Настављамо нашу серију чланака посвећених анализи злонамерног софтвера. ИН Делимично смо испричали како је Иља Померанцев, специјалиста за анализу малвера у ЦЕРТ Гроуп-ИБ, извршио детаљну анализу датотеке примљене поштом од једне од европских компанија и тамо открио шпијунски софтвер АгентТесла. У овом чланку Иља даје резултате корак по корак анализе главног модула АгентТесла.
Агент Тесла је модуларни шпијунски софтвер који се дистрибуира помоћу модела малвера као услуге под маском легитимног производа за кејлогер. Агент Тесла је способан да извлачи и преноси корисничке акредитиве из претраживача, е-маил клијената и ФТП клијената на сервер нападачима, снима податке међуспремника и снима екран уређаја. У време анализе, званична веб локација програмера није била доступна.
Конфигурациони фајл
Табела испод наводи које функције се примењују на узорак који користите:
| Опис | Вредност |
| Ознака употребе КеиЛоггер-а | прави |
| Ознака коришћења СцреенЛоггер-а | лажан |
| КеиЛоггер интервал слања дневника у минутима | 20 |
| СцреенЛоггер интервал слања дневника у минутима | 20 |
| Ознака за руковање тастером Бацкспаце. Нетачно – само евидентирање. Тачно – брише претходни тастер | лажан |
| ЦНЦ тип. Опције: смтп, вебпанел, фтп | sMTP |
| Ознака за активацију нити за завршетак процеса са листе „%филтер_лист%“ | лажан |
| Заставица за онемогућавање УАЦ-а | лажан |
| Заставица за онемогућавање менаџера задатака | лажан |
| Заставица за онемогућавање ЦМД-а | лажан |
| Покрени заставицу за онемогућавање прозора | лажан |
| Ознака за онемогућавање прегледача регистра | лажан |
| Онемогућите ознаку тачака враћања система | прави |
| Ознака за онемогућавање контролне табле | лажан |
| МСЦОНФИГ заставица за онемогућавање | лажан |
| Означите да бисте онемогућили контекстни мени у Екплореру | лажан |
| Пин флаг | лажан |
| Путања за копирање главног модула када га качите у систем | %стартупфолдер% %инсфолдер%%инснаме% |
| Ознака за подешавање атрибута „Систем“ и „Скривени“ за главни модул додељен систему | лажан |
| Означите за поновно покретање када је закачено на систем | лажан |
| Ознака за премештање главног модула у привремену фасциклу | лажан |
| УАЦ заобилазница | лажан |
| Формат датума и времена за евидентирање | гггг-ММ-дд ХХ:мм:сс |
| Ознака за коришћење програмског филтера за КеиЛоггер | прави |
| Тип филтрирања програма. 1 – назив програма се тражи у насловима прозора 2 – име програма се тражи у називу процеса прозора |
1 |
| Програмски филтер | "Фејсбук" "твитер" "Гмаил" "инстаграм" "филм" "скипе" "порно" "хацк" "вхатсапп" "раздор" |
Прикључивање главног модула на систем
Ако је одговарајућа заставица постављена, главни модул се копира на путању наведену у конфигурацији као путању која ће бити додељена систему.
У зависности од вредности из конфигурације, датотеци се додељују атрибути „Скривени“ и „Системски“.
Аутоматско покретање обезбеђују две гране регистра:
- ХКЦУ софтверМицрософтВиндовсЦуррентВерсионРун%инсрегнаме%
- ХКЦУСОФТВАРЕМицрософтВиндовсЦуррентВерсионЕкплорерСтартупАппроведРун %инсрегнаме%
Пошто се боотлоадер убацује у процес РегАсм, постављање перзистентне заставице за главни модул доводи до прилично занимљивих последица. Уместо да сам себе копира, малвер је приложио оригиналну датотеку систему РегАсм.еке, током којег је извршена ињекција.
Интеракција са Ц&Ц
Без обзира на метод који се користи, мрежна комуникација почиње добијањем спољне ИП адресе жртве помоћу ресурса [.]амазонавс[.]цом/.
Следеће описује методе мрежне интеракције представљене у софтверу.
