Urang neruskeun runtuyan artikel devoted kana analisis malware. DI Sabagéan, kami nyarioskeun kumaha Ilya Pomerantsev, spesialis analisa malware di CERT Group-IB, ngalaksanakeun analisa lengkep file anu ditampi ku surat ti salah sahiji perusahaan Éropa sareng mendakan spyware di dinya. AgénTesla. Dina artikel ieu, Ilya nyadiakeun hasil analisis hambalan-demi-hambalan tina modul utama AgénTesla.
Agen Tesla mangrupikeun parangkat lunak spionase modular anu disebarkeun nganggo modél malware-as-a-service dina kedok produk keylogger anu sah. Agén Tesla sanggup nimba sareng ngirimkeun kredensial pangguna tina browser, klien email sareng klien FTP ka server ka panyerang, ngarékam data clipboard, sareng nangkep layar alat. Dina waktos analisa, halaman wéb resmi pamekar henteu sayogi.
file konfigurasi
Tabél di handap daptar pungsionalitas mana anu dianggo pikeun sampel anu anjeun anggo:
| gambaran | ajen |
| Bandéra pamakéan KeyLogger | bener |
| Bandéra pamakéan ScreenLogger | palsu |
| Interval ngirim log KeyLogger dina sababaraha menit | 20 |
| Interval ngirim log ScreenLogger dina sababaraha menit | 20 |
| Bandéra penanganan konci backspace. Palsu - logging wungkul. Leres - mupus konci sateuacana | palsu |
| tipe CNC. Pilihan: smtp, webpanel, ftp | SMTP |
| Bandéra aktivasina thread pikeun ngeureunkeun prosés tina daptar "% filter_list%" | palsu |
| UAC nganonaktipkeun bandéra | palsu |
| Pangatur tugas nganonaktipkeun bandéra | palsu |
| CMD nganonaktipkeun bandéra | palsu |
| Jalankeun jandela mareuman bandéra | palsu |
| Pendaptaran Pendaptaran Nonaktipkeun Bandéra | palsu |
| Nonaktipkeun bendera titik balikkeun sistem | bener |
| Panel kontrol nganonaktipkeun bandéra | palsu |
| MSCONFIG nganonaktipkeun bandéra | palsu |
| Bandéra pikeun nganonaktipkeun ménu kontéks dina Explorer | palsu |
| Pin bandéra | palsu |
| Jalur pikeun nyalin modul utama nalika pinning kana sistem | %startupfolder% %infolder%%insname% |
| Bandéra pikeun netepkeun atribut "System" sareng "Hidden" pikeun modul utama anu ditugaskeun ka sistem | palsu |
| Bandéra pikeun ngalakukeun balikan deui nalika disematkeun kana sistem | palsu |
| Bandéra pikeun mindahkeun modul utama ka folder samentara | palsu |
| UAC bypass bandéra | palsu |
| Tanggal sareng format waktos kanggo logging | yyyy-MM-dd HH:mm:ss |
| Bandéra pikeun ngagunakeun saringan program pikeun KeyLogger | bener |
| Jenis saringan program. 1 - nami program ditéang dina judul jandela 2 - nami program ditéang dina ngaran prosés jandela |
1 |
| Filter program | "facebook" "twitter" "gmail" "instagram" "pilem" "skype" "porno" "hack" "whatsapp" "discord" |
Ngagantelkeun modul utama kana sistem
Lamun bendera pakait diatur, modul utama disalin kana jalur dieusian dina config salaku jalur pikeun ditugaskeun ka sistem.
Gumantung kana nilai tina config, file dibere atribut "Hidden" jeung "System".
Autorun disayogikeun ku dua cabang pendaptaran:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Kusabab bootloader nyuntik kana prosés RegAsm, Nyetél bandéra pengkuh pikeun modul utama ngabalukarkeun konsékuansi rada metot. Gantina nyalin sorangan, malware napel file aslina kana sistem RegAsm.exe, salila suntikan dilaksanakeun.
