Ne vazhdojmë serinë tonë të artikujve kushtuar analizës së malware. NË Pjesërisht, ne treguam se si Ilya Pomerantsev, një specialist i analizës së malware në CERT Group-IB, kreu një analizë të detajuar të një skedari të marrë me postë nga një prej kompanive evropiane dhe zbuloi atje spyware Agjenti Tesla. Në këtë artikull, Ilya ofron rezultatet e një analize hap pas hapi të modulit kryesor Agjenti Tesla.
Agent Tesla është një softuer modular spiunimi i shpërndarë duke përdorur një model malware-si-shërbim nën maskën e një produkti legjitim të keylogger. Agjenti Tesla është i aftë të nxjerrë dhe transmetojë kredencialet e përdoruesve nga shfletuesit, klientët e postës elektronike dhe klientët FTP te serveri te sulmuesit, të regjistrojë të dhënat e clipboard-it dhe të kapë ekranin e pajisjes. Në kohën e analizës, faqja zyrtare e zhvilluesve nuk ishte e disponueshme.
Skedari i konfigurimit
Tabela e mëposhtme liston se cili funksionalitet zbatohet për mostrën që po përdorni:
| Përshkrim | Vlerë |
| Flamuri i përdorimit të KeyLogger | i vërtetë |
| Flamuri i përdorimit të ScreenLogger | i rremë |
| Intervali i dërgimit të regjistrit të KeyLogger në minuta | 20 |
| Intervali i dërgimit të regjistrit të ScreenLogger në minuta | 20 |
| Flamuri i trajtimit të çelësit të Backspace. E rreme - vetëm prerje. E vërtetë - fshin çelësin e mëparshëm | i rremë |
| Lloji CNC. Opsionet: smtp, webpanel, ftp | SMTP |
| Flamuri i aktivizimit të temave për përfundimin e proceseve nga lista "%filter_list%" | i rremë |
| Flamuri i çaktivizimit të UAC | i rremë |
| Task Manager çaktivizon flamurin | i rremë |
| Flamuri i çaktivizimit të CMD | i rremë |
| Flamuri i çaktivizimit të dritares së ekzekutimit | i rremë |
| Flamuri i çaktivizimit të shikuesit të regjistrit | i rremë |
| Çaktivizo flamurin e pikave të rivendosjes së sistemit | i vërtetë |
| Flamuri i çaktivizimit të panelit të kontrollit | i rremë |
| MSCONFIG çaktivizoni flamurin | i rremë |
| Flamuroni për të çaktivizuar menynë e kontekstit në Explorer | i rremë |
| Flamuri pin | i rremë |
| Rruga për kopjimin e modulit kryesor kur e lidhni atë në sistem | %startupfolder% %insfolder%%insname% |
| Flamuri për vendosjen e atributeve "System" dhe "Hidden" për modulin kryesor të caktuar për sistemin | i rremë |
| Flamuri për të kryer një rinisje kur të jetë ngjitur në sistem | i rremë |
| Flamuri për zhvendosjen e modulit kryesor në një dosje të përkohshme | i rremë |
| Flamuri i anashkalimit të UAC | i rremë |
| Formati i datës dhe kohës për regjistrimin | yyyy-MM-dd HH:mm:ss |
| Flamuri për përdorimin e një filtri programi për KeyLogger | i vërtetë |
| Lloji i filtrimit të programit. 1 - emri i programit kërkohet në titujt e dritares 2 – emri i programit kërkohet në emrin e procesit të dritares |
1 |
| Filtri i programit | "facebook" "Cicëroj" "gmail" "instagram" "film" "skype" "porno" "hak" "whatsapp" "mosmarrëveshje" |
Lidhja e modulit kryesor në sistem
Nëse është vendosur flamuri përkatës, moduli kryesor kopjohet në shtegun e specifikuar në konfigurim si shtegu që do t'i caktohet sistemit.
Në varësi të vlerës nga konfigurimi, skedarit i jepen atributet "Hidden" dhe "System".
Autorun ofrohet nga dy degë regjistri:
- Software HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Meqenëse bootloader injekton në proces RegAsm, vendosja e flamurit të vazhdueshëm për modulin kryesor çon në pasoja mjaft interesante. Në vend të kopjimit të vetvetes, malware bashkangjiti skedarin origjinal në sistem RegAsm.exe, gjatë së cilës është kryer injeksioni.