вебпанел
Интеракција се одвија преко ХТТП протокола. Злонамерни софтвер извршава ПОСТ захтев са следећим заглављима:
- Кориснички агент: Мозилла/5.0 (Виндовс У Виндовс НТ 6.1 ру рв:1.9.2.3) Гецко/20100401 Фирефок/4.0 (.НЕТ ЦЛР 3.5.30729)
- Веза: Буди жив
- Цонтент-Типе: апплицатион/к-ввв-форм-урленцодед
Адреса сервера је одређена вредношћу %ПостУРЛ%. Шифрована порука се шаље у параметру «П». Механизам шифровања је описан у одељку „Алгоритми шифровања“ (2. метод).
Послана порука изгледа овако:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Параметар тип означава тип поруке:
хвид — МД5 хеш се снима из вредности серијског броја матичне плоче и ИД-а процесора. Највероватније се користи као Усер ИД.
време — служи за пренос тренутног времена и датума.
пцнаме - дефинисан као /.
логдата — подаци из дневника.
Када преносите лозинке, порука изгледа овако:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Следе описи украдених података у формату нцлиент[]={0}нлинк[]={1}корисничко име[]={2}нпассворд[]={3}.
sMTP
Интеракција се одвија преко СМТП протокола. Послано писмо је у ХТМЛ формату. Параметар ТЕЛО Изгледа:
Заглавље писма има општи облик: / . Садржај писма, као и његови прилози, нису шифровани.
Интеракција се одвија преко ФТП протокола. Датотека са именом се преноси на наведени сервер _-_.хтмл. Садржај датотеке није шифрован.
Алгоритми за шифровање
Овај случај користи следеће методе шифровања:
КСНУМКС метода
Овај метод се користи за шифровање стрингова у главном модулу. Алгоритам који се користи за шифровање је АЕС.
Улаз је шестоцифрени децимални број. На њему се врши следећа трансформација:
ф(к) = (((к >> 2 - 31059) ^ 6380) - 1363) >> 3
Добијена вредност је индекс за уграђени низ података.
Сваки елемент низа је низ ДВОРД. Приликом спајања ДВОРД добија се низ бајтова: прва 32 бајта су кључ за шифровање, затим 16 бајтова вектора иницијализације, а преостали бајтови су шифровани подаци.
КСНУМКС метода
Коришћен алгоритам 3ДЕС у режиму ЕЦБ са допуном у целим бајтовима (ПКЦС7).
Кључ је одређен параметром %урлкеи%, међутим, шифровање користи свој МД5 хеш.
Злонамерна функционалност
Узорак који се проучава користи следеће програме за имплементацију своје злонамерне функције:
КеиЛоггер
Ако постоји одговарајућа ознака малвера помоћу функције ВинАПИ СетВиндовсХоокЕк додељује сопствени руковалац за догађаје притиска тастера на тастатури. Функција руковаоца почиње добијањем наслова активног прозора.
Ако је постављена ознака за филтрирање апликације, филтрирање се врши у зависности од наведеног типа:
- назив програма се тражи у насловима прозора
- име програма се тражи у називу процеса прозора
Затим се у дневник додаје запис са информацијама о активном прозору у формату:
Затим се снимају информације о притиснутом тастеру:
| Кључ | Запис |
| Повратник | У зависности од ознаке за обраду тастера Бацкспаце: Фалсе – {БАЦК} Тачно – брише претходни тастер |
| ТАСТЕР ЗА ВЕЛИКА СЛОВА | {ТАСТЕР ЗА ВЕЛИКА СЛОВА} |
| ЕСЦ | {ИЗАЋИ} |
| ПагеУп | {Страна горе} |
| Доле | ↓ |
| ДЕЛЕТЕ | {ДЕЛ} |
| " | " |
| F5 | {Ф5} |
| & | & |
| ФКСНУМКС | {Ф10} |
| ТАБ | {ТАБ} |
| < | < |
| > | > |
| Спаце | |
| F8 | {Ф8} |
| ФКСНУМКС | {Ф12} |
| F9 | {Ф9} |
| АЛТ + ТАБ | {АЛТ+ТАБ} |
| КРАЈ | {КРАЈ} |
| F4 | {Ф4} |
| F2 | {Ф2} |
| ЦТРЛ | {ЦТРЛ} |
| F6 | {Ф6} |
| У праву | → |
| Up | ↑ |
| F1 | {Ф1} |
| лево | ← |
| ПагеДовн | {Страна доле} |
| Убацити | {Инсерт} |
| Победити | {Победити} |
| Нумеричка тастатура | {Тастер за закључавање бројчане тастатуре} |
| ФКСНУМКС | {Ф11} |
| F3 | {Ф3} |
| ДОМ | {КУЋА} |
| ЕНТЕР | {ЕНТЕР} |
| АЛТ + ФКСНУМКС | {АЛТ+Ф4} |
| F7 | {Ф7} |
| Други кључ | Знак је написан великим или малим словима у зависности од положаја тастера ЦапсЛоцк и Схифт |
На одређеној фреквенцији, прикупљени дневник се шаље серверу. Ако пренос није успео, евиденција се чува у датотеци %ТЕМП%лог.тмп у формату:
Када се тајмер активира, датотека ће бити пребачена на сервер.
