Иштироки овоздиҳӣ ноком шуд: биёед AgentTesla-ро ба оби тоза гузорем. Қисми 1

Ба наздикӣ як истеҳсолкунандаи аврупоии таҷҳизоти насби барқ ​​​​бо Group-IB тамос гирифт - корманди он дар почта мактуби шубҳанокро бо замимаи зараровар гирифт. Илья Померанцев, мутахассиси таҳлили нармафзори зараровар дар CERT Group-IB, таҳлили муфассали ин файлро анҷом дода, дар он ҷо барномаи ҷосусии AgentTesla-ро кашф кард ва гуфт, ки аз чунин нармафзори зараровар чиро интизор шудан мумкин аст ва он чӣ гуна хатарнок аст.

Бо ин паём мо як силсила мақолаҳоро дар бораи чӣ гуна таҳлил кардани чунин файлҳои эҳтимолан хатарнок мекушоем ва мо интизори вебинарҳои интерактивии ройгон дар ин мавзӯъ 5 декабр кунҷковтарин ҳастем. "Таҳлили нармафзори зараровар: Таҳлили ҳолатҳои воқеӣ". Ҳама тафсилотҳо дар зери буридаанд.

Механизми тақсимот

Мо медонем, ки нармафзори зараровар тавассути почтаи электронии фишинг ба мошини ҷабрдида расидааст. Эҳтимол, гирандаи нома ба BCC дода шудааст.

Таҳлили сарлавҳаҳо нишон медиҳад, ки фиристодаи мактуб қаллобӣ шудааст. Дарвоқеъ, мактуб бо он мондааст vps56[.]oneworldhosting[.]com.

Замимаи почтаи электронӣ дорои бойгонии WinRar мебошад qoute_jpeg56a.r15 бо файли иҷрошавандаи зараровар QOUTE_JPEG56A.exe дарун

Экосистемаи нармафзори зараровар

Акнун биёед бубинем, ки экосистемаи нармафзори зараровар мавриди омӯзиш чӣ гуна аст. Дар диаграммаи зер сохтори он ва самтҳои таъсири мутақобилаи ҷузъҳо нишон дода шудааст.

Акнун биёед ҳар як ҷузъи нармафзори зарароварро муфассалтар дида бароем.

Боркунак

Файли аслӣ QOUTE_JPEG56A.exe тартиб дода шудааст AutoIt v3 скрипт.

Барои нофаҳмо кардани скрипти аслӣ, як obfuscator бо монанд PELock AutoIT-Obfuscator хусусиятҳо.
Деобфузатсия дар се марҳила сурат мегирад:

1. Бартараф кардани нофаҳмиҳо Барои-Агар

   Қадами аввал барқарор кардани ҷараёни идоракунии скрипт мебошад. Ҳамворкунии ҷараёни назорат яке аз роҳҳои маъмултарини ҳифзи коди дуии барнома аз таҳлил мебошад. Трансформатсияҳои печида мураккабии истихроҷ ва эътирофи алгоритмҳо ва сохторҳои додаҳоро ба таври назаррас афзоиш медиҳанд.

   

2. Барқарорсозии сатр

   Барои рамзгузории сатр ду функсия истифода мешавад:

   • gdorizabegkvfca - Рамзкуниро ба монанди Base64 иҷро мекунад

     

   • xgacyukcyzxz - XOR байт-байти оддии сатри аввал бо дарозии дуюм

     

   

3. Бартараф кардани нофаҳмиҳо BinaryToString и Иҷрои

   

Сарбории асосӣ дар шакли тақсимшуда дар директория нигоҳ дошта мешавад Ҳарфҳои қисмҳои захираҳои файл.

Тартиби часпак чунин аст: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Функсияи WinAPI барои рамзкушоӣ кардани маълумоти истихроҷшуда истифода мешавад CryptDecrypt, ва калиди сессия дар асоси арзиш тавлидшуда ҳамчун калид истифода мешавад fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Файли иҷрошавандаи рамзкушошуда ба вуруди функсия фиристода мешавад RunPE, ки ба амал мебарорад ProcessInject в RegAsm.exe бо истифода аз дарунсохт ShellCode (инчунин маълум аст PE ShellCode -ро иҷро кунед). Муаллиф ба корбари форуми испанӣ тааллуқ дорад ошкорнашаванда[.]нет бо лақаби Wardow.

Инчунин бояд қайд кард, ки дар яке аз риштаҳои ин форум, як obfuscator барои Дар бом бо хосиятҳои шабеҳи ҳангоми таҳлили намуна муайяншуда.

Худи худ ShellCode хеле содда ва ҷалби таваҷҷӯҳ танҳо аз гурӯҳи ҳакерӣ AnunakCarbanak қарз. Функсияи hashing занги API.