Ndërveprimi me C&C
Pavarësisht nga metoda e përdorur, komunikimi në rrjet fillon me marrjen e IP-së së jashtme të viktimës duke përdorur burimin [.]amazonaws[.]com/.
Më poshtë përshkruan metodat e ndërveprimit të rrjetit të paraqitura në softuer.
uebpaneli
Ndërveprimi zhvillohet nëpërmjet protokollit HTTP. Malware ekzekuton një kërkesë POST me titujt e mëposhtëm:
- Agjenti i përdoruesit: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Lidhja: Keep-Alive
- Lloji i përmbajtjes: aplikacioni/x-www-form-urlencoded
Adresa e serverit specifikohet nga vlera %PostURL%. Mesazhi i koduar dërgohet në parametrin «P». Mekanizmi i enkriptimit përshkruhet në seksion "Algoritmet e kriptimit" (Metoda 2).
Mesazhi i transmetuar duket si ky:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parametër lloj tregon llojin e mesazhit:
hwid — Një hash MD5 regjistrohet nga vlerat e numrit serial të motherboard dhe ID-së së procesorit. Me shumë mundësi përdoret si ID e përdoruesit.
kohë — shërben për transmetimin e orës dhe datës aktuale.
pcname - përcaktuar si /.
log data - të dhënat e regjistrit.
Kur transmetoni fjalëkalime, mesazhi duket si ky:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Më poshtë janë përshkrimet e të dhënave të vjedhura në format client[]={0}nlink[]={1}username[]={2}nfjalëkalimi[]={3}.
SMTP
Ndërveprimi zhvillohet përmes protokollit SMTP. Letra e transmetuar është në format HTML. Parametri TRUPI duket si:
Titulli i letrës ka formën e përgjithshme: / . Përmbajtja e letrës, si dhe bashkëngjitjet e saj, nuk janë të koduara.
Ndërveprimi zhvillohet përmes protokollit FTP. Një skedar me emrin transferohet në serverin e specifikuar _-_.html. Përmbajtja e skedarit nuk është e koduar.
Algoritmet e enkriptimit
Ky rast përdor metodat e mëposhtme të kriptimit:
Metoda 1
Kjo metodë përdoret për të enkriptuar vargjet në modulin kryesor. Algoritmi i përdorur për enkriptim është AES.
Hyrja është një numër dhjetor gjashtëshifror. Transformimi i mëposhtëm kryhet mbi të:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Vlera që rezulton është indeksi për grupin e të dhënave të ngulitura.
Çdo element i grupit është një sekuencë DWORD. Kur bashkohen DWORD fitohet një grup bajtësh: 32 bajtët e parë janë çelësi i enkriptimit, pasuar nga 16 bajtë të vektorit të inicializimit dhe bajtët e mbetur janë të dhënat e enkriptuara.
Metoda 2
Algoritmi i përdorur 3DES në regjimin BQE me mbushje në bajt të tërë (PKCS7).
Çelësi specifikohet nga parametri %urlkey%, megjithatë, enkriptimi përdor hash-in e tij MD5.
Funksionalitet keqdashës
Mostra në studim përdor programet e mëposhtme për të zbatuar funksionin e tij keqdashës:
Regjistruesi i tasteve
Nëse ka një flamur korrespondues malware duke përdorur funksionin WinAPI SetWindowsHookEx cakton mbajtësin e vet për ngjarjet e shtypjes së tastierës në tastierë. Funksioni i mbajtësit fillon duke marrë titullin e dritares aktive.
Nëse është vendosur flamuri i filtrimit të aplikacionit, filtrimi kryhet në varësi të llojit të specifikuar:
- emri i programit kërkohet në titujt e dritareve
- emri i programit kërkohet në emrin e procesit të dritares
Tjetra, një rekord shtohet në regjistër me informacion në lidhje me dritaren aktive në formatin:
Pastaj regjistrohet informacioni në lidhje me tastin e shtypur:
| kyç | Rekord |
| Backspace | Në varësi të flamurit të përpunimit të çelësit Backspace: False – {BACK} E vërtetë - fshin çelësin e mëparshëm |
| KAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Faqja me larte | {Faqja me larte} |
| Poshtë | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | Dhe |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Hapësirë | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| e drejtë | → |
| Up | &arr; |
| F1 | {F1} |
| majtas | ← |
| PageDown | {PageDown} |
| Fut | {Fut} |
| Fitoj | {Fito} |
| Blloko numrat | {Blloko numrat} |
| F11 | {F11} |
| F3 | {F3} |
| BALLINA | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Çelës tjetër | Karakteri është me shkronja të mëdha ose të vogla në varësi të pozicioneve të tasteve CapsLock dhe Shift |
Në një frekuencë të caktuar, regjistri i mbledhur dërgohet në server. Nëse transferimi është i pasuksesshëm, regjistri ruhet në një skedar %TEMP%log.tmp në format:
Kur ndizet kohëmatësi, skedari do të transferohet në server.
