Tunaendelea na mfululizo wetu wa makala zinazohusu uchanganuzi wa programu hasidi. KATIKA Kwa sehemu, tuliambia jinsi Ilya Pomerantsev, mtaalamu wa uchambuzi wa programu hasidi katika CERT Group-IB, alivyofanya uchambuzi wa kina wa faili iliyopokelewa kwa barua kutoka kwa kampuni moja ya Uropa na kugundua spyware huko. WakalaTesla. Katika makala hii, Ilya hutoa matokeo ya uchambuzi wa hatua kwa hatua wa moduli kuu WakalaTesla.
Ajenti Tesla ni programu ya kawaida ya upelelezi inayosambazwa kwa kutumia modeli ya programu hasidi kama huduma chini ya kivuli cha bidhaa halali ya kilogger. Wakala Tesla ana uwezo wa kutoa na kusambaza kitambulisho cha mtumiaji kutoka kwa vivinjari, wateja wa barua pepe na wateja wa FTP hadi kwa seva kwa washambuliaji, kurekodi data ya ubao wa kunakili, na kunasa skrini ya kifaa. Wakati wa uchambuzi, tovuti rasmi ya watengenezaji haikupatikana.
Faili ya usanidi
Jedwali hapa chini linaorodhesha utendaji gani unatumika kwa sampuli unayotumia:
| Description | Thamani |
| Bendera ya matumizi ya KeyLogger | kweli |
| Bendera ya matumizi ya ScreenLogger | uongo |
| Logger KeyLogger kutuma muda katika dakika | 20 |
| Rekodi ya ScreenLogger kutuma muda kwa dakika | 20 |
| Bendera ya kushughulikia ufunguo wa Backspace. Si kweli - ukataji miti pekee. Kweli - inafuta ufunguo uliopita | uongo |
| Aina ya CNC. Chaguzi: smtp, paneli ya wavuti, ftp | SMTP |
| Alamisho ya kuwezesha uzi ili kusitisha michakato kutoka kwa orodha "%filter_list%" | uongo |
| UAC zima bendera | uongo |
| Kidhibiti kazi zima bendera | uongo |
| CMD zima bendera | uongo |
| Endesha dirisha zima bendera | uongo |
| Kitazamaji cha Usajili Zima Bendera | uongo |
| Lemaza alama za kurejesha mfumo | kweli |
| Paneli ya kudhibiti zima bendera | uongo |
| MSCONFIG zima bendera | uongo |
| Tia alama ili kuzima menyu ya muktadha katika Explorer | uongo |
| Bandika bendera | uongo |
| Njia ya kunakili moduli kuu wakati wa kuibandika kwenye mfumo | %startupfolder% %insfolder%%inname% |
| Tia alama kwa kuweka sifa za "Mfumo" na "Zilizofichwa" kwa moduli kuu iliyopewa mfumo | uongo |
| Tia alama ili uanzishe upya wakati umebandikwa kwenye mfumo | uongo |
| Tia alama kwa kuhamisha moduli kuu hadi kwenye folda ya muda | uongo |
| Bendera ya UAC ya kupita | uongo |
| Umbizo la tarehe na wakati wa kuingia | yyy-MM-dd HH:mm:ss |
| Tia alama kwa kutumia kichujio cha programu kwa KeyLogger | kweli |
| Aina ya uchujaji wa programu. 1 - jina la programu hutafutwa kwenye vichwa vya dirisha 2 - jina la programu linatafutwa katika jina la mchakato wa dirisha |
1 |
| Kichujio cha programu | "facebook" "twitter" "gmail" "instagram" "filamu" "skype" "porn" "haki" "whatsapp" "mafarakano" |
Kuunganisha moduli kuu kwenye mfumo
Ikiwa bendera inayolingana imewekwa, moduli kuu inakiliwa kwa njia iliyoainishwa katika usanidi kama njia ya kupewa mfumo.
Kulingana na thamani kutoka kwa usanidi, faili hupewa sifa "Siri" na "Mfumo".
Autorun hutolewa na matawi mawili ya Usajili:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%inregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %inregname%
Kwa kuwa bootloader inaingia kwenye mchakato RegAsm, kuweka bendera inayoendelea kwa moduli kuu husababisha matokeo ya kuvutia kabisa. Badala ya kujinakili, programu hasidi iliambatisha faili asili kwenye mfumo RegAsm.exe, wakati ambapo sindano ilifanyika.