Мо инчунин аз ҳолатҳои истифода огоҳем Рамзи Shell Frenchy версияҳои гуногун.
Илова ба функсияҳои тавсифшуда, мо инчунин функсияҳои ғайрифаъолро муайян кардем:

• Бастани қатъи раванди дастӣ дар мудири вазифа

  

• Аз нав оғоз кардани раванди кӯдак ҳангоми қатъ шудани он

  

• UAC-ро буред

  

• Нигоҳ доштани бори боркаш ба файл

  

• Намоиши тирезаҳои модалӣ

  

• Мунтазири тағир додани мавқеи курсори муш

  

• AntiVM ва AntiSandbox

  

• Худкушӣ

  

• Боргирии боркашонӣ аз шабака

  

Мо медонем, ки чунин функсия барои муҳофизаткунанда хос аст CypherIT, ки аз афташ, пурборкунандаи мавриди назар аст.

Модули асосии нармафзор

Минбаъд, мо модули асосии нармафзори зарароварро мухтасар тавсиф мекунем ва онро дар мақолаи дуюм муфассалтар баррасӣ мекунем. Дар ин ҳолат, он як барнома аст .NET.

Ҳангоми таҳлил мо фаҳмидем, ки обфускатор истифода шудааст ConfuserEX.

IELibrary.dll

Китобхона ҳамчун манбаи асосии модул нигоҳ дошта мешавад ва як плагини маъруф барои Агенти Тесла, ки функсияро барои истихроҷи маълумоти гуногун аз браузерҳои Internet Explorer ва Edge таъмин мекунад.

Agent Tesla як нармафзори ҷосусии модулӣ мебошад, ки бо истифода аз модели нармафзори зараровар ҳамчун хидмат зери пардаи маҳсулоти қонунии keylogger паҳн карда мешавад. Агенти Тесла қодир аст, ки маълумоти корбарро аз браузерҳо, муштариёни почтаи электронӣ ва муштариёни FTP ба сервер ба ҳамлагарон истихроҷ ва интиқол диҳад, маълумоти буфериро сабт кунад ва экрани дастгоҳро сабт кунад. Ҳангоми таҳлил вебсайти расмии таҳиягарон дастрас набуд.

Нуқтаи воридшавӣ функсия аст GetSavedPasswords синфи InternetExplorer.

Умуман, иҷрои код хаттӣ аст ва ҳеҷ гуна муҳофизат аз таҳлилро дар бар намегирад. Танҳо вазифаи иҷронашуда сазовори таваҷҷӯҳ аст GetSavedCookies. Эҳтимол, бояд функсияи плагин васеъ карда шавад, аммо ин ҳеҷ гоҳ иҷро нашуд.

Пайваст кардани боркунак ба система

Биёед бубинем, ки чӣ тавр пурборкунанда ба система пайваст карда шудааст. Намунае, ки мавриди омӯзиш қарор дорад, лангар намегузорад, аммо дар ҳолатҳои шабеҳ он мувофиқи нақшаи зерин рух медиҳад:

1. Дар папка C: UsersPublic скрипт сохта мешавад Visual Basic

   Намунаи скрипт:

   

2. Мундариҷаи файли пурборкунанда бо аломати нул пур карда мешавад ва дар ҷузвдон захира карда мешавад %Temp%
3. Дар феҳрист барои файли скрипт калиди автоматӣ сохта мешавад HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Ҳамин тариқ, дар асоси натиҷаҳои қисми аввали таҳлил, мо тавонистем номи оилаҳои ҳамаи ҷузъҳои нармафзори зарароварро, ки мавриди омӯзиш қарор доранд, муайян кунем, шакли сироятро таҳлил кунем ва инчунин объектҳоро барои навиштани имзоҳо ба даст орем. Мо таҳлили ин объектро дар мақолаи навбатӣ идома медиҳем, ки дар он модули асосиро муфассалтар дида мебароем Агенти Тесла. Аз даст надиҳед!

Воқеан, рӯзи 5 декабр мо ҳама хонандагонро ба вебинари интерактивии ройгон дар мавзӯи «Таҳлили нармафзори зараровар: таҳлили ҳолатҳои воқеӣ» даъват мекунем, ки дар он муаллифи ин мақола, мутахассиси CERT-GIB марҳилаи якуми барномаро онлайн намоиш медиҳад. Таҳлили нармафзори зараровар - кушодани нимавтоматии намунаҳо бо истифода аз мисоли се ҳолати воқеии таҷрибавӣ, ва шумо метавонед дар таҳлил иштирок кунед. Вебинар барои мутахассисоне мувофиқ аст, ки аллакай дар таҳлили файлҳои зараровар таҷриба доранд. Бақайдгирӣ ба таври қатъӣ аз почтаи электронии корпоративӣ сурат мегирад: ба қайд гирифтан. Интизори шумо!

Ягон

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Хэшҳо

ном	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
ШАХНОМX	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
ШАХНОМX	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Намуди	Архив WinRAR
андоза	823014

ном	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
ШАХНОМX	8010CC2AF398F9F951555F7D481CE13DF60BBECF
ШАХНОМX	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Намуди	PE (Скрипти таҳияшудаи AutoIt)
андоза	1327616
Номи аслӣ	номашҳур
Тамғаи сана	15.07.2019
Линкер	Microsoft Linker (12.0) [EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
ШАХНОМX	79B445DE923C92BF378B19D12A309C0E9C5851BF
ШАХНОМX	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Намуди	ShellCode
андоза	1474

Манбаъ: will.com