Pokračujeme v sérii článkov venovaných analýze škodlivého softvéru. IN Čiastočne sme povedali, ako Ilya Pomerantsev, špecialista na analýzu malvéru v CERT Group-IB, vykonal podrobnú analýzu súboru prijatého poštou od jednej z európskych spoločností a objavil tam spyware. Agent Tesla. V tomto článku Ilya poskytuje výsledky analýzy hlavného modulu krok za krokom Agent Tesla.
Agent Tesla je modulárny špionážny softvér distribuovaný pomocou modelu malware-as-a-service pod zámienkou legitímneho keyloggeru. Agent Tesla je schopný extrahovať a prenášať používateľské poverenia z prehliadačov, e-mailových klientov a FTP klientov na server útočníkom, zaznamenávať údaje zo schránky a zachytávať obrazovku zariadenia. V čase analýzy bola oficiálna stránka vývojárov nedostupná.
Konfiguračný súbor
V tabuľke nižšie je uvedený zoznam funkcií, ktoré sa vzťahujú na vzorku, ktorú používate:
| Popis | Hodnota |
| Príznak používania KeyLogger | pravdivý |
| Príznak používania aplikácie ScreenLogger | nepravdivý |
| Interval odosielania protokolu KeyLogger v minútach | 20 |
| Interval odosielania protokolu ScreenLogger v minútach | 20 |
| Príznak spracovania klávesu Backspace. False – iba protokolovanie. True – vymaže predchádzajúci kľúč | nepravdivý |
| Typ CNC. Možnosti: smtp, webpanel, ftp | smtp |
| Príznak aktivácie vlákna na ukončenie procesov zo zoznamu „%filter_list%“ | nepravdivý |
| Príznak vypnutia UAC | nepravdivý |
| Príznak vypnutia správcu úloh | nepravdivý |
| Príznak vypnutia CMD | nepravdivý |
| Spustiť príznak zakázania okna | nepravdivý |
| Príznak vypnutia prehliadača databázy Registry | nepravdivý |
| Zakázať príznak bodov obnovenia systému | pravdivý |
| Príznak vypnutia ovládacieho panela | nepravdivý |
| Príznak vypnutia MSCONFIG | nepravdivý |
| Príznakom zakážete kontextovú ponuku v Prieskumníkovi | nepravdivý |
| Pripnúť vlajku | nepravdivý |
| Cesta na skopírovanie hlavného modulu pri jeho pripojení k systému | %startupfolder% %insfolder%%insname% |
| Príznak pre nastavenie atribútov „Systém“ a „Skrytý“ pre hlavný modul priradený k systému | nepravdivý |
| Príznak vykoná reštart po pripojení k systému | nepravdivý |
| Príznak na presunutie hlavného modulu do dočasného priečinka | nepravdivý |
| Príznak obídenia UAC | nepravdivý |
| Formát dátumu a času pre protokolovanie | yyyy-MM-dd HH:mm:ss |
| Príznak pre použitie programového filtra pre KeyLogger | pravdivý |
| Typ filtrovania programu. 1 – názov programu sa hľadá v nadpisoch okien 2 – názov programu sa hľadá v názve procesu okna |
1 |
| Programový filter | "Facebook" "twitter" "gmail" "instagram" "film" "skype" "porno" "hack" "Whatsapp" "rozpor" |
Pripojenie hlavného modulu k systému
Ak je nastavený zodpovedajúci príznak, hlavný modul sa skopíruje na cestu špecifikovanú v konfigurácii ako cestu, ktorá má byť priradená systému.
V závislosti od hodnoty z konfigurácie má súbor atribúty „Hidden“ a „System“.
Autorun poskytujú dve vetvy registra:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedSpustiť %insregname%
Pretože bootloader vstrekuje do procesu RegAsm, nastavenie trvalého príznaku pre hlavný modul vedie k celkom zaujímavým dôsledkom. Namiesto toho, aby sa skopíroval, malvér pripojil pôvodný súbor k systému RegAsm.exe, počas ktorej bola vykonaná injekcia.
