Volilna udeležba ni uspela: izpostavimo AgentTeslo čisti vodi. 1. del
Pred kratkim se je na Group-IB obrnil evropski proizvajalec elektroinstalacijske opreme - njegov zaposleni je po pošti prejel sumljivo pismo z zlonamerno priponko. Ilya Pomerantsev, specialist za analizo zlonamerne programske opreme pri CERT Group-IB, je izvedel podrobno analizo te datoteke, tam odkril vohunsko programsko opremo AgentTesla in povedal, kaj lahko pričakujemo od takšne zlonamerne programske opreme in kako nevarna je.
S to objavo odpiramo serijo člankov o tem, kako analizirati tovrstne potencialno nevarne datoteke, najbolj radovedne pa 5. decembra pričakujemo na brezplačnem interaktivnem webinarju na to temo »Analiza zlonamerne programske opreme: analiza resničnih primerov«. Vsi detajli so pod krojem.
Mehanizem distribucije
Vemo, da je zlonamerna programska oprema prišla do žrtvinega računalnika prek e-pošte z lažnim predstavljanjem. Prejemnik pisma je bil verjetno BCCed.
Analiza glav kaže, da je bil pošiljatelj pisma lažen. Pravzaprav je pismo ostalo z vps56[.]oneworldhosting[.]com.
E-poštna priloga vsebuje arhiv WinRar qoute_jpeg56a.r15 z zlonamerno izvršljivo datoteko QOUTE_JPEG56A.exe notri.
Ekosistem zlonamerne programske opreme
Zdaj pa poglejmo, kako izgleda ekosistem proučevane zlonamerne programske opreme. Spodnji diagram prikazuje njegovo zgradbo in smer interakcije komponent.
Zdaj pa si podrobneje oglejmo vsako komponento zlonamerne programske opreme.
Nakladalnik
Izvirna datoteka QOUTE_JPEG56A.exe je sestavljeno AutoIt v3 scenarij.
Če želite zamegliti izvirni skript, uporabite obfuscator s podobnim PELock AutoIT-Obfuscator značilnosti.
Razkrivanje poteka v treh fazah:
Odstranjevanje zamegljenosti Za-Če
Prvi korak je obnovitev nadzornega toka skripta. Izravnavanje toka nadzora je eden najpogostejših načinov za zaščito binarne kode aplikacije pred analizo. Zmedene transformacije dramatično povečajo kompleksnost pridobivanja in prepoznavanja algoritmov in podatkovnih struktur.
Obnovitev vrstice
Za šifriranje nizov se uporabljata dve funkciji:
gdorizabegkvfca - Izvaja dekodiranje, podobno Base64
xgacyukcyzxz - preprost bajt-bajt XOR prvega niza z dolžino drugega
Odstranjevanje zamegljenosti BinaryToString и Izvedba
Glavna obremenitev je shranjena v razdeljeni obliki v imeniku Pisave razdelke virov datoteke.
Vrstni red lepljenja je naslednji: TIEQHCXWFG, JAZ MENE, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Funkcija WinAPI se uporablja za dešifriranje ekstrahiranih podatkov CryptDecrypt, in ključ seje, ustvarjen na podlagi vrednosti, se uporabi kot ključ fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Dešifrirana izvedljiva datoteka se pošlje na vhod funkcije RunPE, ki izvaja ProcessInject в RegAsm.exe z uporabo vgrajenega ShellCode (poznan tudi kot RunPE ShellCode). Avtorstvo pripada uporabniku španskega foruma nezaznavne [.]net pod vzdevkom Wardow.
Prav tako je treba omeniti, da je v eni od tem tega foruma prikrivanje za Na strehi s podobnimi lastnostmi, ugotovljenimi med analizo vzorca.
Sam ShellCode precej preprosto in pritegne pozornost le sposojeno od hekerske skupine AnunakCarbanak. Funkcija zgoščevanja klicev API.
Zavedamo se tudi primerov uporabe Francoska shellcode različne različice.
Poleg opisane funkcionalnosti smo identificirali tudi neaktivne funkcije:
Blokiranje ročnega zaključka procesa v upravitelju opravil
Ponovni zagon podrejenega procesa, ko se zaključi
Obhod UAC
Shranjevanje koristnega tovora v datoteko
Predstavitev modalnih oken
Čakanje na spremembo položaja kazalca miške
AntiVM in AntiSandbox
Samouničenje
Črpanje tovora iz omrežja
Vemo, da je takšna funkcionalnost tipična za protektor CypherIT, ki je očitno zadevni zagonski nalagalnik.
Glavni modul programske opreme
Nato bomo na kratko opisali glavni modul zlonamerne programske opreme in ga podrobneje obravnavali v drugem članku. V tem primeru gre za aplikacijo na NET..
Med analizo smo odkrili, da je bil uporabljen obfuskator ConfuserEX.
IELibrary.dll
Knjižnica je shranjena kot glavni vir modula in je dobro znan vtičnik za Agent Tesla, ki zagotavlja funkcionalnost za pridobivanje različnih informacij iz brskalnikov Internet Explorer in Edge.
Agent Tesla je modularna vohunska programska oprema, ki se distribuira z uporabo modela zlonamerne programske opreme kot storitve pod krinko legitimnega izdelka za zapisovanje tipk. Agent Tesla je sposoben pridobiti in posredovati uporabniške poverilnice iz brskalnikov, e-poštnih odjemalcev in odjemalcev FTP na strežnik do napadalcev, snemati podatke iz odložišča in zajemati zaslon naprave. V času analize uradna spletna stran razvijalcev ni bila na voljo.
Vstopna točka je funkcija GetSavedPasswords razreda InternetExplorer.
Na splošno je izvajanje kode linearno in ne vsebuje zaščite pred analizo. Pozornost si zasluži le nerealizirana funkcija GetSavedCookies. Očitno naj bi bila funkcionalnost vtičnika razširjena, vendar to nikoli ni bilo storjeno.
Priključitev zagonskega nalagalnika na sistem
Preučimo, kako je zagonski nalagalnik pritrjen na sistem. Preučevani primerek se ne zasidra, vendar se v podobnih dogodkih zgodi po naslednji shemi:
V mapi C:UsersPublic skript je ustvarjen Visual Basic
Primer skripta:
Vsebina nalagalne datoteke je dopolnjena z ničelnim znakom in shranjena v mapo %Temp%
Za datoteko skripta se v registru ustvari ključ za samodejni zagon HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Tako smo na podlagi rezultatov prvega dela analize lahko določili imena družin vseh komponent proučevane zlonamerne programske opreme, analizirali vzorec okužbe in pridobili tudi predmete za pisanje podpisov. Z analizo tega predmeta bomo nadaljevali v naslednjem članku, kjer si bomo podrobneje ogledali glavni modul Agent Tesla. Ne spreglejte!
Mimogrede, 5. decembra vse bralce vabimo na brezplačen interaktivni webinar na temo "Analiza zlonamerne programske opreme: analiza resničnih primerov", kjer bo avtor tega članka, specialist CERT-GIB, na spletu prikazal prvo stopnjo malware analiza - polavtomatsko razpakiranje vzorcev na primeru treh resničnih mini primerov iz prakse, pri analizi pa lahko sodelujete tudi vi. Webinar je primeren za strokovnjake, ki že imajo izkušnje z analizo zlonamernih datotek. Registracija je izključno s službenega e-poštnega naslova: registrirati. Čakam te!