي، لاګ په فایل کې خوندي کیږي %TEMP%log.tmp په بڼه:
کله چې ټایمر ډزې وکړي، فایل به سرور ته لیږدول کیږي.
ScreenLogger
په یوه ټاکلې فریکونسۍ کې، مالویر په بڼه کې یو سکرین شاټ جوړوي JPEG د معنی سره د کیفیت د د 50 سره مساوي او دا په فایل کې خوندي کوي %APPDATA %<د 10 حروفونو تصادفي ترتیب>.jpg. د لیږد وروسته، فایل ړنګ شوی.
کلپبورډ لاګر
که مناسب بیرغ ترتیب شوی وي، د لاندې جدول سره سم په مداخله شوي متن کې ځای په ځای کیږي.
له دې وروسته، متن په لاګ کې دننه کیږي:
پټنوم غلا کوونکی
مالویر کولی شي د لاندې غوښتنلیکونو څخه پاسورډونه ډاونلوډ کړي:
| براوزرونه | میل مشتریان | د FTP پیرودونکي |
| کروم | Outlook | فایلزیلا |
| د فایرفوکس | تندرډر | WS_FTP |
| IE/Edge | فاکس میل | WinSCP |
| فایرفاکس | د اوپیرا میل | CoreFTP |
| د اوپیرا براوزر | IncrediMail | د FTP نیویګیټر |
| Yandex | پوکومیل | فلش ایف ایکس پی |
| کودودو | ایډورا | سمارټ ایف ټي ټي |
| ChromePlus | بیټ | د FTP قوماندان |
| کروموم | ډاګ خونه | |
| تورچ | ClawsMail | |
| 7Star | ||
| ملګری | ||
| BraveSoftware | جابر مشتریان | د VPN پیرودونکي |
| CentBrowser | Psi/Psi+ | VPN خلاص کړئ |
| چیډوټ | ||
| کوکوک | ||
| د عناصرو براوزر | مدیران ډاونلوډ کړئ | |
| د فرضي محرمیت براوزر | د انټرنیټ ښکته مدیر | |
| کومیتا | JDownloader | |
| مدار | ||
| سپوتنيک | ||
| uCozMedia | ||
| ویالیلدي | ||
| سمندر سمندري | ||
| فلک براوزر | ||
| د یو سي لټونګر | ||
| بلیک هاک | ||
| CyberFox | ||
| K-meleon | ||
| یخ ګیټ | ||
| icedragon | ||
| پیلیمون | ||
| واټر فاکس | ||
| فالکون براوزر |
د متحرک تحلیل سره مقابله
- د فنکشن کارول خوب. تاسو ته اجازه درکوي د وخت په تیریدو سره ځینې سینڈ باکسونه پریږدئ
- د تار له منځه وړل ساحه. پیژندنه. تاسو ته اجازه درکوي د انټرنیټ څخه د فایل ډاونلوډ کولو حقیقت پټ کړئ
- په پیرامیټر کې %filter_list% د پروسو لیست مشخص کوي چې مالویر به د یوې ثانیې په وقفه کې پای ته ورسیږي
- نښلول UAC
- د کاري مدیر غیر فعال کول
- نښلول CMD
- د کړکۍ غیر فعال کول "منډه"
- د کنټرول پینل غیر فعال کول
- د یوې وسیلې غیر فعال کول راجستر
- د سیسټم د بیا رغونې نقطې غیر فعال کول
- په اکسپلورر کې د شرایطو مینو غیر فعال کړئ
- نښلول MSCONFIG
- بای پاس UAC:
د اصلي ماډل غیر فعال ځانګړتیاوې
د اصلي ماډل د تحلیل په جریان کې، دندې پیژندل شوي چې په ټوله شبکه کې د خپریدو او د موږک موقعیت تعقیب کولو مسولیت درلود.
کورت
د لرې کولو وړ میډیا سره وصل کولو پیښې په جلا تار کې څارل کیږي. کله چې وصل شي، د نوم سره مالویر د فایل سیسټم ریښې ته کاپي کیږي scr.exe، له هغې وروسته دا د توسیع سره فایلونه لټوي لینک. د هر چا ټیم لینک ته بدلون ورکوي cmd.exe /c scr.exe پیل کړئ او پیل کړئ <اصلي کمانډ> او وتل.
د میډیا په ریښه کې هر لارښود ته یو ځانګړتیا ورکول کیږي "پټ" او د توسیع سره یو فایل جوړیږي لینک د پټ لارښود نوم او کمانډ سره cmd.exe /c پیل کړئ scr.exe&explorer /root،"%CD%<د لارښود نوم>" او وتل.
MouseTracker
د مداخلې ترسره کولو طریقه ورته ده چې د کیبورډ لپاره کارول کیږي. دا فعالیت لاهم د پراختیا په حال کې دی.
