Kötü amaçlı yazılım analizine yönelik makale serimize devam ediyoruz. İÇİNDE Kısmen, CERT Group-IB'de kötü amaçlı yazılım analiz uzmanı Ilya Pomerantsev'in Avrupalı şirketlerin birinden posta yoluyla alınan bir dosyanın ayrıntılı analizini nasıl yaptığını ve orada casus yazılımları nasıl keşfettiğini anlattık. ajan Tesla. Bu makalede Ilya, ana modülün adım adım analizinin sonuçlarını sunuyor ajan Tesla.
Ajan Tesla, meşru bir keylogger ürünü kisvesi altında hizmet olarak kötü amaçlı yazılım modeli kullanılarak dağıtılan modüler bir casusluk yazılımıdır. Ajan Tesla, tarayıcılardan, e-posta istemcilerinden ve FTP istemcilerinden kullanıcı kimlik bilgilerini alıp sunucuya saldırganlara aktarma, pano verilerini kaydetme ve cihaz ekranını yakalama yeteneğine sahiptir. Analiz sırasında geliştiricilerin resmi web sitesi mevcut değildi.
Yapılandırma dosyası
Aşağıdaki tablo, kullandığınız örnek için hangi işlevlerin geçerli olduğunu listeler:
| Açıklama | Değer |
| KeyLogger kullanım bayrağı | gerçek |
| ScreenLogger kullanım bayrağı | yanlış |
| Dakika olarak KeyLogger günlüğü gönderme aralığı | 20 |
| Dakika olarak ScreenLogger günlüğü gönderme aralığı | 20 |
| Geri silme tuşu işleme bayrağı. Yanlış – yalnızca günlüğe kaydetme. Doğru – önceki anahtarı siler | yanlış |
| CNC tipi. Seçenekler: smtp, web paneli, ftp | smtp |
| “%filter_list%” listesinden işlemleri sonlandırmak için iş parçacığı etkinleştirme bayrağı | yanlış |
| UAC devre dışı bırakma bayrağı | yanlış |
| Görev yöneticisi devre dışı bırakma bayrağı | yanlış |
| CMD devre dışı bırakma bayrağı | yanlış |
| Pencereyi devre dışı bırakma bayrağını çalıştır | yanlış |
| Kayıt Defteri Görüntüleyiciyi Devre Dışı Bırakma Bayrağı | yanlış |
| Sistem geri yükleme noktaları işaretini devre dışı bırak | gerçek |
| Kontrol paneli devre dışı bırakma bayrağı | yanlış |
| MSCONFIG devre dışı bırakma bayrağı | yanlış |
| Explorer'da içerik menüsünü devre dışı bırakmak için işaretleyin | yanlış |
| Bayrağı sabitle | yanlış |
| Ana modülü sisteme sabitlerken kopyalama yolu | %startupfolder% %insfolder%%insname% |
| Sisteme atanan ana modül için “Sistem” ve “Gizli” niteliklerini ayarlama bayrağı | yanlış |
| Sisteme sabitlendiğinde yeniden başlatma gerçekleştirmek için işaret | yanlış |
| Ana modülü geçici bir klasöre taşıma işareti | yanlış |
| UAC bypass bayrağı | yanlış |
| Günlüğe kaydetme için tarih ve saat biçimi | yyyy-AA-gg SS:dd:ss |
| KeyLogger için program filtresi kullanma işareti | gerçek |
| Program filtreleme türü. 1 – pencere başlıklarında program adı aranır 2 – pencere işlem adında program adı aranır |
1 |
| Program filtresi | "Facebook" "twitter" "gmail" "instagram" "film" "skype" "porno" "hile" "Naber" "anlaşmazlık" |
Ana modülün sisteme takılması
İlgili bayrak ayarlandığında ana modül, sisteme atanacak yol olarak config'te belirtilen yola kopyalanır.
Yapılandırmadaki değere bağlı olarak dosyaya "Gizli" ve "Sistem" özellikleri verilir.
Otomatik çalıştırma iki kayıt defteri şubesi tarafından sağlanır:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApproved%insregname% dosyasını çalıştır
Önyükleyici sürece enjekte ettiğinden beri RegAsmAna modül için kalıcı bayrağın ayarlanması oldukça ilginç sonuçlara yol açar. Kötü amaçlı yazılım kendini kopyalamak yerine orijinal dosyayı sisteme ekledi RegAsm.exeenjeksiyonun gerçekleştirildiği sırada.