Mwingiliano na C&C
Bila kujali njia iliyotumiwa, mawasiliano ya mtandao huanza na kupata IP ya nje ya mwathirika kwa kutumia rasilimali [.]amazonaws[.]com/.
Ifuatayo inaelezea mbinu za mwingiliano wa mtandao zilizowasilishwa kwenye programu.
jopo la wavuti
Mwingiliano unafanyika kupitia itifaki ya HTTP. Programu hasidi hutekeleza ombi la POST na vichwa vifuatavyo:
- Wakala wa Mtumiaji: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Uunganisho: Weka-Hai
- Aina ya Maudhui: application/x-www-form-urlencoded
Anwani ya seva imebainishwa na thamani %PostURL%. Ujumbe uliosimbwa hutumwa kwa kigezo Β«PΒ». Utaratibu wa usimbaji fiche umeelezwa katika sehemu "Algorithms ya Usimbaji" (Njia ya 2).
Ujumbe uliotumwa unaonekana kama hii:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter aina inaonyesha aina ya ujumbe:
wid - heshi ya MD5 imerekodiwa kutoka kwa maadili ya nambari ya serial ya ubao wa mama na kitambulisho cha processor. Uwezekano mkubwa zaidi kutumika kama Kitambulisho cha Mtumiaji.
wakati - hutumikia kusambaza wakati na tarehe ya sasa.
jina la pc - hufafanuliwa kama /.
logdata - data ya kumbukumbu.
Wakati wa kutuma manenosiri, ujumbe unaonekana kama:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Yafuatayo ni maelezo ya data iliyoibiwa katika umbizo nclient[]={0}nlink[]={1}username[]={2}npassword[]={3}.
SMTP
Mwingiliano unafanyika kupitia itifaki ya SMTP. Barua iliyotumwa iko katika umbizo la HTML. Kigezo BODY inaonekana kama:
Kichwa cha barua kina fomu ya jumla: / . Yaliyomo kwenye barua, pamoja na viambatisho vyake, havijasimbwa kwa njia fiche.
Mwingiliano unafanyika kupitia itifaki ya FTP. Faili iliyo na jina huhamishiwa kwa seva maalum _-_.html. Yaliyomo kwenye faili hayajasimbwa kwa njia fiche.
Kanuni za usimbaji fiche
Kesi hii hutumia njia zifuatazo za usimbaji fiche:
Njia ya 1
Njia hii inatumika kusimba kamba kwenye moduli kuu. Algorithm inayotumika kwa usimbaji fiche ni AES.
Ingizo ni nambari ya desimali yenye tarakimu sita. Mabadiliko yafuatayo yanafanywa juu yake:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Thamani inayotokana ni faharasa ya safu ya data iliyopachikwa.
Kila kipengele cha safu ni mlolongo DWORD. Wakati wa kuunganisha DWORD safu ya byte hupatikana: byte 32 za kwanza ni ufunguo wa usimbuaji, ikifuatiwa na ka 16 za vekta ya uanzishaji, na kaiti zilizobaki ni data iliyosimbwa.
Njia ya 2
Algorithm iliyotumika 3DES katika hali ECB na pedi kwa baiti nzima (PKCS7).
Kitufe kinatajwa na parameter %urlkey%, hata hivyo, usimbaji fiche hutumia heshi yake ya MD5.
Utendaji hasidi
Sampuli inayochunguzwa hutumia programu zifuatazo kutekeleza utendakazi wake hasidi:
mkata funguo
Ikiwa kuna bendera inayolingana ya programu hasidi kwa kutumia kazi ya WinAPI WekaWindowsHookEx hukabidhi kidhibiti chake chenyewe kwa matukio ya kubonyeza vitufe kwenye kibodi. Kitendaji cha kidhibiti huanza kwa kupata kichwa cha dirisha linalotumika.
