ProHoster > blogg > internetnyheter > Valdeltagandet misslyckades: låt oss utsätta AgentTesla för rent vatten. Del 1
Valdeltagandet misslyckades: låt oss utsätta AgentTesla för rent vatten. Del 1
Nyligen kontaktade en europeisk tillverkare av elektrisk installationsutrustning Group-IB - dess medarbetare fick ett misstänkt brev med en skadlig bilaga på posten. Ilja Pomerantsev, en specialist på analys av skadlig programvara på CERT Group-IB, genomförde en detaljerad analys av den här filen, upptäckte AgentTeslas spionprogram där och berättade vad man kan förvänta sig av sådan skadlig programvara och hur den är farlig.
Med det här inlägget öppnar vi en serie artiklar om hur man analyserar sådana potentiellt farliga filer, och vi väntar på de mest nyfikna den 5 december för ett gratis interaktivt webbseminarium om ämnet "Malware Analysis: Analysis of Real Cases". Alla detaljer är under snittet.
Distributionsmekanism
Vi vet att skadlig programvara nådde offrets dator via nätfiske-e-post. Mottagaren av brevet var förmodligen hemligstämplad.
Analys av rubrikerna visar att avsändaren av brevet var falsk. Faktum är att brevet kvar med vps56[.]oneworldhosting[.]com.
E-postbilagan innehåller ett WinRar-arkiv qoute_jpeg56a.r15 med en skadlig körbar fil QOUTE_JPEG56A.exe inuti.
Malware ekosystem
Låt oss nu se hur ekosystemet för den skadliga programvaran som studeras ser ut. Diagrammet nedan visar dess struktur och komponenternas samverkansriktningar.
Låt oss nu titta på var och en av de skadliga komponenterna mer i detalj.
Lastare
Originalfil QOUTE_JPEG56A.exe är en sammanställd AutoIt v3 manus.
För att fördunkla det ursprungliga skriptet, en obfuscator med liknande PELock AutoIT-Obfuscator egenskaper.
Deobfuskering utförs i tre steg:
Ta bort obfuskation För om
Det första steget är att återställa skriptets kontrollflöde. Control Flow Flattening är ett av de vanligaste sätten att skydda applikationens binära kod från analys. Förvirrande transformationer ökar dramatiskt komplexiteten i att extrahera och känna igen algoritmer och datastrukturer.
Radåterställning
Två funktioner används för att kryptera strängar:
gdorizabegkvfca - Utför Base64-liknande avkodning
xgacyukcyzxz - enkel byte-byte XOR för den första strängen med längden på den andra
Ta bort obfuskation BinaryToString и Utförande
Huvudbelastningen lagras i en uppdelad form i katalogen Teckensnitt resurssektioner av filen.
WinAPI-funktionen används för att dekryptera extraherade data CryptDecrypt, och den sessionsnyckel som genereras baserat på värdet används som nyckel fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Den dekrypterade körbara filen skickas till funktionsingången RunPE, som genomför ProcessInject в RegAsm.exe med inbyggd ShellCode (också känd som Kör PE ShellCode). Författarskapet tillhör användaren av det spanska forumet oupptäckbara[.]net under smeknamnet Wardow.
Det är också värt att notera att i en av trådarna i detta forum, en obfuscator för AutoIt med liknande egenskaper identifierade under provanalys.
Själv ShellCode ganska enkel och väcker uppmärksamhet endast lånad från hackergruppen AnunakCarbanak. API-anrops-hashningsfunktion.
Vi är också medvetna om användningsfall Frenchy Shellcode olika versioner.
Utöver den beskrivna funktionaliteten identifierade vi också inaktiva funktioner:
Blockerar manuell processavslutning i Aktivitetshanteraren
Startar om en underordnad process när den avslutas
Bypass UAC
Spara nyttolasten till en fil
Demonstration av modala fönster
Väntar på att muspekarens position ska ändras
AntiVM och AntiSandbox
självförstörelse
Pumpar nyttolast från nätverket
Vi vet att sådan funktionalitet är typisk för skyddet CypherIT, som uppenbarligen är bootloadern i fråga.
Huvudmodul av programvara
Därefter kommer vi kort att beskriva huvudmodulen för skadlig programvara och överväga den mer i detalj i den andra artikeln. I det här fallet är det en ansökan på . NET.
Under analysen upptäckte vi att en obfuscator användes ConfuserEX.
IELibrary.dll
Biblioteket lagras som en huvudmodulresurs och är ett välkänt plugin för Agent Tesla, som tillhandahåller funktionalitet för att extrahera olika information från webbläsarna Internet Explorer och Edge.
Agent Tesla är en modulär spionprogramvara som distribueras med en malware-as-a-service-modell under sken av en legitim keylogger-produkt. Agent Tesla kan extrahera och överföra användaruppgifter från webbläsare, e-postklienter och FTP-klienter till servern till angripare, spela in urklippsdata och fånga enhetens skärm. Vid tidpunkten för analysen var utvecklarnas officiella webbplats inte tillgänglig.
Ingångspunkten är funktionen Get SavedPasswords klass InternetExplorer.
I allmänhet är kodexekveringen linjär och innehåller inget skydd mot analys. Endast den orealiserade funktionen förtjänar uppmärksamhet Get SavedCookies. Uppenbarligen var det meningen att funktionaliteten för pluginet skulle utökas, men detta gjordes aldrig.
Ansluter starthanteraren till systemet
Låt oss studera hur starthanteraren är kopplad till systemet. Provet som studeras förankras inte, men i liknande händelser inträffar det enligt följande schema:
I mappen C:UsersPublic skriptet skapas Visual Basic
Skriptexempel:
Innehållet i laddningsfilen är vadderat med ett nolltecken och sparas i mappen %Temp%
En autorun-nyckel skapas i registret för skriptfilen HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Så, baserat på resultaten från den första delen av analysen, kunde vi fastställa namnen på familjerna för alla komponenter i den skadliga programvaran som studeras, analysera infektionsmönstret och även skaffa objekt för att skriva signaturer. Vi kommer att fortsätta vår analys av detta objekt i nästa artikel, där vi kommer att titta på huvudmodulen mer i detalj Agent Tesla. Missa inte!
Förresten, den 5 december bjuder vi in alla läsare till ett gratis interaktivt webbseminarium om ämnet "Analys av skadlig programvara: analys av verkliga fall", där författaren till denna artikel, en CERT-GIB-specialist, kommer att visa online det första steget av malware analys - halvautomatisk uppackning av prover med hjälp av exemplet med tre riktiga mini-case från praktiken, och du kan ta del av analysen. Webinariet är lämpligt för specialister som redan har erfarenhet av att analysera skadliga filer. Registrering sker enbart från företagets e-post: registrera. Väntar på dig!