Мо силсилаи мақолаҳои худро, ки ба таҳлили нармафзори зараровар бахшида шудаанд, идома медиҳем. ДАР Қисман мо нақл кардем, ки чӣ тавр Иля Померанцев, мутахассиси таҳлили нармафзори зараровар дар CERT Group-IB, файли тавассути почта аз яке аз ширкатҳои аврупоӣ гирифташударо таҳлили муфассал анҷом дод ва дар он ҷо нармафзори ҷосусиро кашф кард. Агенти Тесла. Дар ин мақола Иля натиҷаҳои таҳлили марҳила ба марҳилаи модули асосиро пешкаш мекунад Агенти Тесла.
Agent Tesla як нармафзори ҷосусии модулӣ мебошад, ки бо истифода аз модели нармафзори зараровар ҳамчун хидмат зери пардаи маҳсулоти қонунии keylogger паҳн карда мешавад. Агенти Тесла қодир аст, ки маълумоти корбарро аз браузерҳо, муштариёни почтаи электронӣ ва муштариёни FTP ба сервер ба ҳамлагарон истихроҷ ва интиқол диҳад, маълумоти буфериро сабт кунад ва экрани дастгоҳро сабт кунад. Ҳангоми таҳлил вебсайти расмии таҳиягарон дастрас набуд.
Файли конфигуратсия
Дар ҷадвали зер номбар шудааст, ки кадом функсия ба намунае, ки шумо истифода мебаред, дахл дорад:
| Шарҳи | арзиши |
| Парчами истифодаи KeyLogger | ҳақиқӣ |
| Парчами истифодаи ScreenLogger | бардурӯғ |
| Фосилаи фиристодани сабти KeyLogger дар дақиқаҳо | 20 |
| Фосилаи фиристодани сабти ScreenLogger дар дақиқаҳо | 20 |
| Парчами коркарди тугмаи Backspace. False - танҳо сабти ном. Дуруст - калиди қаблиро нест мекунад | бардурӯғ |
| навъи CNC. Имконот: smtp, webpanel, ftp | SMTP |
| Парчами фаъолсозии ришта барои қатъ кардани равандҳо аз рӯйхати "%filter_list%" | бардурӯғ |
| UAC парчамро хомӯш кунед | бардурӯғ |
| Менеҷери вазифаҳо парчамро хомӯш кунед | бардурӯғ |
| CMD парчамро хомӯш кунед | бардурӯғ |
| Парчами хомӯш кардани тирезаро иҷро кунед | бардурӯғ |
| Намоишгари реестр Парчамро хомӯш кунед | бардурӯғ |
| Парчами нуқтаҳои барқарорсозии системаро хомӯш кунед | ҳақиқӣ |
| Панели идоракунӣ парчамро хомӯш кунед | бардурӯғ |
| MSCONFIG парчамро хомӯш мекунад | бардурӯғ |
| Барои хомӯш кардани менюи контекстӣ дар Explorer қайд кунед | бардурӯғ |
| Парчами пиндор | бардурӯғ |
| Роҳ барои нусхабардории модули асосӣ ҳангоми пайваст кардани он ба система | %startuppapka% %inpapce%%inname% |
| Парчам барои гузоштани атрибутҳои "Система" ва "Пинҳон" барои модули асосии ба система таъиншуда | бардурӯғ |
| Вақте ки ба система пайваст карда мешавад, парчамро барои бозоғозӣ иҷро кунед | бардурӯғ |
| Парчам барои интиқол додани модули асосӣ ба ҷузвдони муваққатӣ | бардурӯғ |
| Парчами гузариш UAC | бардурӯғ |
| Формати сана ва вақт барои сабт | yyyy-MM-gg HH:mm:ss |
| Парчам барои истифодаи филтри барнома барои KeyLogger | ҳақиқӣ |
| Навъи филтркунии барнома. 1 – номи барнома дар сарлавҳаҳои равзана ҷустуҷӯ карда мешавад 2 – номи барнома дар номи равзана ҷустуҷӯ карда мешавад |
1 |
| Филтри барнома | "Фейсбук" "twitter" "gmail" "инстаграм" "филм" "скайп" "порно" "хак" "whatsapp" "низоъ" |
Ба система пайваст кардани модули асосӣ
Агар парчами мувофиқ гузошта шуда бошад, модули асосӣ ба роҳе, ки дар конфигуратсия ҳамчун роҳе, ки ба система таъин карда мешавад, нусхабардорӣ карда мешавад.
