Yaqinda Evropadagi elektr o'rnatish uskunalari ishlab chiqaruvchisi Group-IB bilan bog'landi - uning xodimi pochta orqali zararli ilova bilan shubhali xat oldi. Ilya Pomerantsev, CERT Group-IB zararli dasturlarni tahlil qilish bo'yicha mutaxassisi ushbu faylni batafsil tahlil qildi, u erda AgentTesla josuslik dasturini topdi va bunday zararli dasturdan nimani kutish kerakligini va u qanchalik xavfli ekanligini aytdi.
Ushbu post bilan biz bunday potentsial xavfli fayllarni qanday tahlil qilish bo'yicha bir qator maqolalarni ochmoqdamiz va biz 5 dekabr kuni mavzu bo'yicha bepul interaktiv vebinar uchun eng qiziqlarini kutmoqdamiz. "Zararli dasturlarni tahlil qilish: haqiqiy holatlar tahlili". Barcha tafsilotlar kesma ostida.
Tarqatish mexanizmi
Zararli dastur qurbonning mashinasiga fishing elektron pochta xabarlari orqali yetib kelganini bilamiz. Xatni oluvchi, ehtimol, BCCed bo'lgan.
Sarlavhalar tahlili shuni ko'rsatadiki, xat jo'natuvchisi soxtalashtirilgan. Aslida, maktub bilan qolgan vps56[.]oneworldhosting[.]com.
Elektron pochta ilovasida WinRar arxivi mavjud qoute_jpeg56a.r15 zararli bajariladigan fayl bilan QOUTE_JPEG56A.exe ichida
Zararli dasturiy ta'minot ekotizimlari
Keling, o'rganilayotgan zararli dastur ekotizimining qanday ko'rinishini ko'rib chiqaylik. Quyidagi diagrammada uning tuzilishi va komponentlarning o'zaro ta'sir yo'nalishlari ko'rsatilgan.
Endi zararli dastur komponentlarining har birini batafsil ko'rib chiqamiz.
Zagruzchik
Asl fayl QOUTE_JPEG56A.exe tuzilgan hisoblanadi AutoIt v3 skript.
Asl skriptni xiralashtirish uchun, shunga o'xshash obfuscator PELock AutoIT-obfuscator xususiyatlari.
Deobfusatsiya uch bosqichda amalga oshiriladi:
- Xafagarchilikni olib tashlash For-Agar
Birinchi qadam skriptning boshqaruv oqimini tiklashdir. Boshqarish oqimini tekislash dasturning ikkilik kodini tahlildan himoya qilishning eng keng tarqalgan usullaridan biridir. Chalkash transformatsiyalar algoritmlar va ma'lumotlar tuzilmalarini ajratib olish va tanib olish murakkabligini keskin oshiradi.
- Qatorni tiklash
Satrlarni shifrlash uchun ikkita funktsiyadan foydalaniladi:
- gdorizabegkvfca - Base64-ga o'xshash dekodlashni amalga oshiradi
- xgacyukcyzxz - ikkinchisining uzunligi bilan birinchi qatorning oddiy bayt-bayt XOR.
- gdorizabegkvfca - Base64-ga o'xshash dekodlashni amalga oshiradi
- Xafagarchilikni olib tashlash BinaryToString ΠΈ Ijro et
Asosiy yuk katalogda bo'lingan shaklda saqlanadi Fonts faylning manba bo'limlari.
Yelimlash tartibi quyidagicha: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI funksiyasi olingan ma'lumotlarning shifrini ochish uchun ishlatiladi CryptDecrypt, va qiymat asosida yaratilgan seans kaliti kalit sifatida ishlatiladi fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Shifrlangan bajariladigan fayl funksiya kiritishiga yuboriladi RunPE, amalga oshiradi ProcessInject Π² RegAsm.exe o'rnatilgandan foydalanish ShellCode (shuningdek, nomi bilan tanilgan PE ShellCode-ni ishga tushiring). Mualliflik ispan forumi foydalanuvchisiga tegishli aniqlanmaydiganlar[.]net Wardow taxallusi ostida.
Shuni ham ta'kidlash kerakki, ushbu forumning mavzularidan birida obfuscator mavjud Uyingizda namunani tahlil qilish jarayonida aniqlangan o'xshash xususiyatlarga ega.
O'zini ShellCode juda oddiy va faqat AnunakCarbanak xakerlar guruhidan olingan e'tiborni tortadi. API chaqiruvi xeshlash funksiyasi.
Biz foydalanish holatlaridan ham xabardormiz Frenchy Shellkodi turli versiyalar.