C&C ile etkileşim
Kullanılan yöntem ne olursa olsun ağ iletişimi, kaynağı kullanarak kurbanın harici IP'sinin alınmasıyla başlar. [.]amazonaws[.]com/.
Aşağıda yazılımda sunulan ağ etkileşimi yöntemleri açıklanmaktadır.
web paneli
Etkileşim HTTP protokolü aracılığıyla gerçekleşir. Kötü amaçlı yazılım aşağıdaki başlıklarla bir POST isteği yürütür:
- Kullanıcı Aracısı: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Bağlantı: Canlı Tut
- İçerik Türü: application / x-www-form-urlencoded
Sunucu adresi değere göre belirtilir %PostURL%. Şifreli mesaj parametrede gönderilir «P». Şifreleme mekanizması bölümde açıklanmıştır. "Şifreleme Algoritmaları" (Yöntem 2).
İletilen mesaj şuna benzer:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parametre tip mesaj türünü gösterir:
geniş — Anakart seri numarası ve işlemci kimliği değerlerinden bir MD5 karması kaydedilir. Büyük olasılıkla Kullanıcı Kimliği olarak kullanılır.
zaman — geçerli saat ve tarihi aktarmaya yarar.
bilgisayar adı - olarak tanımlandı /.
günlük verileri — verileri günlüğe kaydedin.
Şifreleri iletirken mesaj şöyle görünür:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Çalınan verilerin şu formattaki açıklamaları aşağıdadır: nclient[]={0}nlink[]={1}kullanıcı adı[]={2}nşifre[]={3}.
smtp
Etkileşim SMTP protokolü aracılığıyla gerçekleşir. İletilen mektup HTML formatındadır. Parametre Estetik şuna benziyor:
Mektubun başlığı genel bir şekle sahiptir: / . Mektubun içeriği ve ekleri şifrelenmemiştir.
Etkileşim FTP protokolü aracılığıyla gerçekleşir. Bu ada sahip bir dosya belirtilen sunucuya aktarılır _-_.html. Dosyanın içeriği şifrelenmez.
Şifreleme algoritmaları
Bu durumda aşağıdaki şifreleme yöntemleri kullanılır:
1 yöntemi
Bu yöntem ana modüldeki dizeleri şifrelemek için kullanılır. Şifreleme için kullanılan algoritma AES.
Giriş altı basamaklı bir ondalık sayıdır. Üzerinde aşağıdaki dönüşüm gerçekleştirilir:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Ortaya çıkan değer, gömülü veri dizisinin indeksidir.
Her dizi öğesi bir dizidir DWORD. Birleştirirken DWORD bir bayt dizisi elde edilir: ilk 32 bayt şifreleme anahtarıdır, ardından başlatma vektörünün 16 baytı gelir ve geri kalan baytlar şifrelenmiş verilerdir.
2 yöntemi
Kullanılan algoritma 3DES modda ECB tam bayt cinsinden dolgu ile (PKCS7).
Anahtar parametre tarafından belirtilir %urlkey%ancak şifreleme MD5 karmasını kullanır.
Kötü amaçlı işlevsellik
İncelenen örnek, kötü amaçlı işlevini uygulamak için aşağıdaki programları kullanıyor:
KeyLogger
WinAPI işlevini kullanan ilgili bir kötü amaçlı yazılım işareti varsa WindowsHookEx'i ayarla klavyedeki tuşa basma olayları için kendi işleyicisini atar. İşleyici işlevi etkin pencerenin başlığını alarak başlar.
Uygulama filtreleme bayrağı ayarlandıysa filtreleme belirtilen türe göre gerçekleştirilir:
- program adı pencere başlıklarında aranır
- program adı pencere işlem adında aranır
Daha sonra günlüğe, etkin pencereyle ilgili bilgileri içeren şu formatta bir kayıt eklenir:
Daha sonra basılan tuşa ilişkin bilgiler kaydedilir:
| anahtar | Kayıt |
| Geri tuşu | Backspace anahtar işleme bayrağına bağlı olarak: Yanlış – {BACK} Doğru – önceki anahtarı siler |
| CAPS LOCK | {BÜYÜK HARF KİLİDİ} |
| ESC | {ESC} |
| PageUp | {Sayfa yukarı} |
| Aşağı | ↓ |
| SİL | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| SEKME | {SEKME} |
| < | < |
| > | > |
| boşluk | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + SEKME | {ALT+SEKME} |
| END | {SON} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Sağ | → |
| Up | ↑ |
| F1 | {F1} |
| Sol | ← |
| PageDown | {SayfaAşağı} |
| Ekle | {Sokmak} |
| kazanmak | {Kazanç} |
| NumLock | {Rakam kilidi} |
| F11 | {F11} |
| F3 | {F3} |
| ANA SAYFA | {EV} |
| ENTER | {GİRMEK} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Diğer anahtar | Karakter, CapsLock ve Shift tuşlarının konumlarına bağlı olarak büyük veya küçük harf olur |
Belirli bir sıklıkta toplanan günlük sunucuya gönderilir. Aktarım başarısız olursa günlük bir dosyaya kaydedilir. %TEMP%log.tmp formatta:
Zamanlayıcı etkinleştiğinde dosya sunucuya aktarılacaktır.
