Nabigo ang turnout: ilantad natin si AgentTesla sa malinis na tubig. Bahagi 1
Kamakailan, nakipag-ugnayan ang isang European manufacturer ng electrical installation equipment sa Group-IB - nakatanggap ang empleyado nito ng kahina-hinalang sulat na may malisyosong attachment sa mail. Ilya Pomerantsev, isang espesyalista sa pagsusuri ng malware sa CERT Group-IB, ay nagsagawa ng isang detalyadong pagsusuri sa file na ito, natuklasan ang AgentTesla spyware doon at sinabi kung ano ang aasahan mula sa naturang malware at kung paano ito mapanganib.
Sa post na ito, binubuksan namin ang isang serye ng mga artikulo kung paano suriin ang mga potensyal na mapanganib na file, at naghihintay kami para sa pinaka-mausisa sa Disyembre 5 para sa isang libreng interactive na webinar sa paksa. "Pagsusuri ng Malware: Pagsusuri ng Mga Tunay na Kaso". Ang lahat ng mga detalye ay nasa ilalim ng hiwa.
Mekanismo ng pamamahagi
Alam namin na naabot ng malware ang makina ng biktima sa pamamagitan ng mga phishing na email. Ang nakatanggap ng sulat ay malamang na BCCed.
Ipinapakita ng pagsusuri sa mga header na na-spoof ang nagpadala ng liham. Sa katunayan, ang sulat na iniwan vps56[.]oneworldhosting[.]com.
Ang email attachment ay naglalaman ng isang WinRar archive qoute_jpeg56a.r15 na may malisyosong executable file QOUTE_JPEG56A.exe sa loob
Malware ecosystem
Ngayon tingnan natin kung ano ang hitsura ng ecosystem ng malware na pinag-aaralan. Ang diagram sa ibaba ay nagpapakita ng istraktura nito at ang mga direksyon ng pakikipag-ugnayan ng mga bahagi.
Ngayon tingnan natin ang bawat isa sa mga bahagi ng malware nang mas detalyado.
Loader
Orihinal na file QOUTE_JPEG56A.exe ay isang pinagsama-sama AutoIt v3 script.
Upang i-obfuscate ang orihinal na script, isang obfuscator na may katulad PElock AutoIT-Obfuscator katangian.
Ang deobfuscation ay isinasagawa sa tatlong yugto:
Pag-alis ng obfuscation Sapagkat kung
Ang unang hakbang ay ibalik ang control flow ng script. Ang Control Flow Flattening ay isa sa mga pinakakaraniwang paraan upang maprotektahan ang binary code ng application mula sa pagsusuri. Ang nakakalito na mga pagbabagong-anyo ay kapansin-pansing nagpapataas sa pagiging kumplikado ng pagkuha at pagkilala ng mga algorithm at istruktura ng data.
Pagbawi ng hilera
Dalawang function ang ginagamit upang i-encrypt ang mga string:
gdorizabegkvfca - Nagsasagawa ng Base64-like decoding
xgacyukcyzxz - simpleng byte-byte XOR ng unang string na may haba ng pangalawa
Pag-alis ng obfuscation BinaryToString ΠΈ Isakatuparan
Ang pangunahing load ay naka-imbak sa isang hinati na form sa direktoryo Font mga seksyon ng mapagkukunan ng file.
Ang pagkakasunud-sunod ng gluing ay ang mga sumusunod: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Ang WinAPI function ay ginagamit upang i-decrypt ang nakuhang data CryptoDecrypt, at ang session key na nabuo batay sa value ay ginagamit bilang key fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ang decrypted executable file ay ipinapadala sa function input RunPE, na nagsasagawa ProcessInject Π² RegAsm.exe gamit ang built-in ShellCode (kilala din sa RunPE ShellCode). Ang akda ay pag-aari ng gumagamit ng Spanish forum mga hindi matukoy[.]net sa ilalim ng palayaw na Wardow.
Ito ay nagkakahalaga din na tandaan na sa isa sa mga thread ng forum na ito, isang obfuscator para sa AutoIt na may mga katulad na katangian na natukoy sa panahon ng pagsusuri ng sample.
Siya mismo ShellCode medyo simple at nakakaakit ng atensyon na hiniram lamang mula sa pangkat ng hacker na AnunakCarbanak. API call hashing function.