Interakcia s C&C
Bez ohľadu na použitú metódu, sieťová komunikácia začína získaním externej IP obete pomocou zdroja [.]amazonaws[.]com/.
Nasleduje popis sieťových interakcií prezentovaných v softvéri.
webpanel
Interakcia prebieha cez HTTP protokol. Malvér vykoná požiadavku POST s nasledujúcimi hlavičkami:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Spojenie: Keep-Alive
- Content-Type: application/x-www-form-urlencoded
Adresa servera je určená hodnotou %PostURL%. Zašifrovaná správa sa odošle v parametri «P». Mechanizmus šifrovania je popísaný v časti "Šifrovacie algoritmy" (Metóda 2).
Prenesená správa vyzerá takto:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter typ označuje typ správy:
hwid — z hodnôt sériového čísla základnej dosky a ID procesora sa zaznamená MD5 hash. S najväčšou pravdepodobnosťou sa používa ako ID používateľa.
čas — slúži na prenos aktuálneho času a dátumu.
názov počítača - definovaný ako <Používateľské meno>/<Názov počítača>.
logdata — údaje denníka.
Pri prenose hesiel správa vyzerá takto:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Nasledujú popisy ukradnutých údajov vo formáte nclient[]={0}nlink[]={1}používateľské meno[]={2}nheslo[]={3}.
smtp
Interakcia prebieha cez protokol SMTP. Prenášaný list je vo formáte HTML. Parameter BODY vyzerá ako:
Záhlavie listu má všeobecný tvar: <MENO POUŽÍVATEĽA>/<NÁZOV POČÍTAČA> <TYP OBSAHU>. Obsah listu, ako aj jeho prílohy, nie sú zašifrované.
Interakcia prebieha cez FTP protokol. Súbor s názvom sa prenesie na určený server <TYP OBSAHU>_<MENO POUŽÍVATEĽA>-<NÁZOV POČÍTAČA>_<DÁTUM A ČAS>.html. Obsah súboru nie je zašifrovaný.
Šifrovacie algoritmy
V tomto prípade sa používajú nasledujúce metódy šifrovania:
Metóda 1
Táto metóda sa používa na šifrovanie reťazcov v hlavnom module. Algoritmus použitý na šifrovanie je AES.
Vstupom je šesťmiestne desiatkové číslo. Vykoná sa na ňom nasledujúca transformácia:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Výsledná hodnota je index pre pole vložených údajov.
Každý prvok poľa je sekvencia DWORD. Pri zlučovaní DWORD získa sa pole bajtov: prvých 32 bajtov je šifrovací kľúč, nasleduje 16 bajtov inicializačného vektora a zvyšné bajty sú šifrované údaje.
Metóda 2
Použitý algoritmus 3DES v režime ECB s výplňou v celých bajtoch (PKCS7).
Kľúč je určený parametrom %urlkey%, však šifrovanie používa svoj MD5 hash.
Škodlivá funkcia
Skúmaná vzorka používa na implementáciu svojej škodlivej funkcie nasledujúce programy:
keyloggery
Ak existuje zodpovedajúci príznak škodlivého softvéru pomocou funkcie WinAPI NastaviťWindowsHookEx priraďuje svoj vlastný handler pre udalosti stlačenia klávesu na klávesnici. Funkcia obsluhy začína získaním názvu aktívneho okna.
