Faatasi ai ma lenei tusiga matou te faʻamaeʻaina le faasologa o faʻasalalauga faʻapitoa i le auiliiliga o polokalama leaga. IN
I aso nei, o Ilya Pomerantsev, o se tagata tomai faapitoa i suʻesuʻega faʻamaʻi i le CERT Group-IB, o le a talanoa e uiga i le vaega muamua o le suʻesuʻeina o mea leaga - faʻataʻitaʻiga faʻapitoa o faʻataʻitaʻiga a AgentTesla e faʻaaoga ai le faʻataʻitaʻiga o mataupu laiti e tolu mai le faʻataʻitaʻiga a CERT Group-IB faʻapitoa.
E masani lava, o le laasaga muamua i le suʻesuʻeina o malware o le aveesea lea o le puipuiga i le tulaga o se packer, cryptor, protector poʻo le loader. I le tele o tulaga, o lenei faʻafitauli e mafai ona foia e ala i le faʻaogaina o le malware ma le faʻatinoina o le lafoaia, ae o loʻo i ai tulaga e le talafeagai ai lenei metotia. Mo se faʻataʻitaʻiga, afai o le malware o se faʻailoga, pe afai e puipuia ona vaega manatua mai le lafoaia, pe afai o le code o loʻo i ai masini faʻaogaina masini komepiuta, pe afai e toe faʻafou le malware i le taimi lava e amata ai. I ia tulaga, o le mea e taʻua o le "semi-automatic" unpacking e faʻaaogaina, o lona uiga, o le tagata suʻesuʻe e pulea atoatoa le faagasologa ma e mafai ona faʻalavelave i soo se taimi. Sei o tatou mafaufau i lenei faiga e faʻaaoga ai faʻataʻitaʻiga e tolu o le aiga AgentTesla e fai ma faʻataʻitaʻiga. Ose malware e le afaina pe afai e te tapeina lona avanoa feso'otaiga.
Fa'ata'ita'iga Numera 1
O le faila fa'apogai o se pepa MS Word e fa'aogaina ai le fa'aletonu CVE-2017-11882.
O se taunuuga, o le uta e sii mai ma faʻalauiloa.
O le au'ili'iliga o le la'au fa'agasologa ma fa'ailoga o amioga e fa'aalia ai le tui ile fa'agasologa RegAsm.exe.
O lo'o iai fa'ailoga fa'ailoga uiga o AgentTesla.
O le faʻataʻitaʻiga na sii mai o le mea e mafai ona faʻatinoina .NET-faila puipuia e se puipuiga .NET Reactor.
Tatou tatala i le aoga dnSpy x86 ma agai atu i le mea e ulufale ai.
E ala i le alu i le galuega DateTimeOffset, o le a tatou maua le code initialization mo le fou .NET-module. Tatou tuu tulaga malologa i luga o le laina matou te fiafia i ai ma faʻatautaia le faila.
I totonu o se tasi o faʻamau faʻafoʻi e mafai ona e vaʻaia le saini MZ (0x4D 0x5A). Tatou sefe.
O se faila e mafai ona lafoaia o se faletusi malosi lea o se uta, i.e. aveese le uta mai le vaega o punaoa ma faʻalauiloa.
I le taimi lava e tasi, o punaoa manaʻomia lava latou e le o iai i le lapisi. O lo'o iai i le fa'ata'ita'iga matua.
Тилита dnSpy ei ai ni galuega aoga se lua e fesoasoani ia i tatou e fai vave se "Frankenstein" mai faila e lua.
- O le mea muamua e mafai ai ona e "faapipiʻi" se faletusi malosi i totonu o le faʻataʻitaʻiga matua.
- O le lona lua o le toe tusi lea o le code function i le mea e ulufale ai e valaʻau ai le auala manaʻomia o le faletusi faʻapipiʻi faʻapipiʻi.
Matou te faʻasaoina a matou "Frankenstein", seti tulaga malologa i luga o le laina e toe faʻafoʻi mai ai se paʻu faʻatasi ai ma punaoa faʻapipiʻi, ma maua ai se lafoaʻi e ala i tala faʻatusa ma le laasaga muamua.
O lo'o tusia i totonu le lafoa'i lona lua VB.NET o se faila e mafai ona faʻaaogaina e puipuia e se puipuiga e masani ia i tatou ConfuserEx.