Ikiwa bendera ya uchujaji wa programu imewekwa, uchujaji unafanywa kulingana na aina maalum:
- jina la programu hutafutwa katika vichwa vya dirisha
- jina la programu linatazamwa katika jina la mchakato wa dirisha
Ifuatayo, rekodi inaongezwa kwenye logi na habari kuhusu dirisha linalotumika katika umbizo:
Kisha habari kuhusu ufunguo ulioshinikizwa hurekodiwa:
| Ufunguo | Rekodi |
| Backspace | Kulingana na bendera ya kuchakata ufunguo wa Backspace: Siyo - {NYUMA} Kweli - inafuta ufunguo uliopita |
| HERUFI KUBWA | {HERUFI KUBWA} |
| Stabilitetskontroll | {ESC} |
| UkurasaUp | {PageUp} |
| Chini | ↓ |
| kufuta | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Nafasi | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| MWISHO | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Haki | → |
| Up | ↑ |
| F1 | {F1} |
| kushoto | ← |
| Ukurasa wa chini | {PageDown} |
| Ingiza | {Ingiza} |
| Kushinda | {Shinda} |
| Nambari | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {NYUMBANI} |
| kuingia | {INGIA} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Ufunguo mwingine | Herufi iko katika herufi kubwa au ndogo kulingana na nafasi za vitufe vya CapsLock na Shift |
Kwa mzunguko maalum, logi iliyokusanywa inatumwa kwa seva. Ikiwa uhamishaji haujafaulu, logi huhifadhiwa kwenye faili %TEMP%log.tmp katika umbizo:
Wakati kipima saa kinawaka, faili itahamishiwa kwa seva.
ScreenLogger
Kwa masafa maalum, programu hasidi huunda picha ya skrini katika umbizo Jpeg yenye maana Quality sawa na 50 na kuihifadhi kwenye faili %APPDATA %.jpg. Baada ya uhamisho, faili inafutwa.
ClipboardLogger
Ikiwa bendera inayofaa imewekwa, ubadilishaji hufanywa katika maandishi yaliyozuiliwa kulingana na jedwali hapa chini.
Baada ya hayo, maandishi yanaingizwa kwenye logi:
PasswordStealer
Programu hasidi inaweza kupakua manenosiri kutoka kwa programu zifuatazo:
| Vivinjari | Wateja wa barua | Wateja wa FTP |
| Chrome | Outlook | FileZilla |
| Firefox | Kigezo | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| safari | Barua ya Opera | CoreFTP |
| Kivinjari cha Opera | IncrediMail | Navigator ya FTP |
| Yandex | Pocommail | FlashFXP |
| Starehe | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPKamanda |
| Chromium | Bodi ya posta | |
| Mwenge | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Wateja wa Jabber | Wateja wa VPN |
| Kivinjari cha Kati | Psi/Psi+ | Fungua VPN |
| Chedot | ||
| CocCoc | ||
| Kivinjari cha Vipengele | Pakua Wasimamizi | |
| Kivinjari cha faragha cha Epic | Internet Download Meneja | |
| Nyota | JDownloader | |
| Obitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Kivinjari cha Kundi | ||
| Browser UC | ||
| BlackHawk | ||
| CyberFox | ||
| K-meleon | ||
| paka wa barafu | ||
| Joka la barafu | ||
| PaleMoon | ||
| Maji ya Maji | ||
| Kivinjari cha Falkon |
Kukabiliana na uchambuzi wa nguvu
- Kwa kutumia kipengele Kulala. Hukuruhusu kukwepa baadhi ya masanduku ya mchanga kwa kuisha
- Kuharibu thread Kitambulishi.Kanda. Inakuwezesha kuficha ukweli wa kupakua faili kutoka kwenye mtandao
- Katika parameter %filter_list% hubainisha orodha ya michakato ambayo programu hasidi itakomesha kwa vipindi vya sekunde moja
- Kuondoa UAC
- Inalemaza msimamizi wa kazi
- Kuondoa CMD
- Inalemaza dirisha "VΡΠΏΠΎΠ»Π½ΠΈΡΡ"
- Inalemaza Jopo la Kudhibiti
- Kuzima chombo Jisajili
- Inalemaza pointi za kurejesha mfumo
- Zima menyu ya muktadha katika Explorer
- Kuondoa MSCONFIG
- Bypass UAC:
Vipengele visivyotumika vya moduli kuu
Wakati wa uchambuzi wa moduli kuu, kazi zilitambuliwa ambazo zilihusika na kuenea kwenye mtandao na kufuatilia nafasi ya panya.
Minyoo
Matukio ya kuunganisha vyombo vya habari vinavyoweza kuondolewa yanafuatiliwa katika thread tofauti. Inapounganishwa, programu hasidi iliyo na jina inakiliwa kwenye mzizi wa mfumo wa faili scr.exe, baada ya hapo hutafuta faili zilizo na kiendelezi lnk. Timu ya kila mtu lnk mabadiliko kwa cmd.exe /c anza scr.exe&start & exit.
Kila saraka kwenye mzizi wa media inapewa sifa "Imefichwa" na faili imeundwa na kiendelezi lnk na jina la saraka iliyofichwa na amri cmd.exe /c anza scr.exe&explorer /root,"%CD%" & ondoka.