Ak je nastavený príznak filtrovania aplikácií, filtrovanie sa vykonáva v závislosti od zadaného typu:
- názov programu sa hľadá v názvoch okien
- názov programu sa vyhľadá v názve procesu okna
Ďalej sa do protokolu pridá záznam s informáciami o aktívnom okne vo formáte:
Potom sa zaznamenajú informácie o stlačenom klávese:
| kľúč | Záznam |
| Backspace | V závislosti od príznaku spracovania kľúča Backspace: False – {BACK} True – vymaže predchádzajúci kľúč |
| ZÁMOK VEĽKÝCH PÍSMEN | {ZÁMOK VEĽKÝCH PÍSMEN} |
| ESC | {ESC} |
| PageUp | {Strana hore} |
| nadol | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Priestor | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| KONIEC | {KONIEC} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Správny | → |
| Up | ↑ |
| F1 | {F1} |
| Ľavý | ← |
| PageDown | {O stranu nižšie} |
| Vložiť | {Insert} |
| výhra | {Vyhrať} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| ÚVOD | {DOMOV} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Iný kľúč | Znak je napísaný veľkými alebo malými písmenami v závislosti od polohy kláves CapsLock a Shift |
V určenej frekvencii sa zhromaždený protokol odosiela na server. Ak je prenos neúspešný, protokol sa uloží do súboru %TEMP%log.tmp vo formáte:
Keď sa spustí časovač, súbor sa prenesie na server.
ScreenLogger
V určenej frekvencii vytvára malvér snímku obrazovky vo formáte Jpeg so zmyslom Kvalita rovná 50 a uloží ho do súboru %APPDATA %<Náhodná sekvencia 10 znakov>.jpg. Po prenose sa súbor vymaže.
ClipboardLogger
Ak je nastavený príslušný príznak, nahradia sa v zachytenom texte podľa tabuľky nižšie.
Potom sa text vloží do denníka:
PasswordStealer
Malvér môže sťahovať heslá z nasledujúcich aplikácií:
| Prehliadače | Poštoví klienti | FTP klienti |
| chróm | výhľad | FileZilla |
| Firefox | Buřňák | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Opera Browser | IncrediMail | FTP Navigátor |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Netopier | FTPCommander |
| Chróm | Postbox | |
| Pochodeň | ClawsMail | |
| 7Star | ||
| amigo | ||
| BraveSoftware | Klienti Jabber | VPN klientov |
| CentBrowser | Psi/Psi+ | Otvorte VPN |
| Chedot | ||
| CocCoc | ||
| Prehliadač prvkov | Správcovia sťahovania | |
| Prehliadač Epic Privacy | Správca preberania internetu | |
| Kométa | JDownloader | |
| Orbitum | ||
| Umelá družica | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC prehliadač | ||
| Čierny jastrab | ||
| Cyber Fox | ||
| K-Meleón | ||
| ľadová mačka | ||
| ľadový drak | ||
| PaleMesiac | ||
| vodná líška | ||
| Prehliadač Falkon |
Protiváha dynamickej analýzy
- Pomocou funkcie spánok. Umožňuje vám obísť niektoré karantény časovým limitom
- Zničenie vlákna Identifikátor zóny. Umožňuje skryť skutočnosť sťahovania súboru z internetu
- V parametri %filter_list% určuje zoznam procesov, ktoré malvér ukončí v intervaloch jednej sekundy
- vypnutie UAC
- Vypnutie správcu úloh
- vypnutie CMD
- Vypnutie okna «Vыполнить»
- Vypnutie ovládacieho panela
- Vypnutie nástroja Regedit
- Zakázanie bodov obnovenia systému
- Zakázať kontextové menu v Prieskumníkovi
- vypnutie MSCONFIG
- Obchvat UAC:
Neaktívne funkcie hlavného modulu
Počas analýzy hlavného modulu boli identifikované funkcie, ktoré boli zodpovedné za šírenie po sieti a sledovanie polohy myši.
červ
Udalosti pre pripojenie vymeniteľných médií sú monitorované v samostatnom vlákne. Po pripojení sa malvér s názvom skopíruje do koreňového adresára súborového systému scr.exe, po ktorom vyhľadá súbory s príponou vľavo. Tým každého vľavo zmení na cmd.exe /c spustiť scr.exe&štart <pôvodný príkaz>& skončiť.
Každý adresár v koreňovom adresári média má priradený atribút "skryté" a vytvorí sa súbor s príponou vľavo s názvom skrytého adresára a príkazu cmd.exe /c spustiť scr.exe&prieskumník /root,"%CD%<NÁZOV ADRESÁRA>" a ukončiť.
MouseTracker
Metóda vykonávania odpočúvania je podobná ako pri klávesnici. Táto funkcia je stále vo vývoji.