Alam din namin ang mga kaso ng paggamit Frenchy Shellcode iba't ibang bersyon.
Bilang karagdagan sa inilarawan na pag-andar, natukoy din namin ang mga hindi aktibong function:
Pag-block ng manu-manong pagwawakas ng proseso sa task manager
I-restart ang proseso ng bata kapag natapos na ito
I-bypass ang UAC
Sine-save ang payload sa isang file
Pagpapakita ng modal windows
Naghihintay na magbago ang posisyon ng cursor ng mouse
AntiVM at AntiSandbox
Pagsira sa sarili
Pumping payload mula sa network
Alam namin na ang gayong pag-andar ay tipikal para sa tagapagtanggol CypherIT, na, tila, ay ang bootloader na pinag-uusapan.
Pangunahing module ng software
Susunod, maikling ilalarawan namin ang pangunahing module ng malware, at isaalang-alang ito nang mas detalyado sa pangalawang artikulo. Sa kasong ito, ito ay isang application sa . NET.
Sa panahon ng pagsusuri, natuklasan namin na isang obfuscator ang ginamit ConfuserEX.
IELlibrary.dll
Ang library ay naka-imbak bilang pangunahing mapagkukunan ng module at isang kilalang plugin para sa AhenteTesla, na nagbibigay ng functionality para sa pagkuha ng iba't ibang impormasyon mula sa Internet Explorer at Edge browser.
Ang Agent Tesla ay isang modular spying software na ipinamahagi gamit ang malware-as-a-service na modelo sa ilalim ng pagkukunwari ng isang lehitimong produkto ng keylogger. Ang Agent Tesla ay may kakayahang mag-extract at mag-transmit ng mga kredensyal ng user mula sa mga browser, email client at FTP client patungo sa server sa mga umaatake, mag-record ng data ng clipboard, at makuha ang screen ng device. Sa oras ng pagsusuri, ang opisyal na website ng mga developer ay hindi magagamit.
Ang entry point ay ang function GetSavedPasswords klase InternetExplorer.
Sa pangkalahatan, linear ang pagpapatupad ng code at hindi naglalaman ng anumang proteksyon laban sa pagsusuri. Tanging ang hindi natupad na pag-andar ang nararapat pansin GetSavedCookies. Tila, ang pag-andar ng plugin ay dapat na pinalawak, ngunit hindi ito nagawa.
Pag-attach ng bootloader sa system
Pag-aralan natin kung paano nakakabit ang bootloader sa system. Ang ispesimen sa ilalim ng pag-aaral ay hindi nakaangkla, ngunit sa mga katulad na kaganapan ito ay nangyayari ayon sa sumusunod na pamamaraan:
Sa folder C:UsersPublic nilikha ang script Visual Basic
Halimbawa ng script:
Ang mga nilalaman ng loader file ay nilagyan ng null character at nai-save sa folder %Temp%
Ang isang autorun key ay nilikha sa registry para sa script file HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Kaya, batay sa mga resulta ng unang bahagi ng pagsusuri, naitatag namin ang mga pangalan ng mga pamilya ng lahat ng bahagi ng malware na pinag-aaralan, nasuri ang pattern ng impeksyon, at nakakuha din ng mga bagay para sa pagsulat ng mga lagda. Ipagpapatuloy namin ang aming pagsusuri sa bagay na ito sa susunod na artikulo, kung saan titingnan namin ang pangunahing module nang mas detalyado AhenteTesla. Huwag palampasin!
Sa pamamagitan ng paraan, sa Disyembre 5 iniimbitahan namin ang lahat ng mga mambabasa sa isang libreng interactive na webinar sa paksang "Pagsusuri ng malware: pagsusuri ng mga totoong kaso", kung saan ang may-akda ng artikulong ito, isang espesyalista sa CERT-GIB, ay magpapakita online sa unang yugto ng pagsusuri ng malware - semi-awtomatikong pag-unpack ng mga sample gamit ang halimbawa ng tatlong totoong mini-case mula sa pagsasanay, at maaari kang makilahok sa pagsusuri. Ang webinar ay angkop para sa mga espesyalista na mayroon nang karanasan sa pagsusuri ng mga nakakahamak na file. Ang pagpaparehistro ay mahigpit mula sa corporate email: magparehistro. Naghihintay sa iyo!