Вобаста аз арзиши конфигуратсия, ба файл атрибутҳои "Пинҳон" ва "Система" дода мешаванд.
Autorun аз ҷониби ду филиали реестр таъмин карда мешавад:
- Нармафзори HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Азбаски пурборкунанда ба раванд ворид мешавад RegAsm, гузоштани парчами доимӣ барои модули асосӣ ба оқибатҳои хеле ҷолиб оварда мерасонад. Ба ҷои нусхабардории худ, нармафзори зараровар файли аслиро ба система замима кард RegAsm.exe, ки дар рафти он сузандору гузаронда шуд.
Муносибат бо C&C
Новобаста аз усули истифодашуда, алоқаи шабакавӣ аз гирифтани IP-и берунаи ҷабрдида бо истифода аз манбаъ оғоз мешавад [.]amazonaws[.]com/.
Дар зер усулҳои ҳамкории шабакавӣ, ки дар нармафзор пешниҳод шудаанд, тавсиф карда мешаванд.
вебпанел
Муносибат тавассути протоколи HTTP сурат мегирад. Барномаи зараровар дархости POST-ро бо сарлавҳаҳои зерин иҷро мекунад:
- Корбар-Агенти: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Пайвастшавӣ: Зинда нигоҳ доред
- Content-Type: application/x-www-form-urlencoded
Суроғаи сервер бо арзиш муайян карда мешавад %PostURL%. Паёми рамзгузоришуда дар параметр фиристода мешавад «P». Механизми рамзгузорӣ дар бахш тавсиф шудааст "Алгоритмҳои рамзгузорӣ" (Усули 2).
Паёми интиқолшуда чунин менамояд:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Параметр намуди намуди паёмро нишон медиҳад:
хвид — хэши MD5 аз арзишҳои рақами силсилавии motherboard ва ID протсессор сабт карда мешавад. Эҳтимол, ҳамчун ID корбар истифода мешавад.
замон — барои интиқоли вақт ва санаи ҷорӣ хизмат мекунад.
номи компютер - муайян карда мешавад <Номи корбар>/<Номи компютер>.
сабти маълумот - маълумоти сабт.
Ҳангоми интиқоли паролҳо, паём чунин менамояд:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Дар зер тавсифи маълумоти дуздидашуда дар формат оварда шудаанд nclient[]={0}nlink[]={1}номи корбар[]={2}npassword[]={3}.
SMTP
Муносибат тавассути протоколи SMTP сурат мегирад. Ҳарфи интиқолшуда дар формати HTML аст. Параметр МАҚОМОТИ ба назар мерасад:
Сарлавҳаи мактуб шакли умумӣ дорад: <НОМАИ Истифодабаранда>/<Номи КОМПЬЮТЕР> <НАМУДИ МАЗМУР>. Мундариҷаи мактуб, инчунин замимаҳои он рамзгузорӣ нашудаанд.
Муносибат тавассути протоколи FTP сурат мегирад. Файл бо ном ба сервери муайян интиқол дода мешавад <НАВИ МУНДАРИҶА>_<НОМАИ Истифодабаранда>-<Номи КОМПЬЮТЕР>_<САНА ВА ВАҚТ>.html. Мундариҷаи файл рамзгузорӣ нашудааст.
Алгоритмҳои рамзгузорӣ
Дар ин ҳолат усулҳои рамзгузории зерин истифода мешавад:
Усули 1
Ин усул барои рамзгузории сатрҳо дар модули асосӣ истифода мешавад. Алгоритме, ки барои рамзгузорӣ истифода мешавад AES.
Ворид адади шашрақамаи даҳӣ аст. Дар он тағироти зерин анҷом дода мешавад:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Арзиши натиҷа индекси массиви додаҳо мебошад.