Interaksi sareng C&C
Paduli metoda dipaké, komunikasi jaringan dimimitian ku meunangkeun IP éksternal korban ngagunakeun sumberdaya [.]amazonaws[.]com/.
Di handap ieu ngajelaskeun metode interaksi jaringan anu aya dina parangkat lunak.
webpanel
Interaksi lumangsung ngaliwatan protokol HTTP. Malware ngalaksanakeun pamundut POST nganggo lulugu ieu:
- Agén pamaké: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Sambungan: Tetep-Alive
- Eusi-Tipe: aplikasi/x-www-formulir-urlencoded
Alamat server dieusian ku nilai %PostURL%. Pesen énkripsi dikirim dina parameter «P». Mékanisme enkripsi dijelaskeun dina bagian "Algoritma Énkripsi" (Metoda 2).
Pesen anu dikirimkeun sapertos kieu:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
parameter ngetik nunjukkeun jinis pesen:
hwid - Hash MD5 dirékam tina nilai nomer séri motherboard sareng ID prosésor. Paling dipikaresep dipaké salaku ID pamaké.
waktu - fungsi pikeun ngirimkeun waktos sareng kaping ayeuna.
pcname - dihartikeun salaku /.
logdata - data log.
Nalika ngirimkeun kecap akses, pesen sapertos kieu:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Di handap ieu pedaran data dipaling dina format nu nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
Interaksi lumangsung ngaliwatan protokol SMTP. Surat anu dikirimkeun dina format HTML. Parameter awak ngabogaan wangun:
lulugu surat boga wangun umum: / . Eusi surat, kitu ogé lampiranana, henteu énkripsi.
Interaksi lumangsung ngaliwatan protokol FTP. A file kalawan ngaran ditransferkeun ka server dieusian _-_.html. Eusi file henteu énkripsi.
Algoritma énkripsi
Kasus ieu nganggo metode énkripsi ieu:
metoda 1
Metoda ieu dipaké pikeun encrypt string dina modul utama. Algoritma anu dianggo pikeun énkripsi nyaéta AES.
Input nyaéta genep digit angka decimal. Transformasi di handap ieu dilakukeun dina éta:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Nilai hasilna mangrupa indéks pikeun Asép Sunandar Sunarya data embedded.
Unggal unsur Asép Sunandar Sunarya mangrupa runtuyan DWORD. Nalika ngahiji DWORD hiji Asép Sunandar Sunarya ti bait dicandak: kahiji 32 bait mangrupakeun konci enkripsi, dituturkeun ku 16 bait tina véktor initialization, sarta bait sésana mangrupa data énkripsi.
metoda 2
Algoritma dipaké 3DES dina modeu ECB kalawan padding dina sakabéh bait (PKCS7).
Konci ditangtukeun ku parameter %urlkey%, kumaha oge, enkripsi ngagunakeun hash MD5 na.
Fungsi jahat
Sampel anu ditalungtik ngagunakeun program di handap ieu pikeun ngalaksanakeun fungsi jahatna:
konci logger
Upami aya bendera malware anu saluyu nganggo fungsi WinAPI SetWindowsHookEx nangtukeun Handler sorangan pikeun acara keypress on kibor. Fungsi Handler dimimitian ku meunang judul jandela aktip.
Upami bendera panyaring aplikasi disetel, panyaringan dilaksanakeun gumantung kana jinis anu ditangtukeun:
- nami program ditéang dina judul jandela
- nami program katingali dina nami prosés jandela
Salajengna, rékaman ditambahkeun kana log kalayan informasi ngeunaan jandela aktip dina format:
Teras inpormasi ngeunaan konci anu dipencet dirékam:
| Konci | Ngarekam |
| Balik spasi | Gumantung kana bandéra ngolah konci Backspace: Palsu - {BACK} Leres - mupus konci sateuacana |
| KONCI HURUP AGEUNG | {KONCI HURUP AGEUNG} |
| ESC | {ESC} |
| HalamanUp | {PageUp} |
| turun | ↓ |
| pupus | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| tab | {TAB} |
| < | < |
| > | > |
| Angkasa | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| TUNGTUNG | {TUNGTUNG} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| bener | → |
| Up | & uarr; |
| F1 | {F1} |
| ditinggalkeun | ← |
| PageDown | {PageDown} |
| Selapkeun | {Selapkeun} |
| meunang | {Meunang} |
| Nomlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {Imah} |
| asup | {Asupkeun} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| konci séjén | Karakter dina hurup luhur atawa leutik gumantung kana posisi kenop CapsLock jeung Shift |
Dina frékuénsi anu ditangtukeun, log anu dikumpulkeun dikirim ka server. Upami transferna gagal, log disimpen kana file %TEMP%log.tmp dina format:
Nalika timer hurung, file bakal dibikeun ka server.