A maeʻa ona aveese le puipuiga, matou te faʻaogaina tulafono a le YARA na tusia muamua ma faʻamautinoa o le malware e leʻi faʻapipiʻiina o le AgentTesla.
Fa'ata'ita'iga Numera 2
O le faila faila o se pepa MS Excel. O se macro fausia i totonu e mafua ai le faʻatinoina o tulafono leaga.
O le iʻuga, ua faʻalauiloa le PowerShell script.
O le tusitusiga e faʻamalo le C # code ma tuʻuina atu le pule i ai. O le code lava ia o se bootloader, e mafai foi ona vaʻaia mai le lipoti a le sandbox.
O le uta e mafai ona fa'atinoina .NET- faila.
Tatala le faila i totonu dnSpy x86, e mafai ona e vaʻaia o loʻo faʻafefeteina. Ave'esea fa'alavelave fa'aaoga le aoga de4dot ma toe foi i le auiliiliga.
A e suʻesuʻeina le code, e mafai ona e mauaina le galuega lenei:
O laina fa'ailoga e mata'ina EntryPoint и Faʻasalaga. Matou te tuu tulaga malologa i le laina muamua, tamo'e ma sefe le tau fa'apolopolo byte_0.
O le lafoa'i ua toe iai se talosaga .NET ma puipuia ConfuserEx.
Matou te aveese faʻalavelave faʻaaogaina de4dot ma lafo i dnSpy. Mai le faʻamatalaga faila matou te malamalama o loʻo matou feagai ma CyaX-Sharp loader.
O lenei loader o lo'o i ai le tele o galuega fa'atatau i le su'esu'eina.
O lenei fa'atinoga e aofia ai le fa'aogaina o faiga puipuia o Windows, fa'agata le Windows Defender, fa'apea fo'i ma le sandbox ma masini fa'ata'ita'i. E mafai ona utaina le uta mai le fesoʻotaʻiga pe teu i le vaega o punaoa. O le fa'alauiloa e faia e ala i tui i lana lava fa'agasologa, i se fa'aluaina o ana lava fa'agasologa, po'o i totonu o fa'agasologa MSBuild.exe, vbc.exe и RegSvcs.exe fa'alagolago i le parakalafa na filifilia e le tagata osofa'i.
Ae ui i lea, mo i tatou e le taua tele nai lo AntiDump-galuega e faaopoopo ConfuserEx. E mafai ona maua lona code source i
Ina ia taofia le puipuiga, o le a matou faaaogaina le avanoa dnSpy, lea e mafai ai ona e fa'asa'o IL-fa'ailoga.
Fa'asaoina ma fa'apipi'i tulaga malologa i le laina o le valaʻau i le galuega faʻavasegaina o uta. O loʻo i totonu o le faufale o le vasega autu.
Matou te tatalaina ma lafoai le uta. I le faʻaaogaina o tulafono a le YARA muamua, matou te mautinoa o le AgentTesla lea.
Fa'ata'ita'iga Numera 3
O le faila faila o le executable VB Native PE32- faila.
Entropy su'esu'ega o lo'o fa'aalia ai le i ai o se vaega tele o fa'amatalaga fa'ailoga.
A'o su'esu'eina le pepa talosaga i VB Decompiler e mafai ona e matauina se talaaga pixelated ese.
Entropy kalafi bmp- ata e tutusa ma le entropy kalafi o le uluai faila, ma o le tele o le 85% o le faila faila.
O foliga lautele o le ata e faʻaalia ai le faʻaogaina o le steganography.
Sei o tatou gauai atu i foliga o le laau o le faagasologa, faapea foi ma le i ai o se faailoga tui.
O lo'o fa'ailoa mai ai o lo'o fa'agasolo le tala'ina. Mo Visual Basic loaders (aka VBKrypt poʻo VBInjector) fa'aoga masani shellcode e amatalia le uta, faʻapea foʻi ma le faia o le tui lava ia.
Iloiloga i VB Decompiler fa'aalia le iai o se mea na tupu laʻu i le fomu FegatassocAirballoon2.
Tatou o i IDA pro i le tuatusi fa'apitoa ma su'esu'e le galuega. O le code ua matua faanenefu. O le vaega e fiafia i ai tatou o loʻo tuʻuina atu i lalo.
O iinei e su'e ai le avanoa o le tuatusi mo se saini. O lenei faiga e matua masalosalo lava.