Ҳар як элементи массив пайдарпай аст ДУСТЙ. Ҳангоми муттаҳидшавӣ ДУСТЙ массиви байтҳо ба даст оварда мешавад: 32 байти аввал калиди рамзгузорӣ, пас аз он 16 байт вектори оғозёбӣ ва байтҳои боқимонда маълумоти рамзшуда мебошанд.
Усули 2
Алгоритм истифода мешавад 3DES дар ҳолати ECB бо пуркунӣ дар тамоми байтҳо (PKCS7).
Калид аз ҷониби параметр муайян карда мешавад %urlkey%Аммо, рамзгузорӣ хэши MD5-и худро истифода мебарад.
Функсияи зараровар
Намунае, ки мавриди омӯзиш қарор дорад, барномаҳои зеринро барои иҷрои вазифаи зараровараш истифода мебарад:
сабткунандаи калид
Агар бо истифода аз функсияи WinAPI парчами нармафзори зараровар мавҷуд бошад SetWindowsHookEx коркардкунандаи худро барои рӯйдодҳои пахши клавиатура дар клавиатура таъин мекунад. Функсияи коркардкунанда бо гирифтани унвони равзанаи фаъол оғоз меёбад.
Агар парчами филтркунии барнома муқаррар карда шуда бошад, филтр вобаста ба намуди муайяншуда анҷом дода мешавад:
- номи барнома дар сарлавҳаҳои равзана ҷустуҷӯ карда мешавад
- номи барнома дар номи раванди равзана дида мешавад
Баъдан, сабт ба сабт бо маълумот дар бораи равзанаи фаъол дар формат илова карда мешавад:
Сипас маълумот дар бораи тугмаи пахшшуда сабт карда мешавад:
| Калидвожа | рекорд |
| Бозгашт | Вобаста ба парчами коркарди калиди Backspace: False – {BACK} Дуруст - калиди қаблиро нест мекунад |
| ҲАРФҲОИ КАЛОН ДАРГИРОН | {ҲАРФҲОИ КАЛОН ДАРГИРОН} |
| ФАРОР | {ФАРОР} |
| Саҳифа боло | {PageUp} |
| поён | ↓ |
| БЕҲТАРИН | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {ТАБ} |
| < | < |
| > | > |
| Spacebar | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + ТАБ | {ALT+TAB} |
| ПОЁН | {ПОЁН} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| рост | → |
| Up | ↑ |
| F1 | {F1} |
| чап | ← |
| PageDown | {PageDown} |
| Вориди | {Воҳид} |
| буриш | {Ғолиб} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| АСОСӢ | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Калиди дигар | Аломат вобаста ба мавқеи калидҳои CapsLock ва Shift бо ҳарфи калон ё хурд навишта мешавад |
Дар басомади муайян, гузориши ҷамъшуда ба сервер фиристода мешавад. Агар интиқол муваффақ набошад, сабт ба файл захира карда мешавад %TEMP%log.tmp дар формат:
Вақте ки таймер оташ мегирад, файл ба сервер интиқол дода мешавад.
ScreenLogger
Дар басомади муайян, нармафзори зараровар скриншотро дар формат эҷод мекунад JPEG бо маъно сифат ба 50 баробар аст ва онро дар файл захира мекунад %APPDATA %<Пайдардии тасодуфии 10 аломат>.jpg. Пас аз интиқол, файл нест карда мешавад.
ClipboardLogger
Агар парчами мувофиқ гузошта шуда бошад, дар матни боздоштшуда мувофиқи ҷадвали дар поён овардашуда иваз карда мешавад.
