A participação falhou: vamos expor o AgentTesla à água limpa. Parte 1
Recentemente, um fabricante europeu de equipamentos de instalação elétrica entrou em contato com o Grupo-IB - seu funcionário recebeu pelo correio uma carta suspeita com um anexo malicioso. Ilya Pomerantsev, especialista em análise de malware do CERT Group-IB, conduziu uma análise detalhada desse arquivo, descobriu o spyware AgentTesla e disse o que esperar desse malware e como ele é perigoso.
Com este post abrimos uma série de artigos sobre como analisar esses arquivos potencialmente perigosos, e aguardamos os mais curiosos no dia 5 de dezembro para um webinar interativo gratuito sobre o tema “Análise de Malware: Análise de Casos Reais”. Todos os detalhes estão sob corte.
Mecanismo de distribuição
Sabemos que o malware chegou à máquina da vítima através de e-mails de phishing. O destinatário da carta provavelmente recebeu Cco.
A análise dos cabeçalhos mostra que o remetente da carta foi falsificado. Na verdade, a carta deixada com vps56[.]oneworldhosting[.]com.
O anexo do e-mail contém um arquivo WinRar qoute_jpeg56a.r15 com um arquivo executável malicioso QOUTE_JPEG56A.exe dentro.
Ecossistema de malware
Agora vamos ver como é o ecossistema do malware em estudo. O diagrama abaixo mostra sua estrutura e as direções de interação dos componentes.
Agora vamos examinar cada um dos componentes do malware com mais detalhes.
Carregador
Arquivo original QOUTE_JPEG56A.exe é um compilado AutoIt v3 roteiro.
Para ofuscar o script original, um ofuscador com similar PELock AutoIT-Ofuscador características.
A desofuscação é realizada em três etapas:
Removendo ofuscação Para se
A primeira etapa é restaurar o fluxo de controle do script. Control Flow Flattening é uma das maneiras mais comuns de proteger o código binário do aplicativo contra análise. Transformações confusas aumentam drasticamente a complexidade de extração e reconhecimento de algoritmos e estruturas de dados.
Recuperação de linha
Duas funções são usadas para criptografar strings:
gdorizabegkvfca - Executa decodificação semelhante a Base64
xgacyukcyzxz - XOR byte-byte simples da primeira string com o comprimento da segunda
Removendo ofuscação BinaryToString и Execute
A carga principal é armazenada de forma dividida no diretório Fontes seções de recursos do arquivo.
A ordem de colagem é a seguinte: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
A função WinAPI é usada para descriptografar os dados extraídos CryptDecrypt, e a chave de sessão gerada com base no valor é usada como chave fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
O arquivo executável descriptografado é enviado para a entrada da função RunPEque realiza ProcessInject в RegAsm.exe usando integrado ShellCode (também conhecido como Código Shell RunPE). A autoria pertence ao usuário do fórum espanhol indetectáveis[.]rede sob o apelido de Wardow.
Também é importante notar que em um dos tópicos deste fórum, um ofuscador para AutoIt com propriedades semelhantes identificadas durante a análise da amostra.
se ShellCode bastante simples e chama a atenção apenas emprestado do grupo de hackers AnunakCarbanak. Função de hash de chamada de API.
Também estamos cientes dos casos de uso Shellcode Francês versões diferentes.
Além da funcionalidade descrita, também identificamos funções inativas:
Bloqueando o encerramento manual do processo no gerenciador de tarefas
Reiniciando um processo filho quando ele termina
Ignorar UAC
Salvando a carga em um arquivo
Demonstração de janelas modais
Aguardando a mudança da posição do cursor do mouse
AntiVM e AntiSandbox
Auto destruição
Bombeando carga útil da rede
Sabemos que tal funcionalidade é típica do protetor CypherIT, que, aparentemente, é o bootloader em questão.
Módulo principal de software
A seguir, descreveremos brevemente o módulo principal do malware e o consideraremos com mais detalhes no segundo artigo. Neste caso, é uma aplicação em . NET.
Durante a análise, descobrimos que um ofuscador foi usado ConfusorEX.
IELibrary.dll
A biblioteca é armazenada como um recurso do módulo principal e é um plugin bem conhecido para Agente Tesla, que fornece funcionalidade para extrair diversas informações dos navegadores Internet Explorer e Edge.
Agent Tesla é um software de espionagem modular distribuído usando um modelo de malware como serviço sob o disfarce de um produto keylogger legítimo. O Agente Tesla é capaz de extrair e transmitir credenciais de usuário de navegadores, clientes de e-mail e clientes FTP para o servidor para invasores, gravando dados da área de transferência e capturando a tela do dispositivo. No momento da análise, o site oficial dos desenvolvedores não estava disponível.
O ponto de entrada é a função Obter senhas salvas classe Internet Explorer.
Em geral, a execução do código é linear e não contém nenhuma proteção contra análise. Apenas a função não realizada merece atenção Obtenha cookies salvos. Aparentemente, a funcionalidade do plugin deveria ser expandida, mas isso nunca foi feito.
Anexando o bootloader ao sistema
Vamos estudar como o bootloader está conectado ao sistema. O exemplar em estudo não ancora, mas em eventos semelhantes ocorre conforme o seguinte esquema:
Na pasta C: Usuários Público roteiro é criado Visual Basic
Exemplo de roteiro:
O conteúdo do arquivo carregador é preenchido com um caractere nulo e salvo na pasta %Temp%
Uma chave de execução automática é criada no registro para o arquivo de script HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Assim, com base nos resultados da primeira parte da análise, conseguimos estabelecer os nomes das famílias de todos os componentes do malware em estudo, analisar o padrão de infecção e também obter objetos para escrita de assinaturas. Continuaremos nossa análise deste objeto no próximo artigo, onde veremos o módulo principal com mais detalhes Agente Tesla. Não perca!
Aliás, no dia 5 de dezembro convidamos todos os leitores para um webinar interativo gratuito sobre o tema “Análise de malware: análise de casos reais”, onde o autor deste artigo, especialista do CERT-GIB, mostrará online a primeira etapa do análise de malware - descompactação semiautomática de amostras usando o exemplo de três minicasos reais da prática, e você pode participar da análise. O webinar é adequado para especialistas que já possuem experiência na análise de arquivos maliciosos. O registro é feito estritamente pelo e-mail corporativo: зарегистрируйтесь. Esperando Por Você!