ProHoster > Blog > internet yangiliklari > Saylovda ishtirok etish muvaffaqiyatsiz tugadi: keling, AgentTesla-ga toza suv ta'sir qilaylik. 1-qism
Saylovda ishtirok etish muvaffaqiyatsiz tugadi: keling, AgentTesla-ga toza suv ta'sir qilaylik. 1-qism
Yaqinda Evropadagi elektr o'rnatish uskunalari ishlab chiqaruvchisi Group-IB bilan bog'landi - uning xodimi pochta orqali zararli ilova bilan shubhali xat oldi. Ilya Pomerantsev, CERT Group-IB zararli dasturlarni tahlil qilish bo'yicha mutaxassisi ushbu faylni batafsil tahlil qildi, u erda AgentTesla josuslik dasturini topdi va bunday zararli dasturdan nimani kutish kerakligini va u qanchalik xavfli ekanligini aytdi.
Ushbu post bilan biz bunday potentsial xavfli fayllarni qanday tahlil qilish bo'yicha bir qator maqolalarni ochmoqdamiz va biz 5 dekabr kuni mavzu bo'yicha bepul interaktiv vebinar uchun eng qiziqlarini kutmoqdamiz. "Zararli dasturlarni tahlil qilish: haqiqiy holatlar tahlili". Barcha tafsilotlar kesma ostida.
Tarqatish mexanizmi
Zararli dastur qurbonning mashinasiga fishing elektron pochta xabarlari orqali yetib kelganini bilamiz. Xatni oluvchi, ehtimol, BCCed bo'lgan.
Sarlavhalar tahlili shuni ko'rsatadiki, xat jo'natuvchisi soxtalashtirilgan. Aslida, maktub bilan qolgan vps56[.]oneworldhosting[.]com.
Elektron pochta ilovasida WinRar arxivi mavjud qoute_jpeg56a.r15 zararli bajariladigan fayl bilan QOUTE_JPEG56A.exe ichida
Zararli dasturiy ta'minot ekotizimlari
Keling, o'rganilayotgan zararli dastur ekotizimining qanday ko'rinishini ko'rib chiqaylik. Quyidagi diagrammada uning tuzilishi va komponentlarning o'zaro ta'sir yo'nalishlari ko'rsatilgan.
Endi zararli dastur komponentlarining har birini batafsil ko'rib chiqamiz.
Zagruzchik
Asl fayl QOUTE_JPEG56A.exe tuzilgan hisoblanadi AutoIt v3 skript.
Asl skriptni xiralashtirish uchun, shunga o'xshash obfuscator PELock AutoIT-obfuscator xususiyatlari.
Deobfusatsiya uch bosqichda amalga oshiriladi:
Xafagarchilikni olib tashlash For-Agar
Birinchi qadam skriptning boshqaruv oqimini tiklashdir. Boshqarish oqimini tekislash dasturning ikkilik kodini tahlildan himoya qilishning eng keng tarqalgan usullaridan biridir. Chalkash transformatsiyalar algoritmlar va ma'lumotlar tuzilmalarini ajratib olish va tanib olish murakkabligini keskin oshiradi.
Qatorni tiklash
Satrlarni shifrlash uchun ikkita funktsiyadan foydalaniladi:
gdorizabegkvfca - Base64-ga o'xshash dekodlashni amalga oshiradi
xgacyukcyzxz - ikkinchisining uzunligi bilan birinchi qatorning oddiy bayt-bayt XOR.
Xafagarchilikni olib tashlash BinaryToString ΠΈ Ijro et
Asosiy yuk katalogda bo'lingan shaklda saqlanadi Fonts faylning manba bo'limlari.
WinAPI funksiyasi olingan ma'lumotlarning shifrini ochish uchun ishlatiladi CryptDecrypt, va qiymat asosida yaratilgan seans kaliti kalit sifatida ishlatiladi fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Shifrlangan bajariladigan fayl funksiya kiritishiga yuboriladi RunPE, amalga oshiradi ProcessInject Π² RegAsm.exe o'rnatilgandan foydalanish ShellCode (shuningdek, nomi bilan tanilgan PE ShellCode-ni ishga tushiring). Mualliflik ispan forumi foydalanuvchisiga tegishli aniqlanmaydiganlar[.]net Wardow taxallusi ostida.
Shuni ham ta'kidlash kerakki, ushbu forumning mavzularidan birida obfuscator mavjud Uyingizda namunani tahlil qilish jarayonida aniqlangan o'xshash xususiyatlarga ega.