Пас аз ин, матн ба журнал дохил карда мешавад:
Рамздуздӣ
Барномаи зараровар метавонад паролҳоро аз барномаҳои зерин зеркашӣ кунад:
| Браузерҳо | Мизоҷони почта | Мизоҷони FTP |
| Chrome | нущтаи назар | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| Сафари | Почтаи Opera | CoreFTP |
| Браузери Opera | IncrediMail | Навигатори FTP |
| Yandex | Покомайл | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Бат | Фармондеҳи FTP |
| Хром | Қуттии почта | |
| Шакар | ClawsMail | |
| 7Star | ||
| Дӯстӣ | ||
| BraveSoftware | Мизоҷони Jabber | мизоҷони VPN |
| CentBrowser | Psi/Psi+ | VPN кушоед |
| Чедот | ||
| CocCoc | ||
| Браузери Elements | Менеҷерҳои зеркашӣ | |
| Браузери махфияти эпикӣ | Менеҷери Download Download Internet | |
| Думдор | JDownloader | |
| Орбитум | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Браузери Flock | ||
| UC Browser | ||
| BlackHawk | ||
| CyberFox | ||
| К-Мелеон | ||
| гурба ях | ||
| яхдон | ||
| ПалеМун | ||
| WaterFox | ||
| Браузери Falkon |
Муқовимат ба таҳлили динамикӣ
- Истифодаи функсия хоб. Ба шумо имкон медиҳад, ки баъзе қуттиҳои қумро то вақти фаромадани вақт гузаред
- Нобуд кардани ришта Минтақаи муайянкунанда. Ба шумо имкон медиҳад, ки далели зеркашии файлро аз Интернет пинҳон кунед
- Дар параметр %filter_list% рӯйхати равандҳоеро муайян мекунад, ки нармафзори зараровар бо фосилаи як сония қатъ мешавад
- Бастабандӣ UAC
- Хомӯш кардани мудири вазифа
- Бастабандӣ ДМ
- Хомӯш кардани тиреза "Выполнить"
- Хомӯш кардани панели идоракунӣ
- Хомӯш кардани асбоб RegEdit
- Хомӯш кардани нуқтаҳои барқарорсозии система
- Менюи контекстиро дар Explorer хомӯш кунед
- Бастабандӣ MSCONFIG
- Гузаштан UAC:
Хусусиятҳои ғайрифаъол аз модули асосӣ
Дар рафти тахлили модули асосй вазифахое муайян карда шуданд, ки барои пахн дар тамоми шабака ва пайгирии мавкеи муш масъуланд.
Ворид
Ҳодисаҳо барои пайваст кардани васоити ҷудошаванда дар риштаи алоҳида назорат карда мешаванд. Ҳангоми пайвастшавӣ, нармафзори зараровар бо ном ба решаи системаи файлӣ нусхабардорӣ карда мешавад scr.exe, пас аз он файлҳоро бо васеъшавӣ ҷустуҷӯ мекунад лнк. Дастаи ҳама лнк тағирот ба cmd.exe /c start scr.exe&оғоз кардани <фармони аслӣ> ва баромадан.
Ба ҳар як директория дар решаи ВАО атрибут дода мешавад "Пинҳон" ва файл бо васеъшавӣ сохта мешавад лнк бо номи директорияи пинҳоншуда ва фармон cmd.exe /c start scr.exe&explorer /root,"%CD%<НОМАИ ДИРЕКТОР>" ва баромадан.
MouseTracker
Усули иҷрои боздошт ба усули клавиатура монанд аст. Ин функсия ҳоло ҳам дар ҳоли таҳия аст.
Фаъолияти файл
| роҳ | Шарҳи |
| %Temp%temp.tmp | Як ҳисобкунак барои кӯшишҳои гузариш UAC дорад |
| %startuppapka%%inpapce%%insname% | Роҳе, ки ба системаи HPE таъин карда мешавад |
| %Temp%tmpG{Вақти ҷорӣ бо миллисонияҳо}.tmp | Роҳ барои нусхабардории модули асосӣ |
| %Temp%log.tmp | Файли сабт |
| %AppData%{Пайдардии ихтиёрии 10 аломат}.jpeg | Суратҳо |
| C:UsersPublic{Пайдардии ихтиёрии 10 аломат}.vbs | Роҳ ба файли vbs, ки пурборкунанда метавонад барои замима ба система истифода кунад |
| %Temp%{Номи ҷузвдони фармоишӣ}{Номи файл} | Роҳе, ки аз ҷониби пурборкунанда барои пайваст шудан ба система истифода мешавад |
Профили ҳамлагар
Ба шарофати маълумоти аутентификатсияи сахт кодшуда, мо тавонистем ба маркази фармон дастрасӣ пайдо кунем.