СцреенЛоггер
На одређеној фреквенцији, злонамерни софтвер прави снимак екрана у формату Јпег са значењем Квалитетна једнако 50 и сачува га у датотеку %АППДАТА %.јпг. Након преноса, датотека се брише.
ЦлипбоардЛоггер
Ако је постављена одговарајућа заставица, у пресретнутом тексту се врше замене према табели испод.
Након овога, текст се убацује у дневник:
ПассвордСтеалер
Малвер може да преузме лозинке из следећих апликација:
| Прегледачи | Маил цлиентс | ФТП клијенти |
| хром | Outlook | ФилеЗилла |
| фирефок | тхундербирд | ВС_ФТП |
| ИЕ/Едге | фокмаил | ВинСЦП |
| сафари | Опера Маил | ЦореФТП |
| Опера Бровсер | ИнцредиМаил | ФТП Навигатор |
| иандек | Поцоммаил | ФласхФКСП |
| цомодо | Еудора | СмартФТП |
| ЦхромеПлус | ТхеБат | ФТЦоммандер |
| Хром | Поштанско сандуче | |
| Бакља | ЦлавсМаил | |
| КСНУМКССтар | ||
| Амиго | ||
| БравеСофтваре | Јаббер клијенти | ВПН клијенти |
| ЦентБровсер | Пси/Пси+ | Отворите ВПН |
| Цхедот | ||
| ЦоцЦоц | ||
| Елементс Бровсер | Менаџери преузимања | |
| Епиц претраживач приватности | Интернет Довнлоад Манагер | |
| Комета | ЈДовнлоадер | |
| Орбитум | ||
| Спутњик | ||
| уЦозМедиа | ||
| Вивалди | ||
| Фирефок | ||
| стадо претраживач | ||
| УЦ Бровсер | ||
| Црни соко | ||
| Цибер Фок | ||
| К-Мелеон | ||
| ИцеЦат | ||
| ИцеДрагон | ||
| ПалеМоон | ||
| водена лисица | ||
| Фалкон Бровсер |
Противљење динамичкој анализи
- Употреба функције Спавати. Омогућава вам да заобиђете неке сандбокове до истека времена
- Уништавање нити Зоне.Идентифиер. Омогућава вам да сакријете чињеницу преузимања датотеке са Интернета
- У параметру %филтер_лист% наводи листу процеса које ће малвер прекинути у интервалима од једне секунде
- Искључивање УАЦ
- Онемогућавање менаџера задатака
- Искључивање ЦМД
- Онемогућавање прозора «Виполнить»
- Онемогућавање контролне табле
- Онемогућавање алата РегЕдит
- Онемогућавање тачака враћања система
- Онемогућите контекстни мени у Екплореру
- Искључивање МСЦОНФИГ
- Заобићи УАЦ:
Неактивне функције главног модула
Током анализе главног модула идентификоване су функције које су биле одговорне за ширење по мрежи и праћење положаја миша.
Црв
Догађаји за повезивање преносивих медија се прате у посебној нити. Када је повезан, злонамерни софтвер са именом се копира у корен система датотека сцр.еке, након чега тражи датотеке са екстензијом лнк. Свачији тим лнк промене у цмд.еке /ц старт сцр.еке&старт & екит.
Сваки директоријум у корену медија добија атрибут "Сакривен" и креира се датотека са екстензијом лнк са именом скривеног директоријума и командом цмд.еке /ц старт сцр.еке&екплорер /роот,"%ЦД%" и изађи.
МоусеТрацкер
Метод пресретања је сличан оном који се користи за тастатуру. Ова функционалност је још увек у развоју.