Muamua, o le tuatusi amata su'esu'e 0x400100. O lenei tau e tumau ma e le fetuunai pe a suia le faavae. I tulaga lelei greenhouses o le a faʻaalia ai le iuga PE-le ulutala o le faila faila. Ae ui i lea, o le database e le tumau, e mafai ona suia lona tau, ma o le suʻeina o le tuatusi moni o le saini manaʻomia, e ui lava o le a le mafua ai se suiga fesuisuiai, e mafai ona umi se taimi.
Lona lua, o le uiga o le saini iWGK. Ou te manatu e manino lava o le 4 bytes e laʻititi tele e faʻamautinoa ai le tulaga ese. Ma afai e te amanaia le vaega muamua, o le avanoa o le faia o se mea sese e fai si maualuga.
O le mea moni, o le vaega manaʻomia e faʻapipiʻi i le pito o le mea na maua muamua bmp-ata i le offset 0xA1D0D.
Faatinoga Shellcode faia i vaega e lua. O le mea muamua e faʻamatalaina le tino autu. I lenei tulaga, o le ki e fuafua i le malosi faʻamalosi.
Lafoa'i le mea ua decrypted Shellcode ma vaai i laina.
Muamua, ua tatou iloa nei le galuega e fatu ai se gaioiga a tamaiti: CreateProcessInternalW.
Lona lua, na matou iloa le faiga o le faʻapipiʻiina i le faiga.
Sei o tatou toe foi i le uluai faagasologa. Tatou tuu tulaga malologa i CreateProcessInternalW ma fa'aauau pea le fa'asalaga. Ona sosoo ai lea ma le vaai i le sootaga NtGetContextThread/NtSetContextThread, lea e suia ai le tuatusi amata o le faatinoga i le tuatusi ShellCode.
Matou te faʻafesoʻotaʻi i le faiga na faia ma se debugger ma faʻagaoioia le mea na tupu Fa'agata ile uta/la'u ese ole faletusi, toe amata le faagasologa ma faatali mo le utaina .NET-faletusi.
Fa'aaoga atili ProcessHacker lafoa'i vaega o lo'o iai le fa'aputuina .NET- talosaga.
Matou te taofia uma faiga ma tape le kopi o le malware ua faʻapipiʻi i totonu o le polokalama.
O le faila ua lafo e puipuia e se puipuiga .NET Reactor, lea e mafai ona faigofie ona aveese e faʻaaoga ai se aoga de4dot.
Faʻaaogaina tulafono a le YARA na tusia muamua, matou te mautinoa o le AgentTesla lea.
Se aotelega
O lea la, na matou faʻaalia auiliili le faagasologa o le faʻataʻitaʻiina o faʻataʻitaʻiga semi-autometi e faʻaaoga ai ni tamaʻi laiti se tolu e fai ma faʻataʻitaʻiga, ma suʻesuʻeina foi malware e faʻavae i luga o se mataupu atoa, ma iloa ai o le faʻataʻitaʻiga o loʻo suʻesuʻeina o AgentTesla, faʻavaeina ana galuega ma se lisi atoa o fa'ailoga o le fa'amalieina.
O le auiliiliga o le mea leaga na matou faia e manaʻomia ai le tele o le taimi ma taumafaiga, ma o lenei galuega e tatau ona faia e se tagata faigaluega faʻapitoa i le kamupani, ae le o kamupani uma e sauni e faʻafaigaluega se tagata suʻesuʻe.
O se tasi o 'au'aunaga na tu'uina atu e le Vaega-IB Laboratory of Computer Forensics and Malicious Code Analysis o le tali atu lea i fa'alavelave tau initaneti. Ma ina ia le faʻaumatia e tagata faʻatau le taimi e faʻamaonia ai pepa ma talanoaina i le lotolotoi o se osofaʻiga i luga ole laiga, faʻalauiloa e le Group-IB Taofi Tali atu i Faalavelave, o se 'au'aunaga tali atu i fa'alavelave fa'afuase'i e aofia ai fo'i se la'asaga su'esu'e o mea leaga. E mafai ona maua nisi fa'amatalaga e uiga i lenei mea
Afai e te manaʻo e toe suʻesuʻe pe faʻafefea ona tatala faʻataʻitaʻiga a AgentTesla ma vaʻai pe faʻafefea ona faia e le CERT Group-IB, e mafai ona e sii maia le webinar recording i lenei autu.
puna: www.habr.com