ScreenLogger
Dina frékuénsi anu ditangtukeun, malware nyiptakeun screenshot dina formatna JPEG kalawan harti Quality sarua jeung 50 tur nyimpen kana file %APPDATA %.jpg. Saatos transfer, file dihapus.
ClipboardLogger
Lamun bendera luyu diatur, ngagantian dijieun dina téks disadap nurutkeun tabel di handap ieu.
Saatos ieu, téks diselapkeun kana log:
PasswordStealer
Malware bisa ngundeur kecap akses tina aplikasi ieu:
| panyungsi | Klién surat | klien FTP |
| Chrome | melong | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE / Tepi | Foxmail | WinSCP |
| Safari | Opera Surat | CoreFTP |
| Browser Opera | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| kromium | kotak pos | |
| oncor | ClawsMail | |
| 7Star | ||
| sobat | ||
| BraveSoftware | klien Jabber | klien VPN |
| CentBrowser | Psi/Psi+ | Buka VPN |
| Chedot | ||
| CocCoc | ||
| Unsur Browser | Unduh Manajer | |
| Browser Privasi epik | Internét Download Manager | |
| Komet | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Panyungsi Flock | ||
| UC Browser | ||
| HideungHawk | ||
| CyberFox | ||
| K-meleon | ||
| ÉsCat | ||
| Naga És | ||
| PaleMoon | ||
| WaterFox | ||
| Panyungsi Falkon |
Kontraksi kana analisis dinamis
- Ngagunakeun fungsi sare. Ngidinan anjeun ngaliwat sababaraha kotak pasir ku waktos béak
- Ngancurkeun benang Zona.Identifier. Ngidinan anjeun pikeun nyumputkeun kanyataan ngunduh file tina Internét
- Dina parameter %filter_list% nangtukeun daptar prosés anu bakal ditungtungan ku malware dina interval sadetik
- Shutdown UAC
- Nonaktipkeun pangatur tugas
- Shutdown CMD
- Nganonaktipkeun jandela "Lumpat"
- Nonaktipkeun Panel Control
- Nganonaktipkeun alat Asupkeun
- Nonaktipkeun titik balikkeun sistem
- Nonaktipkeun menu konteks dina Explorer
- Shutdown MSCONFIG
- Bypass UAC:
Fitur teu aktif tina modul utama
Salila analisa modul utama, fungsi diidentifikasi anu tanggung jawab pikeun nyebarkeun jaringan sareng ngalacak posisi beurit.
cacing
Kajadian pikeun nyambungkeun média removable diawaskeun dina thread misah. Nalika dihubungkeun, malware sareng nami disalin kana akar sistem file scr.exe, saatos éta milarian file sareng ekstensi lnk. Tim sarerea lnk robah jadi cmd.exe /c ngamimitian scr.exe&ngamimitian & kaluar.
Unggal diréktori dina akar média dibéré atribut "disumputkeun" sareng file didamel nganggo ekstensi lnk kalawan nami diréktori disumputkeun na paréntah cmd.exe /c ngamimitian scr.exe&explorer /root,"%CD%" & kaluar.
MouseTracker
Métode pikeun ngalakukeun interception sami sareng anu dianggo pikeun keyboard. fungsionalitas ieu masih dina ngembangkeun.