Ta'riflangan funksiyalarga qo'shimcha ravishda biz faol bo'lmagan funktsiyalarni ham aniqladik:
- Vazifa menejerida jarayonni qo'lda tugatishni bloklash
- Bola jarayoni tugashi bilan uni qayta ishga tushirish
- UAC-ni chetlab o'tish
- Foydali yukni faylga saqlash
- Modal oynalarni ko'rsatish
- Sichqoncha kursori o'rnini o'zgartirishni kutish
- AntiVM va AntiSandbox
- O'z-o'zini yo'q qilish
- Tarmoqdan foydali yukni chiqarish
Biz bilamizki, bunday funksionallik himoyachiga xosdir CypherIT, bu, ko'rinishidan, ko'rib chiqilayotgan yuklovchi.
Dasturiy ta'minotning asosiy moduli
Keyinchalik, zararli dasturning asosiy modulini qisqacha tasvirlab beramiz va uni ikkinchi maqolada batafsil ko'rib chiqamiz. Bunday holda, u yoqilgan dastur hisoblanadi .NET.
Tahlil davomida biz obfuskator ishlatilganligini aniqladik ConfuserEX.
IELibrary.dll
Kutubxona asosiy modul resursi sifatida saqlanadi va u uchun taniqli plagin hisoblanadi Agent Tesla, bu Internet Explorer va Edge brauzerlaridan turli xil ma'lumotlarni olish uchun funksionallikni ta'minlaydi.
Agent Tesla - bu qonuniy keylogger mahsuloti niqobi ostida zararli dastur sifatida xizmat ko'rsatish modelidan foydalangan holda tarqatiladigan modulli josuslik dasturi. Agent Tesla brauzerlar, elektron pochta mijozlari va FTP mijozlaridan foydalanuvchi hisob ma'lumotlarini olish va serverga tajovuzkorlarga uzatish, vaqtinchalik xotira ma'lumotlarini yozib olish va qurilma ekranini suratga olish qobiliyatiga ega. Tahlil vaqtida ishlab chiquvchilarning rasmiy veb-sayti mavjud emas edi.
Kirish nuqtasi funksiyadir GetSavedPasswords sinf InternetExplorer.
Umuman olganda, kodning bajarilishi chiziqli va tahlildan hech qanday himoyani o'z ichiga olmaydi. Faqat amalga oshirilmagan funksiya e'tiborga loyiqdir SavedCookies. Ko'rinishidan, plaginning funksionalligi kengaytirilishi kerak edi, ammo bu hech qachon amalga oshirilmadi.
Bootloaderni tizimga ulash
Keling, yuklovchi tizimga qanday biriktirilganligini o'rganamiz. O'rganilayotgan namuna langar emas, lekin shunga o'xshash hodisalarda u quyidagi sxema bo'yicha sodir bo'ladi:
- Jildda C:UsersPublic skript yaratiladi Visual Basic
Skript misoli:
- Yuklovchi faylning mazmuni null belgi bilan to'ldiriladi va papkaga saqlanadi %Temp%
- Skript fayli uchun registrda autorun kaliti yaratiladi HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Shunday qilib, tahlilning birinchi qismi natijalariga ko'ra, biz o'rganilayotgan zararli dasturiy ta'minotning barcha komponentlari oilalarining nomlarini aniqlashga muvaffaq bo'ldik, infektsiyani tahlil qildik, shuningdek, imzo yozish uchun ob'ektlarni oldik. Biz ushbu ob'ektni tahlil qilishni keyingi maqolada davom ettiramiz, u erda biz asosiy modulni batafsil ko'rib chiqamiz Agent Tesla. O'tkazib yuborma!
Aytgancha, 5 dekabr kuni biz barcha o'quvchilarni "Zararli dasturlar tahlili: real holatlar tahlili" mavzusidagi bepul interaktiv vebinarga taklif qilamiz, unda ushbu maqola muallifi, CERT-GIB mutaxassisi onlayn tarzda birinchi bosqichni namoyish etadi. zararli dasturlarni tahlil qilish - amaliyotdan uchta haqiqiy mini-holatlar misolida namunalarni yarim avtomatik ochish va siz tahlilda ishtirok etishingiz mumkin. Vebinar zararli fayllarni tahlil qilish tajribasiga ega bo'lgan mutaxassislar uchun javob beradi. Ro'yxatdan o'tish qat'iy korporativ elektron pochta orqali amalga oshiriladi: . Sizni kutyapman!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
Xashlar
| Ism | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| Shrift | WinRAR arxivi |
| O'lcham | 823014 |
| Ism | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| Shrift | PE (Tuzilgan AutoIt skripti) |
| O'lcham | 1327616 |
| Asl ism | noma'lum |
| Sana tamg'asi | 15.07.2019 |
| Bog'lovchi | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| Shrift | ShellCode |
| O'lcham | 1474 |
Manba: www.habr.com