Ka sengoloa sena re phethela letoto la likhatiso tse fanoeng tlhahlobong ea software e mpe. IN
Kajeno Ilya Pomerantsev, setsebi sa tlhahlobo ea malware ho CERT Group-IB, o tla bua ka mohato oa pele oa tlhahlobo ea malware - ho notlolla lisampole tsa AgentTesla ho sebelisa mohlala oa linyeoe tse tharo tse tsoang ts'ebetsong ea litsebi tsa CERT Group-IB.
Ka tloaelo, mohato oa pele oa tlhahlobo ea malware ke ho tlosoa ha tšireletso ka mokhoa oa packer, cryptor, mosireletsi kapa loader. Maemong a mangata, bothata bona bo ka rarolloa ka ho tsamaisa malware le ho lahla, empa ho na le maemo ao mokhoa ona o sa lokelang. Ka mohlala, haeba malware e le encryptor, haeba e sireletsa libaka tsa eona tsa mohopolo hore li se ke tsa lahleloa, haeba khoutu e na le mekhoa ea ho lemoha mochine, kapa haeba malware e qala hape hang ka mor'a ho qala. Maemong a joalo, ho sebelisoa seo ho thoeng ke "semi-automatic" unpacking, ke hore, mofuputsi o na le taolo e feletseng holim'a ts'ebetso mme a ka kenella ka nako leha e le efe. Ha re nahaneng ka mokhoa ona re sebelisa mehlala e meraro ea lelapa la AgentTesla e le mohlala. Ena ke malware a batlang a se kotsi haeba o tima phihlello ea marang-rang.
Mohlala oa nomoro ea 1
Faele ea mohloli ke tokomane ea MS Word e sebelisang monyetla oa ho ba kotsing ea CVE-2017-11882.
Ka lebaka leo, mojaro oa moputso o jarollotsoe le ho qalisoa.
Tlhahlobo ea sefate sa ts'ebetso le matšoao a boitšoaro e bonts'a ente ts'ebetsong RegAsm.exe.
Ho na le matšoao a boitšoaro a AgentTesla.
Mohlala o jarollotsoeng ke o ka phethisoang .NET-faele e sirelelitsoeng ke mosireletsi .NET Reactor.
Ha re e bule ka har'a lisebelisoa dnSpy x86 ebe o fetela pele moo ho kenang teng.
Ka ho ea tšebetsong DateTimeOffset, re tla fumana khoutu ea ho qala bakeng sa e ncha .NET-mojule. Ha re beheng qhetsola mocheng oo re o thahasellang le ho tsamaisa faele.
Ho e 'ngoe ea li-buffers tse khutlisitsoeng u ka bona signature ea MZ (0x4D 0x5A). A re e bolokeng.
Faele e lahliloeng e ka phethahatsoang ke laebrari e matla eo e leng mojaro, ke hore. e hula moputso ho tsoa karolong ea lisebelisoa ebe oa e qala.
Ka nako e ts'oanang, lisebelisoa tse hlokahalang ka botsona ha li eo thotobolong. Li ka mohlala oa motsoali.
Tšebeliso dnSpy e na le lits'ebetso tse peli tse sebetsang tse tla re thusa ho theha "Frankenstein" kapele ho tsoa lifaeleng tse peli tse amanang.
- Ea pele e u lumella ho "beha" laebrari e matla ho sampole ea motsoali.
- Ea bobeli ke ho ngola hape khoutu ea ts'ebetso sebakeng sa ho kena ho letsetsa mokhoa o lakatsehang oa laebrari e matla e kentsoeng.
Re boloka "Frankenstein" ea rona, e behiloeng qhetsola moleng o khutlisetsang buffer e nang le lisebelisoa tse sirelelitsoeng, le ho hlahisa thotobolo ka papiso le sethala se fetileng.
Thotobolo ea bobeli e ngotsoe ka hare VB.NET faele e sebetsang e sirelelitsoeng ke mosireletsi eo re mo tloaetseng ConfuserEx.
Ka mor'a ho tlosa mosireletsi, re sebelisa melao ea YARA e ngotsoeng pejana mme re etsa bonnete ba hore malware a sa koaloang ke AgentTesla.