Ин ба мо имкон дод, ки почтаи ниҳоии ҳамлагаронро муайян кунем:
junaid[.]дар***@gmail[.]com.
Номи домени маркази фармон дар почта сабт шудааст sg***@gmail[.]com.
хулоса
Ҳангоми таҳлили муфассали нармафзори зарароваре, ки дар ҳамла истифода мешаванд, мо тавонистем, ки функсияҳои онро муқаррар кунем ва рӯйхати пурраи нишондиҳандаҳои созишро, ки ба ин парванда дахл доранд, ба даст орем. Фаҳмидани механизмҳои ҳамкории шабакавии нармафзори зараровар имкон дод, ки барои танзими кори воситаҳои амнияти иттилоотӣ тавсияҳо дода, инчунин қоидаҳои устувори IDS навишта шаванд.
Хавфи асосӣ Агенти Тесла ба монанди DataStealer, ки ба он лозим нест, ки ба система итоат кунад ё интизори фармони назорат барои иҷрои вазифаҳои худ бошад. Пас аз ба мошин, он фавран ба ҷамъоварии маълумоти хусусӣ оғоз мекунад ва онро ба CnC интиқол медиҳад. Ин рафтори хашмгин аз баъзе ҷиҳатҳо ба рафтори ransomware монанд аст ва ягона фарқият дар он аст, ки охирин ҳатто пайвасти шабакаро талаб намекунад. Агар шумо бо ин оила дучор шавед, пас аз тоза кардани системаи сироятшуда аз худи нармафзор, шумо бояд ҳатман ҳама паролҳоро иваз кунед, ки ҳадди аққал аз ҷиҳати назариявӣ дар яке аз замимаҳои дар боло номбаршуда захира карда шаванд.
Ба пеш нигоҳ карда, бигӯем, ки ҳамлагарон фиристода мешаванд Агенти Тесла, боркунаки ибтидоӣ хеле зуд иваз карда мешавад. Ин ба шумо имкон медиҳад, ки ҳангоми ҳамла аз ҷониби сканерҳои статикӣ ва анализаторҳои эвристикӣ нодида бимонед. Ва тамоюли ин хонавода дарҳол ба фаъолият шурӯъ кардани мониторҳои системавиро бефоида месозад. Беҳтарин роҳи мубориза бо AgentTesla ин таҳлили пешакӣ дар қуттии қум мебошад.
Дар мақолаи сеюми ин силсила мо дигар боркунакҳои истифодашударо дида мебароем Агенти Тесла, инчунин процесси ба таври нимавтоматй кушодани онхоро меомузанд. Аз даст надиҳед!
Хаш
| ШАХНОМX |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Нишондиҳанда |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Номи скрипт} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Мутекс
Нишондиҳандаҳо вуҷуд надоранд.
Files
| Фаъолияти файл |
| %Temp%temp.tmp |
| %startuppapka%%inpapce%%insname% |
| %Temp%tmpG{Вақти ҷорӣ бо миллисонияҳо}.tmp |
| %Temp%log.tmp |
| %AppData%{Пайдардии ихтиёрии 10 аломат}.jpeg |
| C:UsersPublic{Пайдардии ихтиёрии 10 аломат}.vbs |
| %Temp%{Номи ҷузвдони фармоишӣ}{Номи файл} |
Маълумоти намунавӣ
| ном | номашҳур |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| ШАХНОМX | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| ШАХНОМX | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Намуди | PE (.NET) |
| андоза | 327680 |
| Номи аслӣ | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Тамғаи сана | 01.07.2019 |
| Тартибдиҳанда | VB.NET |
| ном | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| ШАХНОМX | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| ШАХНОМX | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Намуди | PE (.NET DLL) |
| андоза | 16896 |
| Номи аслӣ | IELibrary.dll |
| Тамғаи сана | 11.10.2016 |
| Тартибдиҳанда | Microsoft Linker (48.0*) |
Манбаъ: will.com