Ekran Kaydedici
Kötü amaçlı yazılım, belirli bir sıklıkta şu formatta bir ekran görüntüsü oluşturur: Jpeg anlamı olan Kalite 50'ye eşittir ve bunu bir dosyaya kaydeder %APPDATA %.jpg. Aktarımdan sonra dosya silinir.
Pano Kaydedici
Uygun işaretin ayarlanması durumunda, aşağıdaki tabloya göre kesilen metinde değişiklikler yapılır.
Bundan sonra metin günlüğe eklenir:
ŞifreStealer
Kötü amaçlı yazılım, aşağıdaki uygulamalardan şifreleri indirebilir:
| Tarayıcılar | Posta istemcileri | FTP istemcileri |
| krom | Görünüm | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Kenar | Foxmail | WinSCP |
| Safari | Opera Mail | CoreFTP |
| Opera Tarayıcısı | IncrediMail | FTP Gezgini |
| Yandex | pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Yarasa | FTPKomutanı |
| Krom | Postbox | |
| Meşale | Pençe Postası | |
| 7Star | ||
| Amigo | ||
| Cesur Yazılım | Jabber istemcileri | VPN istemcileri |
| CentTarayıcı | Psi/Psi+ | Open VPN |
| kedot | ||
| CocCoc | ||
| Öğe Tarayıcı | İndirme Yöneticileri | |
| Epic Gizlilik Tarayıcı | Internet Download Manager | |
| Kometa | JDownloader | |
| Orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Tarayıcı | ||
| UC Browser | ||
| BlackHawk | ||
| CyberFox | ||
| K-Meleon | ||
| ismine | ||
| Icedragon | ||
| Soluk ay | ||
| Waterfox | ||
| Falkon Tarayıcı |
Dinamik analize karşı tepki
- işlevi kullanma uyku. Zaman aşımına uğrayarak bazı sanal alanları atlamanıza olanak tanır
- Bir ipliği yok etmek Bölge Tanımlayıcı. İnternetten dosya indirme gerçeğini gizlemenizi sağlar
- Parametrede %filter_list% kötü amaçlı yazılımın bir saniyelik aralıklarla sonlandıracağı işlemlerin listesini belirtir
- kopukluk UAC
- Görev yöneticisini devre dışı bırakma
- kopukluk CMD
- Bir pencereyi devre dışı bırakma "Çalıştırmak"
- Kontrol Panelini Devre Dışı Bırakma
- Bir aracı devre dışı bırakma kral naibi
- Sistem geri yükleme noktalarını devre dışı bırakma
- Explorer'da içerik menüsünü devre dışı bırakın
- kopukluk MSCONFIG
- Kalp ameliyati UAC:
Ana modülün aktif olmayan özellikleri
Ana modülün analizi sırasında, ağa yayılmaktan ve farenin konumunu izlemekten sorumlu olan işlevler belirlendi.
Solucan
Çıkarılabilir medyanın bağlanmasına ilişkin olaylar ayrı bir iş parçacığında izlenir. Bağlanıldığında, adı taşıyan kötü amaçlı yazılım, dosya sisteminin köküne kopyalanır. scr.exe, ardından uzantıya sahip dosyaları arar lnk. Herkesin takımı lnk değişiklikler cmd.exe /c scr.exe'yi başlat&başlat ve çık.
Medyanın kökündeki her dizine bir nitelik verilir "Gizlenmiş" ve uzantıya sahip bir dosya oluşturulur lnk gizli dizinin adı ve komutla cmd.exe /c scr.exe&explorer /root'u başlat,"%CD%" ve çık.