Aktivita súboru
| Cesta | Popis |
| %Temp%temp.tmp | Obsahuje počítadlo pre pokusy o obídenie UAC |
| %startupfolder%%insfolder%%insname% | Cesta, ktorá sa má priradiť k systému HPE |
| %Temp%tmpG{Aktuálny čas v milisekundách}.tmp | Cesta pre zálohu hlavného modulu |
| %Temp%log.tmp | Súbor denníka |
| %AppData%{Ľubovoľná sekvencia 10 znakov}.jpeg | Obrázky |
| C:UsersPublic{ľubovoľná sekvencia 10 znakov}.vbs | Cesta k súboru vbs, ktorý môže bootloader použiť na pripojenie k systému |
| %Temp%{Názov vlastného priečinka}{Názov súboru} | Cesta, ktorú používa bootloader na pripojenie k systému |
Profil útočníka
Vďaka pevne zakódovaným autentifikačným údajom sa nám podarilo získať prístup do veliteľského centra.
To nám umožnilo identifikovať konečný e-mail útočníkov:
junaid[.]in***@gmail[.]com.
Do e-mailu je zaregistrovaný názov domény riadiaceho centra sg***@gmail[.]com.
Záver
Počas podrobnej analýzy malvéru použitého pri útoku sa nám podarilo zistiť jeho funkčnosť a získať najúplnejší zoznam indikátorov ohrozenia relevantných pre tento prípad. Pochopenie mechanizmov interakcie malvérovej siete umožnilo poskytnúť odporúčania na úpravu fungovania nástrojov informačnej bezpečnosti, ako aj napísať stabilné pravidlá IDS.
Hlavné nebezpečenstvo Agent Tesla ako DataStealer v tom, že sa nemusí zaviazať do systému alebo čakať na riadiaci príkaz, aby vykonal svoje úlohy. Po nasadení na stroj okamžite začne zhromažďovať súkromné informácie a prenesie ich do CnC. Toto agresívne správanie je v niektorých smeroch podobné správaniu ransomvéru, len s tým rozdielom, že ten ransomvér ani nevyžaduje pripojenie k sieti. Ak na túto rodinu narazíte, po vyčistení infikovaného systému od samotného malvéru by ste si určite mali zmeniť všetky heslá, ktoré by sa aspoň teoreticky dali uložiť do niektorej z vyššie uvedených aplikácií.
Pri pohľade do budúcnosti povedzme, že útočníci posielajú Agent Tesla, počiatočný zavádzač sa mení veľmi často. To vám umožňuje zostať nepovšimnutý statickými skenermi a heuristickými analyzátormi v čase útoku. A tendencia tejto rodiny okamžite začať svoju činnosť robí monitory systému zbytočnými. Najlepším spôsobom boja proti AgentTesla je predbežná analýza v karanténe.
V treťom článku tejto série sa pozrieme na ďalšie používané bootloadery Agent Tesla, a tiež si preštudujte proces ich poloautomatického vybaľovania. Nenechajte si ujsť!
Hašiš
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| register |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{názov skriptu} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutex
Neexistujú žiadne ukazovatele.
Súbory
| Aktivita súboru |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Aktuálny čas v milisekundách}.tmp |
| %Temp%log.tmp |
| %AppData%{Ľubovoľná sekvencia 10 znakov}.jpeg |
| C:UsersPublic{ľubovoľná sekvencia 10 znakov}.vbs |
| %Temp%{Názov vlastného priečinka}{Názov súboru} |
Informácie o vzorkách
| Meno | Neznáma |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Typ | PE (.NET) |
| Veľkosť | 327680 |
| Pôvodný názov | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Dátumová pečiatka | 01.07.2019 |
| prekladač | VB.NET |
| Meno | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Typ | PE (.NET DLL) |
| Veľkosť | 16896 |
| Pôvodný názov | IELibrary.dll |
| Dátumová pečiatka | 11.10.2016 |
| prekladač | Microsoft Linker (48.0*) |
Zdroj: hab.com