Mohlala oa nomoro ea 2
Faele ea mohloli ke tokomane ea MS Excel. Macro e hahelletsoeng e baka ts'ebetso ea khoutu e mpe.
Ka lebaka leo, mongolo oa PowerShell oa qalisoa.
Sengoloa se hlakola khoutu ea C # ebe e fetisetsa taolo ho eona. Khoutu ka boeona ke bootloader, joalo ka ha e ka bonoa hape ho tsoa tlalehong ea sandbox.
Lekhetho le ka phethahatsoa .NET-faele.
Ho bula faele ho dnSpy x86, u ka bona hore e fosahetse. Ho tlosa obfuscation ho sebelisa lisebelisoa de4dot le ho khutlela tlhahlobong.
Ha u hlahloba khoutu, u ka fumana ts'ebetso e latelang:
Lithapo tse kentsoeng lia khahla EntryPoint и Kopa. Re beha qhetsola moleng oa pele, matha 'me u boloke boleng ba buffer byte_0.
Thotobolo ke kopo hape .NET le ho sireletsoa ConfuserEx.
Re tlosa obfuscation re sebelisa de4dot le ho kenya ho dnSpy. Ho tsoa ho tlhaloso ea faele re utloisisa hore re tobane le eona Sesebelisoa sa CyaX-Sharp.
Sesebelisoa sena se na le ts'ebetso e pharalletseng ea anti-analysis.
Ts'ebetso ena e kenyelletsa ho iphapanyetsa lisebelisoa tsa ts'ireletso tsa Windows tse hahelletsoeng ka hare, ho tima Windows Defender, hammoho le sandbox le mekhoa ea ho lemoha mochini. Hoa khoneha ho laela mojaro oa moputso ho tloha marang-rang kapa ho o boloka karolong ea lisebelisoa. Ho qala ho etsoa ka ente ts'ebetsong ea eona, ka mokhoa o ts'oanang oa ts'ebetso ea eona, kapa ts'ebetsong MSBuild.exe, vbc.exe и RegSvcs.exe ho itšetlehile ka parameter e khethiloeng ke mohlaseli.
Leha ho le joalo, ho rona ha ba bohlokoa ho feta AntiDump-mosebetsi o eketsang ConfuserEx. Mohloli oa eona o ka fumanoa ho
Ho thibela ts'ireletso, re tla sebelisa monyetla dnSpy, e u lumellang hore u hlophise IL-khoutu.
Boloka le ho kenya qhetsola ho ea moleng oa ho letsetsa mosebetsi oa ho hlakisa moroalo oa moputso. E fumaneha ho moetsi oa sehlopha se seholo.
Re qala le ho lahla mojaro oa moputso. Re sebelisa melao ea YARA e ngotsoeng pele, re etsa bonnete ba hore sena ke AgentTesla.
Mohlala oa nomoro ea 3
Faele ea mohloli ke eona e ka phethisoang VB Native PE32-faele.
Tlhahlobo ea Entropy e bonts'a boteng ba karolo e kholo ea data e patiloeng.
Ha o sekaseka foromo ea kopo ka VB Decompiler u ka hlokomela semelo se makatsang sa pixelated.
Kerafo ea entropy bmp-Image e ts'oana le graph ea entropy ea faele ea mantlha, mme boholo ke 85% ea boholo ba faele.
Ponahalo e akaretsang ea setšoantšo e bontša tšebeliso ea steganography.
A re ele hloko ponahalo ea sefate sa ts'ebetso, hammoho le ho ba teng ha letšoao la ente.
Sena se bontša hore ho ntse ho tsoela pele ho phutholla. Bakeng sa lisebelisoa tsa Visual Basic (aka VBKrypt kapa VBInjector) tšebeliso e tloaelehileng shellcode ho qala mojaro oa moputso, hammoho le ho etsa ente ka boeona.
Analysis ka VB Decompiler e bontshitse boteng ba ketsahalo mojaro ka foromo FegatassocAirballoon2.
Ha re eeng ho IDA pro atereseng e boletsoeng 'me u ithute mosebetsi. Khoutu e hlakisitsoe haholo. Sekhechana se re khahlang se hlahisoa ka tlase.
Mona sebaka sa aterese ea ts'ebetso se hlahlojoa bakeng sa ho saena. Mokhoa ona oa belaetsa haholo.
