Turnout gagal: hayu urang ngalaan AgentTesla kana cai bersih. Bagian 1
Anyar-anyar ieu, produsén Éropa alat pamasangan listrik ngahubungi Grup-IB - karyawanna nampi surat anu curiga kalayan lampiran jahat dina suratna. Ilya Pomerantsev, spesialis analisa malware di CERT Group-IB, ngalaksanakeun analisa lengkep ngeunaan file ieu, mendakan spyware AgentTesla di dinya sareng nyarioskeun naon anu diarepkeun tina malware sapertos kitu sareng kumaha bahayana.
Kalayan tulisan ieu kami muka séri tulisan ngeunaan cara nganalisis file anu berpotensi bahaya sapertos kitu, sareng kami ngantosan anu paling panasaran dina 5 Désémber pikeun webinar interaktif gratis ngeunaan topik éta. "Analisis Malware: Analisis Kasus Nyata". Sadaya detil aya di handapeun cut.
Mékanisme distribusi
Kami terang yén malware ngahontal mesin korban ngalangkungan email phishing. Panarima surat éta meureun BCCed.
Analisis lulugu nunjukkeun yén pangirim surat éta palsu. Kanyataanna, surat ditinggalkeun kalawan vps56[.]oneworldhosting[.]com.
Gagantel email ngandung arsip WinRar qoute_jpeg56a.r15 kalawan file laksana jahat QOUTE_JPEG56A.exe di jero.
Ékosistem malware
Ayeuna hayu urang tingali kumaha ékosistem malware anu ditaliti. Diagram di handap nembongkeun struktur sarta arah interaksi komponén.
Ayeuna hayu urang tingali unggal komponén malware sacara langkung rinci.
Pamuat
file aslina QOUTE_JPEG56A.exe mangrupa disusun AutoIt v3 naskah.
Pikeun obfuscate naskah aslina, hiji obfuscator kalawan sarupa PElock AutoIT-Obfuscator ciri.
Deobfuscation dilaksanakeun dina tilu tahap:
Ngaleungitkeun obfuscation Pikeun-Lamun
Hambalan munggaran nyaéta mulangkeun aliran kontrol naskah. Control Flow Flattening mangrupikeun salah sahiji cara anu paling umum pikeun ngajagaan kode binér aplikasi tina analisa. Transformasi ngabingungkeun sacara dramatis ningkatkeun pajeulitna ékstraksi sareng ngakuan algoritma sareng struktur data.
Pamulihan baris
Dua fungsi dipaké pikeun encrypt string:
gdorizabegkvfca - Nedunan Base64-kawas decoding
xgacyukcyzxz - XOR bait-bait basajan tina senar kahiji kalayan panjang kadua
Ngaleungitkeun obfuscation BinaryToString и ngeksekusi
Beban utama disimpen dina bentuk dibagi dina diréktori fon bagian sumberdaya file.
Fungsi WinAPI dipaké pikeun ngadekrip data sasari CryptoDecrypt, sarta konci sési dihasilkeun dumasar kana nilai dipaké salaku konci fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
File laksana decrypted dikirim ka input fungsi RunPE, anu ngalaksanakeun ProcessInject в RegAsm.exe ngagunakeun diwangun-di ShellCode (ogé katelah RunPE ShellCode). Pangarang milik pamaké forum Spanyol teu katembong [.]net handapeun nickname Wardow.
Ogé sia noting yén dina salah sahiji threads forum ieu, hiji obfuscator pikeun Dina hateupna mibanda sipat sarupa dicirikeun salila analisis sampel.
nyalira ShellCode cukup basajan tur metot perhatian ngan injeuman ti grup hacker AnunakCarbanak. Fungsi hashing panggero API.
Urang ogé sadar kasus pamakéan Frenchy Shellcode versi béda.
Salian fungsionalitas anu dijelaskeun, kami ogé ngaidentipikasi fungsi anu teu aktip:
Blocking prosés manual terminasi dina task manager
Balikan deui prosés anak nalika tamat
Bypass UAC
Nyimpen payload kana file
Demonstrasi tina jandela modal
Ngadagoan posisi kursor mouse robah
AntiVM sareng AntiSandbox
Ngancurkeun diri
Ngompa payload tina jaringan
Kami terang yén fungsionalitas sapertos kitu khas pikeun pelindung CypherIT, anu, katingalina, mangrupikeun bootloader anu dimaksud.
modul utama software
Salajengna, urang bakal ngajelaskeun sakeudeung modul utama malware, sarta mertimbangkeun leuwih jéntré dina artikel kadua. Dina hal ieu, éta mangrupa aplikasi dina .NET.
Salila analisa, kami mendakan yén obfuscator dianggo ConfuserEX.
IELlibrary.dll
perpustakaan disimpen salaku sumberdaya modul utama sarta mangrupakeun plugin well-dipikawanoh pikeun AgénTesla, nu nyadiakeun pungsionalitas pikeun extracting rupa informasi tina Internet Explorer jeung browser Edge.
Agen Tesla mangrupikeun parangkat lunak spionase modular anu disebarkeun nganggo modél malware-as-a-service dina kedok produk keylogger anu sah. Agén Tesla sanggup nimba sareng ngirimkeun kredensial pangguna tina browser, klien email sareng klien FTP ka server ka panyerang, ngarékam data clipboard, sareng nangkep layar alat. Dina waktos analisa, halaman wéb resmi pamekar henteu sayogi.
Titik éntri nyaéta fungsi GetSavedPasswords kelas InternetExplorer.
Sacara umum, palaksanaan kode linier sareng henteu ngandung panyalindungan ngalawan analisa. Ngan fungsi unrealized pantes perhatian GetSavedCookies. Tétéla, pungsionalitas plugin nu sakuduna dituju dilegakeun, tapi ieu pernah dipigawé.
Ngagantelkeun bootloader kana sistem
Hayu urang diajar kumaha bootloader napel kana sistem. Spésimén anu ditalungtik henteu ngalakukeun anchoring, tapi dina acara anu sami éta lumangsung dumasar kana skéma ieu:
Dina folder C: PamakéPublik naskah dijieun visual Basic
conto naskah:
Eusi file bootloader anu padded kalawan karakter null tur disimpen kana polder %Temp%<Ngaran folder custom><Ngaran koropak>
Hiji konci autorun dijieun dina pendaptaran pikeun file skrip HKCUSoftwareMicrosoftWindowsCurrentVersionRun<nami Aksara>
Janten, dumasar kana hasil bagian mimiti analisa, kami tiasa netepkeun nami kulawarga sadaya komponén malware anu ditaliti, nganalisa pola inféksi, sareng ogé kéngingkeun objék pikeun nyerat tanda tangan. Urang bakal neruskeun analisis objék ieu dina artikel salajengna, dimana urang bakal kasampak di modul utama dina leuwih jéntré AgénTesla. Ulah sono!
Ku jalan kitu, dina 5 Désémber kami ngajak sadaya pamiarsa kana webinar interaktif gratis dina topik "Analisis malware: analisa kasus nyata", dimana panulis tulisan ieu, spesialis CERT-GIB, bakal nunjukkeun online tahap mimiti analisis malware - semi-otomatis unpacking sampel ngagunakeun conto tilu nyata mini-kasus ti prakték, sarta anjeun bisa ilubiung dina analisis. Webinar cocog pikeun spesialis anu parantos gaduh pangalaman dina nganalisa file jahat. Pendaptaran sacara ketat tina email perusahaan: ngadaptar. Ngantosan anjeun!