Явку провалено: виводимо AgentTesla на чисту воду. Частина 1

Нещодавно до Group-IB звернулася європейська компанія-виробник електромонтажного обладнання - її співробітник отримав поштою підозрілий лист із шкідливим вкладенням. Ілля Помаранців, Фахівець з аналізу шкідливого коду CERT Group-IB, провів детальний аналіз цього файлу, виявив там шпигунську програму AgentTesla і розповів, чого чекати від такого ВПО і чим воно небезпечне.

Цим постом ми відкриваємо серію статей про те, як проводити аналіз подібних потенційно небезпечних файлів, а найцікавіших чекаємо 5 грудня на безкоштовний інтерактивний вебінар на тему «Аналіз шкідливого ПЗ: розбір реальних кейсів». Усі подробиці – під катом.

Механізм поширення

Нам відомо, що шкідливе програмне забезпечення потрапило на машину жертви через фішингові листи. Одержувач листа був, мабуть, поставлений у приховану копію.

Аналіз заголовків показує, що відправник листа було підроблено. Насправді лист пішов з vps56[.]oneworldhosting[.]com.

В атачі листа знаходиться архів WinRar qoute_jpeg56a.r15 зі шкідливим виконуваним файлом QOUTE_JPEG56A.exe всередині.

Екосистема ВПО

Тепер подивимося, як виглядає екосистема шкідливого ПЗ, що досліджується. На схемі нижче зображено його структуру та напрями взаємодії компонентів.

Тепер розглянемо кожен із компонентів ВПО докладніше.

Завантажувач

Початковий файл QOUTE_JPEG56A.exe являє собою відкомпільований AutoIt v3 скрипт.

Для обфускації вихідного скрипта використовувався обфускатор з аналогічними. PELock AutoIT-Obfuscator характеристиками.
Деобфускація проводиться у три етапи:

1. Зняття обфускації For-If

   Насамперед необхідно відновити потік управління скрипта. Заплутування потоку управління (Control Flow Flattening) — один із найпоширеніших способів захисту бінарного коду програм від аналізу. Переплутування, що заплутують, різко збільшують трудомісткість виділення і розпізнавання алгоритмів і структур даних.

   

2. Відновлення рядків

   Для шифрування рядків використовуються дві функції:

   • gdorizabegkvfca - виконує Base64-подібне декодування

     

   • xgacyukcyzxz - простий побайтовий XOR першого рядка з довжиною другого

     

   

3. Зняття обфускації BinaryToString и Виконати

   

Основне навантаження зберігається у розділеному вигляді в директорії Шрифти секції ресурсів файлу

Порядок склеювання наступний: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Для дешифрування вилучених даних використовується функція WinAPI CryptDecrypt, а як ключ застосовується сесійний ключ, згенерований на основі значення fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Дешифрований виконуваний файл надходить на вхід функції RunPE, яка здійснює ProcessInject в RegAsm.exe за допомогою вбудованого ShellCode (також відомого як RunPE ShellCode). Авторство належить користувачеві іспанського форуму indetectables[.]net під ніком Wardow.

Варто також відзначити, що в одній із гілок цього форуму обговорювався обфускатор Автоінформація з аналогічними виявленими у процесі аналізу семпла властивостями.

Сам ShellCode Досить простий і привертає увагу лише запозиченої у хакерської групи AnunakCarbanak. функцією хешування API-дзвінків.

Нам також відомі випадки використання Frenchy Shellcode різних версій.
Крім описаного функціоналу, ми також виявили неактивні функції:

• Блокування ручного завершення процесу у менеджері завдань

  

• Перезапуск дочірнього процесу у разі його завершення

  

• Обхід UAC

  

• Збереження корисного навантаження у файл

  

• Демонстрація модальних вікон

  

• Очікування зміни позиції курсору миші

  

• AntiVM та AntiSandbox

  

• Самознищення

  

• Викачування корисного навантаження з мережі

  

Нам відомо, що такий функціонал характерний для протектора CypherIT, яким, зважаючи на все, і є досліджуваний завантажувач.

Основний модуль ВПО

Далі коротко опишемо основний модуль ВПО, а детальніше розглянемо його у другій статті. У даному випадку він є додатком на . NET.

У ході аналізу ми виявили, що використовувався обфускатор. ConfuserEX.

IELibrary.dll

Бібліотека зберігається у вигляді ресурсу основного модуля і є відомим плагіном для Агент Тесла, який надає функціонал для отримання різної інформації з браузерів Internet Explorer і Edge.

Agent Tesla – це модульне програмне забезпечення для шпигунства, яке розповсюджується за моделлю malware-as-a-service під виглядом легального кейлоггер-продукту. Agent Tesla здатний отримувати та передавати на сервер зловмисникам облікові дані користувача з браузерів, поштових клієнтів та клієнтів FTP, реєструвати дані буфера обміну, захоплювати екран пристрою. На момент аналізу офіційний сайт розробників був недоступним.

Точкою входу служить функція GetSavedPasswords Клас InternetExplorer.

В цілому виконання коду лінійно і не містить засобів захисту від аналізу. На увагу заслуговує лише нереалізована функція GetSavedCookies. Мабуть, функціонал плагіна передбачалося розширити, але це не було зроблено.

Закріплення завантажувача у системі

Вивчимо, як завантажувач закріплюється у системі. Досліджуваний екземпляр не здійснює закріплення, проте в аналогічних подіях воно відбувається за такою схемою:

1. В папці З:UsersPublic створюється скрипт Візуальний Бейсік

   Приклад скрипту:

   

2. Вміст завантажувача доповнюється нульовим символом і зберігається в папці %Temp%<Довільне ім'я папки><Ім'я файлу>
3. У реєстрі створюється ключ автозапуску для файлу скрипта HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Ім'я скрипта>

Отже, за результатами першої частини аналізу нам вдалося встановити назви сімейств усіх компонентів ВПО, що вивчається, розібрати схему зараження, а також отримати об'єкти для написання сигнатур. Ми продовжимо аналіз цього об'єкта в наступній статті, де детальніше розглянемо основний модуль Агент Тесла. НЕ пропустіть!

До речі, 5 грудня запрошуємо всіх читачів на безкоштовний інтерактивний вебінар на тему «Аналіз шкідливого ПЗ: розбір реальних кейсів», де автор цієї статті, спеціаліст CERT-GIB, в онлайн-режимі покаже перший етап аналізу ВПО — напівавтоматичне розпакування семплів на прикладі трьох реальних міні-кейсів із практики, а ви зможете взяти участь в аналізі. Вебінар підійде фахівцям, які мали досвід аналізу шкідливих файлів. Реєстрація суворо з корпоративної пошти: зареєструйтесь. Чекаємо Вас!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Хеш

ІМ'Я	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
тип	Archive WinRAR
Розмір	823014

ІМ'Я	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
тип	PE (Compiled AutoIt Script)
Розмір	1327616
OrginalName	Невідомий
DateStamp	15.07.2019
Linker	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
тип	ShellCode
Розмір	1474

Джерело: habr.com