Taba ea pele, aterese e qala ho skena 0x400100. Boleng bona bo tsitsitse mme ha bo lokisoe ha setsi se suthisoa. Maemong a loketseng a sethopo se tla bontša qetello PE-hlooho ea faele e phethiloeng. Leha ho le joalo, database ha e tsitsitse, boleng ba eona bo ka fetoha, 'me ho batla aterese ea sebele ea saena e hlokahalang, le hoja e ke ke ea baka ho phalla ho fapaneng, ho ka nka nako e telele haholo.
Ea bobeli, moelelo oa tekeno iWGK. Ke nahana hore ho hlakile hore li-byte tse 4 li nyane haholo ho netefatsa bo ikhethang. 'Me haeba u ela hloko ntlha ea pele, monyetla oa ho etsa phoso o phahame haholo.
Ha e le hantle, sekhechana se hlokahalang se khomaretsoe qetellong ea se fumanoeng pele bmp- litšoantšo ka offset 0xA1D0D.
Ho phethahala Shellcode phethahatsoa ka mekhahlelo e 'meli. Ea pele e hlalosa 'mele oa sehlooho. Tabeng ena, senotlolo se khethoa ke matla a sehlōhō.
Lahla e sirelelitsoeng Shellcode mme o shebe mela.
Taba ea pele, joale re tseba mosebetsi oa ho theha ts'ebetso ea ngoana: CreateProcessInternalW.
Ea bobeli, re ile ra elelloa mokhoa oa ho lokisa tsamaiso.
Ha re khutleleng ts'ebetsong ea pele. Ha re beheng qhetsola mabapi le CreateProcessInternalW 'me u tsoele pele ho phethahatsa. E latelang re bona khokahano NtGetContextThread/NtSetContextThread, e fetolang aterese ea ho qala ts'ebetso ho aterese ShellCode.
Re hokela tšebetsong eo re e entseng ka debugger ebe re kenya ketsahalo Emisa ho libraryu load/download, qala ts'ebetso hape 'me u emele ho kenya .NET- lilaebrari.
Tšebeliso e eketsehileng ProcessHacker lahla libaka tse nang le tse sa pakiloeng .NET-kopo.
Re emisa lits'ebetso tsohle ebe re hlakola kopi ea malware e kentsoeng tsamaisong.
Faele e lahliloeng e sirelelitsoe ke mosireletsi .NET Reactor, e ka tlosoang habonolo ho sebelisoa thuso de4dot.
Re sebelisa melao ea YARA e ngotsoeng pejana, re etsa bonnete ba hore sena ke AgentTesla.
A re ke re akare
Kahoo, re bonts'itse ka botlalo ts'ebetso ea ho manolla lisampole ka mokhoa o ikhethileng re sebelisa mohlala oa li-mini-case tse tharo, mme ra sekaseka malware ho ipapisitse le nyeoe e felletseng, ho fumana hore sampole e ithutoang ke AgentTesla, e thehang ts'ebetso ea eona le ts'ebetso ea eona. lethathamo le feletseng la matšoao a ho sekisetsa.
Tlhahlobo ea ntho e mpe eo re e entseng e hloka nako e ngata le boiteko, 'me mosebetsi ona o lokela ho etsoa ke mosebeletsi ea khethehileng k'hamphaning, empa hase lik'hamphani tsohle tse ikemiselitseng ho hira mohlahlobi.
E 'ngoe ea litšebeletso tse fanoang ke Sehlopha sa IB Laboratory ea Computer Forensics le Malicious Code Analysis ke karabelo liketsahalong tsa cyber. E le hore bareki ba se ke ba senya nako ho amohela litokomane le ho buisana ka tsona nakong ea tlhaselo ea cyber, Group-IB e qalile. Mohlokomeli oa Karabelo ea Ketsahalo, tšebeletso ea karabelo ea liketsahalo tsa pele ho ngoliso e kenyelletsang mohato oa tlhahlobo ea malware. Lintlha tse ling mabapi le sena li ka fumanoa
Haeba u batla ho ithuta hape hore na lisampole tsa AgentTesla li buloa joang 'me u bone hore na setsebi sa CERT Group-IB se e etsa joang, u ka khoasolla rekoto ea webinar sehloohong sena.
Source: www.habr.com