Активност датотека
| Пут | Опис |
| %Темп%темп.тмп | Садржи бројач за покушаје заобилажења УАЦ-а |
| %стартупфолдер%%инсфолдер%%инснаме% | Путања која треба да се додели ХПЕ систему |
| %Темп%тмпГ{Тренутно време у милисекундама}.тмп | Путања за резервну копију главног модула |
| %Темп%лог.тмп | Лог фајл |
| %АппДата%{Произвољна секвенца од 10 знакова}.јпег | Снимке екрана |
| Ц:УсерсПублиц{Произвољна секвенца од 10 знакова}.вбс | Путања до вбс датотеке коју покретач може да користи за повезивање са системом |
| %Темп%{Име прилагођеног фолдера}{Име датотеке} | Путања коју користи покретач за повезивање са системом |
Профил нападача
Захваљујући чврсто кодираним подацима за аутентификацију, успели смо да приступимо командном центру.
Ово нам је омогућило да идентификујемо коначну е-пошту нападача:
јунаид[.]у***@гмаил[.]цом.
Име домена командног центра је регистровано на пошту сг***@гмаил[.]цом.
Закључак
Током детаљне анализе малвера коришћеног у нападу, успели смо да утврдимо његову функционалност и добијемо најпотпунију листу индикатора компромитовања релевантних за овај случај. Разумевање механизама мрежне интеракције између малвера омогућило је давање препорука за прилагођавање рада алата за безбедност информација, као и писање стабилних ИДС правила.
Главна опасност АгентТесла попут ДатаСтеалер-а у томе што не мора да се обавеже на систем или да чека контролну команду да изврши своје задатке. Када се нађе на машини, она одмах почиње да прикупља приватне информације и преноси их у ЦнЦ. Ово агресивно понашање је на неки начин слично понашању рансомваре-а, са једином разликом што овај други чак и не захтева мрежну везу. Ако наиђете на ову породицу, након чишћења зараженог система од самог малвера, свакако би требало да промените све лозинке које би, бар теоретски, могле да се сачувају у некој од горе наведених апликација.
Гледајући унапред, рецимо да нападачи шаљу АгентТесла, почетни покретач се мења веома често. Ово вам омогућава да останете непримећени од стране статичких скенера и хеуристичких анализатора у време напада. А тенденција ове породице да одмах започне своје активности чини системске мониторе бескорисним. Најбољи начин за борбу против АгентТесле је прелиминарна анализа у сандбоку.
У трећем чланку ове серије погледаћемо друге коришћене боотлоадере АгентТесла, а такође проучавају процес њиховог полуаутоматског распакивања. Не пропустите!
Хасх
| СХАКСНУМКС |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
Ц&Ц
| УРЛ адреса |
| сина-ц0м[.]ицу |
| смтп[.]сина-ц0м[.]ицу |
РегКеи
| регистар |
| ХКЦУСофтвареМицрософтВиндовсЦуррентВерсионРун{Назив скрипте} |
| ХКЦУСофтверМицрософтВиндовсЦуррентВерсионРун%инсрегнаме% |
| ХКЦУСОФТВАРЕМицрософтВиндовсЦуррентВерсионЕкплорерСтартупАппроведРун%инсрегнаме% |
Мутек
Нема индикатора.
Филес
| Активност датотека |
| %Темп%темп.тмп |
| %стартупфолдер%%инсфолдер%%инснаме% |
| %Темп%тмпГ{Тренутно време у милисекундама}.тмп |
| %Темп%лог.тмп |
| %АппДата%{Произвољна секвенца од 10 знакова}.јпег |
| Ц:УсерсПублиц{Произвољна секвенца од 10 знакова}.вбс |
| %Темп%{Име прилагођеног фолдера}{Име датотеке} |
Информације о узорцима
| Име | Непознат |
| МДКСНУМКС | F7722DD8660B261EA13B710062B59C43 |
| СХАКСНУМКС | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| СХАКСНУМКС | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| тип | ПЕ (.НЕТ) |
| veličina | 327680 |
| ОригиналНаме | АЗЗРИДКГГСЛТИФУУБЦЦРРЦУМРКТОКСФВПДКГАГПУЗИ_20190701133545943.еке |
| Датум печат | 01.07.2019 |
| Компајлер | ВБ.НЕТ |
| Име | ИЕЛибрари.длл |
| МДКСНУМКС | BFB160A89F4A607A60464631ED3ED9FD |
| СХАКСНУМКС | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| СХАКСНУМКС | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| тип | ПЕ (.НЕТ ДЛЛ) |
| veličina | 16896 |
| ОригиналНаме | ИЕЛибрари.длл |
| Датум печат | 11.10.2016 |
| Компајлер | Мицрософт Линкер (48.0*) |
Извор: ввв.хабр.цом