O'zini ShellCode juda oddiy va faqat AnunakCarbanak xakerlar guruhidan olingan e'tiborni tortadi. API chaqiruvi xeshlash funksiyasi.
Biz foydalanish holatlaridan ham xabardormiz Frenchy Shellkodi turli versiyalar.
Ta'riflangan funksiyalarga qo'shimcha ravishda biz faol bo'lmagan funktsiyalarni ham aniqladik:
Vazifa menejerida jarayonni qo'lda tugatishni bloklash
Bola jarayoni tugashi bilan uni qayta ishga tushirish
UAC-ni chetlab o'tish
Foydali yukni faylga saqlash
Modal oynalarni ko'rsatish
Sichqoncha kursori o'rnini o'zgartirishni kutish
AntiVM va AntiSandbox
O'z-o'zini yo'q qilish
Tarmoqdan foydali yukni chiqarish
Biz bilamizki, bunday funksionallik himoyachiga xosdir CypherIT, bu, ko'rinishidan, ko'rib chiqilayotgan yuklovchi.
Dasturiy ta'minotning asosiy moduli
Keyinchalik, zararli dasturning asosiy modulini qisqacha tasvirlab beramiz va uni ikkinchi maqolada batafsil ko'rib chiqamiz. Bunday holda, u yoqilgan dastur hisoblanadi .NET.
Tahlil davomida biz obfuskator ishlatilganligini aniqladik ConfuserEX.
IELibrary.dll
Kutubxona asosiy modul resursi sifatida saqlanadi va u uchun taniqli plagin hisoblanadi Agent Tesla, bu Internet Explorer va Edge brauzerlaridan turli xil ma'lumotlarni olish uchun funksionallikni ta'minlaydi.
Agent Tesla - bu qonuniy keylogger mahsuloti niqobi ostida zararli dastur sifatida xizmat ko'rsatish modelidan foydalangan holda tarqatiladigan modulli josuslik dasturi. Agent Tesla brauzerlar, elektron pochta mijozlari va FTP mijozlaridan foydalanuvchi hisob ma'lumotlarini olish va serverga tajovuzkorlarga uzatish, vaqtinchalik xotira ma'lumotlarini yozib olish va qurilma ekranini suratga olish qobiliyatiga ega. Tahlil vaqtida ishlab chiquvchilarning rasmiy veb-sayti mavjud emas edi.
Kirish nuqtasi funksiyadir GetSavedPasswords sinf InternetExplorer.
Umuman olganda, kodning bajarilishi chiziqli va tahlildan hech qanday himoyani o'z ichiga olmaydi. Faqat amalga oshirilmagan funksiya e'tiborga loyiqdir SavedCookies. Ko'rinishidan, plaginning funksionalligi kengaytirilishi kerak edi, ammo bu hech qachon amalga oshirilmadi.
Bootloaderni tizimga ulash
Keling, yuklovchi tizimga qanday biriktirilganligini o'rganamiz. O'rganilayotgan namuna langar emas, lekin shunga o'xshash hodisalarda u quyidagi sxema bo'yicha sodir bo'ladi:
Yuklovchi faylning mazmuni null belgi bilan to'ldiriladi va papkaga saqlanadi %Temp%
Skript fayli uchun registrda autorun kaliti yaratiladi HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Shunday qilib, tahlilning birinchi qismi natijalariga ko'ra, biz o'rganilayotgan zararli dasturiy ta'minotning barcha komponentlari oilalarining nomlarini aniqlashga muvaffaq bo'ldik, infektsiyani tahlil qildik, shuningdek, imzo yozish uchun ob'ektlarni oldik. Biz ushbu ob'ektni tahlil qilishni keyingi maqolada davom ettiramiz, u erda biz asosiy modulni batafsil ko'rib chiqamiz Agent Tesla. O'tkazib yuborma!
Aytgancha, 5 dekabr kuni biz barcha o'quvchilarni "Zararli dasturlar tahlili: real holatlar tahlili" mavzusidagi bepul interaktiv vebinarga taklif qilamiz, unda ushbu maqola muallifi, CERT-GIB mutaxassisi onlayn tarzda birinchi bosqichni namoyish etadi. zararli dasturlarni tahlil qilish - amaliyotdan uchta haqiqiy mini-holatlar misolida namunalarni yarim avtomatik ochish va siz tahlilda ishtirok etishingiz mumkin. Vebinar zararli fayllarni tahlil qilish tajribasiga ega bo'lgan mutaxassislar uchun javob beradi. Ro'yxatdan o'tish qat'iy korporativ elektron pochta orqali amalga oshiriladi: ro'yxatdan o'ting. Sizni kutyapman!