Fare Takipçisi
Müdahaleyi gerçekleştirme yöntemi klavyede kullanılan yönteme benzer. Bu işlevsellik halen geliştirilme aşamasındadır.
Dosya etkinliği
| Yol | Açıklama |
| %Sıcaklık%temp.tmp | UAC bypass girişimleri için bir sayaç içerir |
| %startupfolder%%insfolder%%insname% | HPE sistemine atanacak yol |
| %Temp%tmpG{Milisaniye cinsinden geçerli zaman}.tmp | Ana modülün yedekleme yolu |
| %Temp%log.tmp | Log dosyası |
| %AppData%{10 karakterden oluşan rastgele bir dizi}.jpeg | Ekran görüntüleri |
| C:UsersPublic{10 karakterden oluşan rastgele bir dizi}.vbs | Önyükleyicinin sisteme eklemek için kullanabileceği vbs dosyasının yolu |
| %Temp%{Özel klasör adı}{Dosya adı} | Önyükleyicinin kendisini sisteme bağlamak için kullandığı yol |
Saldırgan profili
Sabit kodlanmış kimlik doğrulama verileri sayesinde komuta merkezine erişim sağlayabildik.
Bu, saldırganların son e-postasını belirlememize olanak sağladı:
junaid[.]***@gmail[.]com'da.
Komuta merkezinin alan adı postaya kayıtlıdır sg***@gmail[.]com.
Sonuç
Saldırıda kullanılan kötü amaçlı yazılımın ayrıntılı analizi sırasında, işlevselliğini tespit edebildik ve bu vakayla ilgili tehlike göstergelerinin en eksiksiz listesini elde edebildik. Kötü amaçlı yazılımlar arasındaki ağ etkileşimi mekanizmalarını anlamak, bilgi güvenliği araçlarının çalışmasını ayarlamaya yönelik önerilerde bulunmanın yanı sıra kararlı IDS kuralları yazmayı mümkün kıldı.
Ana tehlike ajan Tesla DataStealer gibi, sisteme bağlanmaya veya görevlerini gerçekleştirmek için bir kontrol komutunu beklemeye gerek yok. Makineye bindiğinde hemen özel bilgileri toplamaya başlar ve bunları CnC'ye aktarır. Bu agresif davranış, bazı yönlerden fidye yazılımının davranışına benzer; tek fark, ikincisinin bir ağ bağlantısı gerektirmemesidir. Bu aileyle karşılaşırsanız, virüslü sistemi kötü amaçlı yazılımdan temizledikten sonra, en azından teorik olarak yukarıda listelenen uygulamalardan birine kaydedilebilecek tüm şifreleri kesinlikle değiştirmelisiniz.
İleriye baktığımızda, diyelim ki saldırganlar gönderiyor ajan Tesla, ilk önyükleme yükleyicisi çok sık değiştiriliyor. Bu, saldırı anında statik tarayıcılar ve buluşsal analizörler tarafından fark edilmemenizi sağlar. Bu ailenin hemen faaliyetlerine başlama eğilimi ise sistem monitörlerini işe yaramaz hale getiriyor. AgentTesla ile mücadele etmenin en iyi yolu, sanal alanda ön analiz yapmaktır.
Bu serinin üçüncü makalesinde kullanılan diğer önyükleyicilere bakacağız ajan Teslave ayrıca yarı otomatik ambalaj açma sürecini de inceleyin. Kaçırma!
Esrar
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
Kayıt Anahtarı
| kayıt |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Komut dosyası adı} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Karşılıklı dışlama
Hiçbir gösterge yok.
dosyalar
| Dosya etkinliği |
| %Sıcaklık%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Milisaniye cinsinden geçerli zaman}.tmp |
| %Temp%log.tmp |
| %AppData%{10 karakterden oluşan rastgele bir dizi}.jpeg |
| C:UsersPublic{10 karakterden oluşan rastgele bir dizi}.vbs |
| %Temp%{Özel klasör adı}{Dosya adı} |
Örnek Bilgisi
| Name | Bilinmiyor |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Tip | PE (.NET) |
| beden | 327680 |
| Orjinal isim | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Tarih damgası | 01.07.2019 |
| derleyici | VB.NET |
| Name | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Tip | PE (.NET DLL) |
| beden | 16896 |
| Orjinal isim | IELibrary.dll |
| Tarih damgası | 11.10.2016 |
| derleyici | Microsoft Bağlayıcı(48.0*) |
Kaynak: habr.com