ScreenLogger
Në një frekuencë të caktuar, malware krijon një pamje të ekranit në format Jpeg me kuptim Cilësi e barabartë me 50 dhe e ruan atë në një skedar %APPDATA %.jpg. Pas transferimit, skedari fshihet.
ClipboardLogger
Nëse vendoset flamuri i duhur, zëvendësimet bëhen në tekstin e përgjuar sipas tabelës më poshtë.
Pas kësaj, teksti futet në regjistër:
PasswordStealer
Malware mund të shkarkojë fjalëkalime nga aplikacionet e mëposhtme:
| shfletues | Klientët e postës | Klientët FTP |
| krom | Pikëpamje | FileZilla |
| Firefox | zogu i stuhisë | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| ekspeditë gjuetine | Opera Mail | CoreFTP |
| Shfletuesi Opera | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Lakuriqin e natës | Komandanti FTP |
| Kromi | Kuti postare | |
| Pishtar | ClawsMail | |
| 7Star | ||
| Mik | ||
| BraveSoftware | Klientët Jabber | Klientët VPN |
| CentBrowser | Psi/Psi+ | Hap VPN |
| Chedot | ||
| CocCoc | ||
| Shfletuesi i elementeve | Menaxherët e shkarkimit | |
| Shfletuesi i privatësisë epike | Internet Download Manager | |
| Kometa | JDownloader | |
| Orbitumi | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Shfletuesi Flock | ||
| UC Browser | ||
| Black Hawk | ||
| Cyber dhelpra | ||
| K-meleon | ||
| mace akulli | ||
| akulli | ||
| Hëna e Zbehtë | ||
| WaterFox | ||
| Shfletuesi Falkon |
Kundërveprimi ndaj analizës dinamike
- Duke përdorur funksionin Fle. Ju lejon të anashkaloni disa kuti rëre sipas afatit
- Shkatërrimi i një filli Zona.Identifiko. Ju lejon të fshehni faktin e shkarkimit të një skedari nga Interneti
- Në parametrin %filter_liste% specifikon një listë të proceseve që malware do të përfundojë në intervale prej një sekonde
- Shkyçja UAC
- Çaktivizimi i menaxherit të detyrave
- Shkyçja VKM
- Çaktivizimi i një dritareje "Выполнить"
- Çaktivizimi i panelit të kontrollit
- Çaktivizimi i një mjeti RegEdit
- Çaktivizimi i pikave të rikuperimit të sistemit
- Çaktivizo menunë e kontekstit në Explorer
- Shkyçja msconfig
- Bypass UAC:
Karakteristikat joaktive të modulit kryesor
Gjatë analizës së modulit kryesor, u identifikuan funksione që ishin përgjegjëse për përhapjen në rrjet dhe gjurmimin e pozicionit të miut.
Rra
Ngjarjet për lidhjen e mediave të lëvizshme monitorohen në një fije të veçantë. Kur lidhet, malware me emrin kopjohet në rrënjën e sistemit të skedarëve scr.exe, pas së cilës kërkon skedarë me shtesën lnk. Ekipi i të gjithëve lnk ndryshon në cmd.exe /c start scr.exe&start & dil.
Çdo drejtorie në rrënjë të medias i jepet një atribut "I fshehur" dhe krijohet një skedar me shtesën lnk me emrin e drejtorisë së fshehur dhe komandën cmd.exe /c start scr.exe&explorer /root,"%CD%" dhe dil.
MouseTracker
Metoda për kryerjen e përgjimit është e ngjashme me atë të përdorur për tastierën. Ky funksionalitet është ende në zhvillim e sipër.