MouseTracker
Mbinu ya kutekeleza kukatiza ni sawa na ile inayotumika kwa kibodi. Utendaji huu bado uko chini ya maendeleo.
Shughuli ya faili
| Njia | Description |
| %Temp%temp.tmp | Ina kaunta kwa majaribio ya kupita UAC |
| %startupfolder%%insfolder%%inname% | Njia ya kukabidhiwa kwa mfumo wa HPE |
| %Temp%tmpG{Wakati wa sasa katika milisekunde}.tmp | Njia ya kuhifadhi nakala ya moduli kuu |
| %Temp%log.tmp | Faili ya kumbukumbu |
| %AppData%{Msururu kiholela wa herufi 10}.jpeg | Picha za skrini |
| C:UsersPublic{Mfuatano wa kiholela wa herufi 10}.vbs | Njia ya faili ya vbs ambayo bootloader inaweza kutumia kushikamana na mfumo |
| %Temp%{Jina la folda maalum}{File name} | Njia inayotumiwa na bootloader kujiambatanisha na mfumo |
Wasifu wa mshambuliaji
Shukrani kwa data ya uthibitishaji yenye msimbo mgumu, tuliweza kupata ufikiaji wa kituo cha amri.
Hii ilituruhusu kutambua barua pepe ya mwisho ya wavamizi:
junaid[.]katika***@gmail[.]com.
Jina la kikoa la kituo cha amri limesajiliwa kwa barua sg***@gmail[.]com.
Hitimisho
Wakati wa uchambuzi wa kina wa programu hasidi iliyotumiwa katika shambulio hilo, tuliweza kubaini utendakazi wake na kupata orodha kamili zaidi ya viashiria vya maelewano vinavyohusiana na kesi hii. Kuelewa mifumo ya mwingiliano wa mtandao kati ya programu hasidi kulifanya iwezekane kutoa mapendekezo ya kurekebisha utendakazi wa zana za usalama wa habari, na pia kuandika sheria thabiti za IDS.
Hatari kuu WakalaTesla kama DataStealer kwa kuwa haiitaji kujitolea kwa mfumo au kungoja amri ya kudhibiti kutekeleza majukumu yake. Mara moja kwenye mashine, huanza kukusanya taarifa za kibinafsi mara moja na kuzihamisha kwa CnC. Tabia hii ya uchokozi kwa njia fulani inafanana na tabia ya ransomware, na tofauti pekee ni kwamba mwisho hauitaji muunganisho wa mtandao. Ikiwa unakutana na familia hii, baada ya kusafisha mfumo ulioambukizwa kutoka kwa programu hasidi yenyewe, lazima ubadilishe nywila zote ambazo zinaweza, angalau kinadharia, kuokolewa katika moja ya programu zilizoorodheshwa hapo juu.
Kuangalia mbele, tuseme kwamba washambuliaji kutuma WakalaTesla, kipakiaji cha awali cha boot kinabadilishwa mara nyingi sana. Hii hukuruhusu kubaki bila kutambuliwa na vichanganuzi tuli na vichanganuzi vya heuristic wakati wa shambulio. Na tabia ya familia hii kuanza mara moja shughuli zao hufanya wachunguzi wa mfumo kutokuwa na maana. Njia bora ya kupambana na AgentTesla ni uchanganuzi wa awali kwenye sanduku la mchanga.
Katika makala ya tatu ya mfululizo huu tutaangalia bootloaders nyingine kutumika WakalaTesla, na pia soma mchakato wa upakuaji wao wa nusu otomatiki. Usikose!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Msajili |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{jina la Hati} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%inregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%inregname% |
Mutex
Hakuna viashiria.
Files
| Shughuli ya faili |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%inname% |
| %Temp%tmpG{Wakati wa sasa katika milisekunde}.tmp |
| %Temp%log.tmp |
| %AppData%{Msururu kiholela wa herufi 10}.jpeg |
| C:UsersPublic{Mfuatano wa kiholela wa herufi 10}.vbs |
| %Temp%{Jina la folda maalum}{File name} |
Maelezo ya Sampuli
| jina | Haijulikani |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| aina | PE (.NET) |
| ukubwa | 327680 |
| Jina la asili | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Muhuri wa Tarehe | 01.07.2019 |
| Kampuni | VB.NET |
| jina | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| aina | PE (.NET DLL) |
| ukubwa | 16896 |
| Jina la asili | IELibrary.dll |
| Muhuri wa Tarehe | 11.10.2016 |
| Kampuni | Microsoft Linker(48.0*) |
Chanzo: mapenzi.com