Aktivitas file
| Jalanna | gambaran |
| %Temp%temp.tmp | Ngandung counter pikeun usaha bypass UAC |
| %startupfolder%%infolder%%insname% | Jalur pikeun ditugaskeun ka sistem HPE |
| %Temp%tmpG{Waktu ayeuna dina milliseconds}.tmp | Jalur pikeun cadangan modul utama |
| %Temp%log.tmp | file log |
| %AppData%{Urutan wenang tina 10 karakter}.jpeg | Potret layar |
| C:UsersPublic{Urutan wenang tina 10 karakter}.vbs | Jalur ka file vbs anu tiasa dianggo ku bootloader pikeun ngagantelkeun kana sistem |
| %Temp%{Ngaran polder khusus}{Ngaran koropak} | Jalur anu dianggo ku bootloader pikeun ngagantelkeun diri kana sistem |
Propil panarajang
Hatur nuhun kana data auténtikasi hardcoded, kami tiasa nampi aksés ka pusat komando.
Ieu ngamungkinkeun urang pikeun ngaidentipikasi email ahir panyerang:
junaid[.]in***@gmail[.]com.
Ngaran domain puseur paréntah kadaptar kana mail sg***@gmail[.]com.
kacindekan
Salila analisa rinci ngeunaan malware anu dianggo dina serangan éta, kami tiasa netepkeun pungsionalitasna sareng nampi daptar indikator kompromi anu paling lengkep anu relevan pikeun hal ieu. Ngartos mékanisme interaksi jaringan antara malware ngamungkinkeun pikeun masihan saran pikeun nyaluyukeun operasi alat kaamanan inpormasi, ogé nyerat aturan IDS anu stabil.
Bahaya utama AgénTesla kawas DataStealer yén éta henteu kedah komitmen kana sistem atanapi ngantosan paréntah kontrol pikeun ngalaksanakeun tugasna. Sakali dina mesin, éta geuwat dimimitian ngumpulkeun informasi pribadi tur mindahkeun ka CnC. Paripolah agrésif ieu dina sababaraha cara mirip sareng paripolah ransomware, ngan ukur bédana nyaéta yén anu terakhir henteu ngabutuhkeun sambungan jaringan. Upami anjeun mendakan kulawarga ieu, saatos ngabersihkeun sistem anu katépaan tina malware sorangan, anjeun pasti kedah ngarobih sadaya kecap akses anu tiasa, sahenteuna sacara téoritis, disimpen dina salah sahiji aplikasi anu didaptarkeun di luhur.
Ningali payun, hayu urang nyebutkeun yén panyerang ngirim AgénTesla, boot loader awal sering pisan dirobih. Hal ieu ngamungkinkeun anjeun pikeun tetep teu katingali ku scanner statik sareng analisa heuristik dina waktos serangan. Sareng kacenderungan kulawarga ieu langsung ngamimitian kagiatanana ngajadikeun monitor sistem henteu aya gunana. Cara anu pangsaéna pikeun merangan AgentTesla nyaéta analisa awal dina kotak pasir.
Dina artikel katilu ti séri ieu urang bakal ningali bootloaders séjén dipaké AgénTesla, sarta ogé diajar prosés unpacking semi-otomatis maranéhanana. Ulah sono!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C & C.
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| pendaptaran |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Ngaran Aksara} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Biseks
Henteu aya indikator.
payil
| Aktivitas file |
| %Temp%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{Waktu ayeuna dina milliseconds}.tmp |
| %Temp%log.tmp |
| %AppData%{Urutan wenang tina 10 karakter}.jpeg |
| C:UsersPublic{Urutan wenang tina 10 karakter}.vbs |
| %Temp%{Ngaran polder khusus}{Ngaran koropak} |
Inpormasi Sampel
| nami | teu dikenal |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ngetik | PE (.NET) |
| ukuran | 327680 |
| Ngaran Asli | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| Compiler | VB.NET |
| nami | IELlibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ngetik | PE (.NET DLL) |
| ukuran | 16896 |
| Ngaran Asli | IELlibrary.dll |
| DateStamp | 11.10.2016 |
| Compiler | Microsoft Linker(48.0*) |
sumber: www.habr.com