Aktiviteti i skedarit
| Rruge | Përshkrim |
| %Temp%temp.tmp | Përmban një numërues për përpjekjet e anashkalimit të UAC |
| %startupfolder%%insfolder%%insname% | Rruga që do t'i caktohet sistemit HPE |
| %Temp%tmpG{Koha aktuale në milisekonda}.tmp | Rruga për rezervimin e modulit kryesor |
| %Temp%log.tmp | Skedari i regjistrit |
| %AppData%{Një sekuencë arbitrare prej 10 karakteresh}.jpeg | Fotografitë |
| C:UsersPublic{Një sekuencë arbitrare prej 10 karakteresh}.vbs | Rruga drejt një skedari vbs që ngarkuesi mund të përdorë për të bashkangjitur në sistem |
| %Temp%{Emri i personalizuar i dosjes}Emri i skedarit} | Rruga e përdorur nga ngarkuesi për t'u lidhur me sistemin |
Profili i sulmuesit
Falë të dhënave të vërtetimit me kod të fortë, ne mundëm të fitonim akses në qendrën e komandës.
Kjo na lejoi të identifikonim emailin përfundimtar të sulmuesve:
junaid[.]in***@gmail[.]com.
Emri i domenit të qendrës së komandës regjistrohet në postë sg***@gmail[.]com.
Përfundim
Gjatë një analize të detajuar të malware-it të përdorur në sulm, ne arritëm të përcaktonim funksionalitetin e tij dhe të merrnim listën më të plotë të treguesve të kompromisit që lidhen me këtë rast. Kuptimi i mekanizmave të ndërveprimit të rrjetit midis malware bëri të mundur dhënien e rekomandimeve për rregullimin e funksionimit të mjeteve të sigurisë së informacionit, si dhe shkrimin e rregullave të qëndrueshme IDS.
Rreziku kryesor Agjenti Tesla si DataStealer në atë që nuk ka nevojë të angazhohet në sistem ose të presë për një komandë kontrolli për të kryer detyrat e tij. Pasi të jetë në makinë, ajo menjëherë fillon të mbledhë informacione private dhe e transferon atë në CnC. Kjo sjellje agresive është në një farë mënyre e ngjashme me sjelljen e ransomware, me ndryshimin e vetëm që këta të fundit nuk kërkojnë as lidhje rrjeti. Nëse hasni në këtë familje, pasi të keni pastruar sistemin e infektuar nga vetë malware, duhet të ndryshoni patjetër të gjitha fjalëkalimet që, të paktën teorikisht, mund të ruhen në një nga aplikacionet e listuara më sipër.
Duke parë përpara, le të themi se sulmuesit dërgojnë Agjenti Tesla, ngarkuesi fillestar i nisjes ndryshohet shumë shpesh. Kjo ju lejon të mbeteni pa u vënë re nga skanerët statikë dhe analizuesit heuristikë në momentin e sulmit. Dhe tendenca e kësaj familjeje për të nisur menjëherë aktivitetin i bën monitorët e sistemit të padobishëm. Mënyra më e mirë për të luftuar AgentTesla është analiza paraprake në një sandbox.
Në artikullin e tretë të kësaj serie do të shikojmë ngarkuesit e tjerë të përdorur Agjenti Tesla, dhe gjithashtu studioni procesin e zbërthimit gjysmë automatik të tyre. Mos humbasë!
hashish
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| regjistrimi |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Emri i skriptit} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Mutex
Nuk ka tregues.
Files
| Aktiviteti i skedarit |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Koha aktuale në milisekonda}.tmp |
| %Temp%log.tmp |
| %AppData%{Një sekuencë arbitrare prej 10 karakteresh}.jpeg |
| C:UsersPublic{Një sekuencë arbitrare prej 10 karakteresh}.vbs |
| %Temp%{Emri i personalizuar i dosjes}Emri i skedarit} |
Informacioni i mostrave
| Emër | I panjohur |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Tipi | PE (.NET) |
| Masat | 327680 |
| Emri origjinal | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Vula e datës | 01.07.2019 |
| përpilues | VB.NET |
| Emër | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Tipi | PE (.NET DLL) |
| Masat | 16896 |
| Emri origjinal | IELibrary.dll |
| Vula e datës | 11.10.2016 |
| përpilues | Microsoft Linker (48.0*) |
Burimi: www.habr.com