Pjesëmarrja dështoi: le ta ekspozojmë AgentTesla në ujë të pastër. Pjesa 1
Kohët e fundit, një prodhues evropian i pajisjeve të instalimeve elektrike kontaktoi Group-IB - punonjësi i tij mori një letër të dyshimtë me një bashkëngjitje me qëllim të keq në postë. Ilya Pomerantsev, një specialist i analizës së malware në CERT Group-IB, kreu një analizë të detajuar të këtij skedari, zbuloi atje softuerin spiun AgentTesla dhe tregoi se çfarë të prisni nga një malware i tillë dhe sa është i rrezikshëm.
Me këtë postim ne po hapim një seri artikujsh se si të analizojmë skedarë të tillë potencialisht të rrezikshëm dhe presim më kuriozët më 5 dhjetor për një webinar falas interaktiv mbi këtë temë. "Analiza e malware: Analiza e rasteve reale". Të gjitha detajet janë nën prerje.
Mekanizmi i shpërndarjes
Ne e dimë se malware arriti në makinën e viktimës përmes emaileve të phishing. Marrësi i letrës me siguri ishte BCC.
Analiza e titujve tregon se dërguesi i letrës ishte i falsifikuar. Në fakt, letra u largua me vps56[.]oneworldhosting[.]com.
Shtojca e emailit përmban një arkiv WinRar qoute_jpeg56a.r15 me një skedar të ekzekutueshëm me qëllim të keq QOUTE_JPEG56A.exe brenda
Ekosistemi i malware
Tani le të shohim se si duket ekosistemi i malware në studim. Diagrami më poshtë tregon strukturën e tij dhe drejtimet e ndërveprimit të komponentëve.
Tani le të shohim më në detaje secilin nga komponentët e malware.
Ngarkues
Skedar origjinal QOUTE_JPEG56A.exe është një përpiluar AutoIt v3 skenar.
Për të errësuar skenarin origjinal, një errësues me të ngjashme PELock AutoIT-Obfuscator karakteristikat.
Deobfuzimi kryhet në tre faza:
Heqja e turbullimit Për-Nëse
Hapi i parë është të rivendosni rrjedhën e kontrollit të skriptit. Rrafshimi i rrjedhës së kontrollit është një nga mënyrat më të zakonshme për të mbrojtur kodin binar të aplikacionit nga analiza. Transformimet konfuze rrisin në mënyrë dramatike kompleksitetin e nxjerrjes dhe njohjes së algoritmeve dhe strukturave të të dhënave.
Rikuperimi i rreshtit
Dy funksione përdoren për të enkriptuar vargjet:
gdorizabegkvfca - Kryen dekodim të ngjashëm me Base64
xgacyukcyzxz - bajt i thjeshtë XOR i vargut të parë me gjatësinë e të dytit
Heqja e turbullimit BinaryToString и zbatoj
Ngarkesa kryesore ruhet në një formë të ndarë në drejtori Fonts seksionet e burimeve të skedarit.
Rendi i ngjitjes është si më poshtë: TIEQHCXWFG, IKE, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Funksioni WinAPI përdoret për të deshifruar të dhënat e nxjerra CryptDecrypt, dhe çelësi i sesionit i krijuar në bazë të vlerës përdoret si çelës fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Skedari i ekzekutueshëm i deshifruar dërgohet në hyrjen e funksionit RunPE, e cila realizon ProcessInject в RegAsm.exe duke përdorur të integruar ShellCode (i njohur edhe si RunPE ShellCode). Autorësia i përket përdoruesit të forumit spanjoll të pazbulueshme[.]net me pseudonimin Wardow.
Vlen gjithashtu të theksohet se në një nga temat e këtij forumi, një pengues për Në çati me veti të ngjashme të identifikuara gjatë analizës së mostrës.
Vetë ShellCode mjaft e thjeshtë dhe tërheq vëmendjen e huazuar vetëm nga grupi i hakerëve AnunakCarbanak. Funksioni i hashimit të thirrjeve API.
Jemi në dijeni edhe për rastet e përdorimit Shellcode franceze versione të ndryshme.