د فایل فعالیت
| لاره | شرح |
| %Temp%temp.tmp | د UAC بای پاس هڅو لپاره کاونټر لري |
| %startupfolder%%infolder%%insname% | د HPE سیسټم ته ټاکل شوې لاره |
| %Temp%tmpG{اوسنی وخت په ملی ثانیو کې}.tmp | د اصلي ماډل بیک اپ لپاره لاره |
| %Temp%log.tmp | د ننوتلو فایل |
| %AppData%{د 10 حروفونو یو خپلسري ترتیب}.jpeg | پردې شاټونه |
| C:UsersPublic{د 10 حروفونو یوه خپلسري ترتیب}.vbs | د vbs فایل ته لاره چې بوټلوډر کولی شي سیسټم سره ضمیمه کولو لپاره وکاروي |
| %Temp%{د ګمرک فولډر نوم{د فایل نوم} | هغه لاره چې د بوټلوډر لخوا کارول کیږي ترڅو سیسټم ته ځان وصل کړي |
د برید کونکي پروفایل
د هارډ کوډ شوي تصدیق ډیټا څخه مننه ، موږ وکولی شو د قوماندې مرکز ته لاسرسی ومومئ.
دې موږ ته اجازه راکړه چې د برید کونکو وروستی بریښنالیک وپیژنو:
جنید[.]په***@gmail[.]com کې.
د قوماندې مرکز ډومین نوم میل ته راجستر شوی sg***@gmail[.]com.
پایلې
په برید کې کارول شوي مالویر د مفصل تحلیل په جریان کې ، موږ وکولی شو د دې فعالیت رامینځته کړو او د دې قضیې پورې اړوند د جوړجاړي شاخصونو خورا بشپړ لیست ترلاسه کړو. د مالویر تر مینځ د شبکې متقابل عمل میکانیزمونو پوهیدل دا امکان رامینځته کړی چې د معلوماتو امنیت وسیلو عملیات تنظیم کولو لپاره وړاندیزونه ورکړي ، او همدارنګه د IDS مستحکم مقررات ولیکئ.
اصلي خطر AgentTesla د ډیټا سټیلر په څیر پدې کې دا اړتیا نلري سیسټم ته ژمن وي یا د خپلو دندو ترسره کولو لپاره د کنټرول کمانډ ته انتظار وکړي. یوځل په ماشین کې ، دا سمدلاسه د شخصي معلوماتو راټولول پیل کوي او CnC ته یې لیږدوي. دا تیریدونکی چلند په ځینو لارو کې د ransomware چلند سره ورته دی، یوازینی توپیر دا دی چې وروستی حتی د شبکې پیوستون ته اړتیا نلري. که تاسو د دې کورنۍ سره مخ شئ، وروسته له دې چې پخپله د مالویر څخه د اخته سیسټم پاکولو وروسته، تاسو باید حتما ټول پاسورډونه بدل کړئ چې لږترلږه په نظرياتي توګه، په پورته لیست شوي غوښتنلیکونو کې خوندي کیدی شي.
مخ ته ګورو، راځئ چې ووایو چې بریدګر لیږو AgentTesla، لومړنی بوټ لوډر ډیر ځله بدلیږي. دا تاسو ته اجازه درکوي د برید په وخت کې د جامد سکینرونو او هیوریسټیک تحلیل کونکو لخوا بې پامه پاتې شئ. او د دې کورنۍ تمایل چې سمدستي خپل فعالیتونه پیل کړي د سیسټم څارونکي بې ګټې کوي. د اجنټ ټیسلا سره د مبارزې غوره لاره په شګو بکس کې لومړني تحلیلونه دي.
د دې لړۍ په دریمه مقاله کې به موږ د نورو بوټلوډرونو کارول وګورو AgentTesla، او د دوی د نیمه اتوماتیک خلاصولو پروسه هم مطالعه کړئ. مه هیروئ!
هاش
| شاکونیمکس |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
سي او سي
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| نوم لیکنه |
| HKCUSsoftwareMicrosoftWindowsCurrentVersionRun{د سکریپټ نوم} |
| HKCUSsoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWARMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
میتیکس
هیڅ شاخصونه شتون نلري.
دوتنې
| د فایل فعالیت |
| %Temp%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{اوسنی وخت په ملی ثانیو کې}.tmp |
| %Temp%log.tmp |
| %AppData%{د 10 حروفونو یو خپلسري ترتیب}.jpeg |
| C:UsersPublic{د 10 حروفونو یوه خپلسري ترتیب}.vbs |
| %Temp%{د ګمرک فولډر نوم{د فایل نوم} |
د نمونې معلومات
| نوم | نامعلوم |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| شاکونیمکس | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| شاکونیمکس | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ډول | PE (.NET) |
| اندازه | 327680 |
| اصلي نوم | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| تالیف کونکی | VB.NET |
| نوم | IElibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| شاکونیمکس | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| شاکونیمکس | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ډول | PE (.NET DLL) |
| اندازه | 16896 |
| اصلي نوم | IElibrary.dll |
| DateStamp | 11.10.2016 |
| تالیف کونکی | د مایکروسافټ لینکر (48.0*) |
سرچینه: www.habr.com