Përveç funksionalitetit të përshkruar, ne identifikuam gjithashtu funksione joaktive:
Bllokimi i përfundimit manual të procesit në menaxherin e detyrave
Rinisja e një procesi fëmijësh kur ai përfundon
Anashkaloni UAC
Ruajtja e ngarkesës në një skedar
Demonstrimi i dritareve modale
Në pritje të ndryshimit të pozicionit të kursorit të miut
AntiVM dhe AntiSandbox
Vetë shkatërrim
Pompimi i ngarkesës nga rrjeti
Ne e dimë se një funksionalitet i tillë është tipik për mbrojtësin CypherIT, i cili, me sa duket, është bootloader në fjalë.
Moduli kryesor i softuerit
Më tej, ne do të përshkruajmë shkurtimisht modulin kryesor të malware dhe do ta shqyrtojmë më në detaje në artikullin e dytë. Në këtë rast, bëhet fjalë për një aplikim në . NET.
Gjatë analizës, ne zbuluam se ishte përdorur një obfuscator ConfuserEX.
IELibrary.dll
Biblioteka ruhet si një burim i modulit kryesor dhe është një shtojcë e njohur për të Agjenti Tesla, i cili ofron funksionalitet për nxjerrjen e informacioneve të ndryshme nga shfletuesit Internet Explorer dhe Edge.
Agent Tesla është një softuer modular spiunimi i shpërndarë duke përdorur një model malware-si-shërbim nën maskën e një produkti legjitim të keylogger. Agjenti Tesla është i aftë të nxjerrë dhe transmetojë kredencialet e përdoruesve nga shfletuesit, klientët e postës elektronike dhe klientët FTP te serveri te sulmuesit, të regjistrojë të dhënat e clipboard-it dhe të kapë ekranin e pajisjes. Në kohën e analizës, faqja zyrtare e zhvilluesve nuk ishte e disponueshme.
Pika hyrëse është funksioni GetSavedPasswords Klasa InternetExplorer.
Në përgjithësi, ekzekutimi i kodit është linear dhe nuk përmban asnjë mbrojtje kundër analizës. Vetëm funksioni i parealizuar meriton vëmendje GetSavedCookies. Me sa duket, funksionaliteti i shtojcës supozohej të zgjerohej, por kjo nuk u bë kurrë.
Bashkëngjitja e ngarkuesit në sistem
Le të studiojmë se si bootloader është bashkangjitur në sistem. Mostra në studim nuk kryen ankorimin, por në ngjarje të ngjashme ndodh sipas skemës së mëposhtme:
Në dosje C: Përdoruesit Publik është krijuar skenari Visual Basic
Shembull i skenarit:
Përmbajtja e skedarit të ngarkuesit mbushet me një karakter null dhe ruhet në dosje %Temp%<Emri i personalizuar i dosjes <Emri i skedarit>
Një çelës autorun krijohet në regjistër për skedarin e skriptit HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Emri i skriptit>
Pra, bazuar në rezultatet e pjesës së parë të analizës, ne ishim në gjendje të përcaktonim emrat e familjeve të të gjithë përbërësve të malware në studim, të analizonim modelin e infeksionit dhe gjithashtu të merrnim objekte për të shkruar nënshkrime. Ne do të vazhdojmë analizën tonë të këtij objekti në artikullin vijues, ku do të shohim më në detaje modulin kryesor Agjenti Tesla. Mos humbasë!
Nga rruga, më 5 dhjetor ftojmë të gjithë lexuesit në një webinar interaktiv falas me temën "Analiza e malware: analiza e rasteve reale", ku autori i këtij artikulli, një specialist CERT-GIB, do të tregojë në internet fazën e parë të Analiza e malware - shpaketimi gjysmë automatik i mostrave duke përdorur shembullin e tre mini-rasteve reale nga praktika, dhe ju mund të merrni pjesë në analizë. Webinari është i përshtatshëm për specialistë që tashmë kanë përvojë në analizimin e skedarëve me qëllim të keq. Regjistrimi bëhet rreptësisht nga emaili i korporatës: regjistrohu tani. Duke pritur për ju!