Prohoster > Blog > tin tức mạng > Kết quả không thành công: hãy cho AgentTesla tiếp xúc với nước sạch. Phần 1
Kết quả không thành công: hãy cho AgentTesla tiếp xúc với nước sạch. Phần 1
Gần đây, một nhà sản xuất thiết bị lắp đặt điện ở Châu Âu đã liên hệ với Group-IB - nhân viên của tập đoàn này đã nhận được một lá thư đáng ngờ có tệp đính kèm độc hại trong thư. Ilya Pomerantsev, một chuyên gia phân tích phần mềm độc hại tại CERT Group-IB, đã tiến hành phân tích chi tiết tệp này, phát hiện ra phần mềm gián điệp AgentTesla ở đó và cho biết những gì có thể xảy ra từ phần mềm độc hại đó cũng như mức độ nguy hiểm của nó.
Với bài đăng này, chúng tôi sẽ mở một loạt bài viết về cách phân tích các tệp nguy hiểm tiềm tàng như vậy và chúng tôi đang chờ đợi những người tò mò nhất vào ngày 5 tháng XNUMX để có một hội thảo trực tuyến tương tác miễn phí về chủ đề này. “Phân tích phần mềm độc hại: Phân tích các trường hợp thực tế”. Tất cả các chi tiết đều được cắt.
Cơ chế phân phối
Chúng tôi biết rằng phần mềm độc hại đã tiếp cận máy của nạn nhân thông qua email lừa đảo. Người nhận thư có lẽ đã được BCCed.
Phân tích các tiêu đề cho thấy người gửi thư đã bị giả mạo. Trên thực tế, lá thư để lại với vps56[.]oneworldhosting[.]com.
Tệp đính kèm email chứa kho lưu trữ WinRar qoute_jpeg56a.r15 với một tập tin thực thi độc hại QOUTE_JPEG56A.exe bên trong.
Hệ sinh thái phần mềm độc hại
Bây giờ hãy xem hệ sinh thái của phần mềm độc hại đang được nghiên cứu trông như thế nào. Sơ đồ dưới đây cho thấy cấu trúc của nó và hướng tương tác của các thành phần.
Bây giờ chúng ta hãy xem xét từng thành phần phần mềm độc hại chi tiết hơn.
Bộ tải
tập tin gốc QOUTE_JPEG56A.exe là một biên soạn AutoIt v3 kịch bản.
Để làm xáo trộn tập lệnh gốc, một trình làm xáo trộn có chức năng tương tự PELock AutoIT-Obfuscator đặc điểm.
Quá trình giải mã được thực hiện theo ba giai đoạn:
Loại bỏ sự xáo trộn Vì-Nếu
Bước đầu tiên là khôi phục luồng điều khiển của tập lệnh. Làm phẳng luồng điều khiển là một trong những cách phổ biến nhất để bảo vệ mã nhị phân của ứng dụng khỏi bị phân tích. Các phép biến đổi khó hiểu làm tăng đáng kể độ phức tạp của việc trích xuất và nhận dạng các thuật toán và cấu trúc dữ liệu.
Phục hồi hàng
Hai hàm được sử dụng để mã hóa chuỗi:
gdorizabegkvfca - Thực hiện giải mã giống Base64
xgacyukcyzxz - XOR byte-byte đơn giản của chuỗi đầu tiên với độ dài của chuỗi thứ hai
Loại bỏ sự xáo trộn Chuỗi nhị phân и Thực hiện
Tải chính được lưu dưới dạng chia trong thư mục Fonts phần tài nguyên của tập tin.
Thứ tự dán như sau: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUIFWWXVE, HWJHO, AVZOUMVRDWFLWU.
Hàm WinAPI được sử dụng để giải mã dữ liệu được trích xuất Mật mãGiải mãvà khóa phiên được tạo dựa trên giá trị được sử dụng làm khóa fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Tệp thực thi được giải mã được gửi đến đầu vào hàm ChạyPE, thực hiện Quá trìnhTiêm в RegAsm.exe sử dụng tích hợp Mã vỏ (còn được biết là RunPE ShellCode). Quyền tác giả thuộc về người sử dụng diễn đàn tiếng Tây Ban Nha không thể phát hiện được[.]net dưới biệt danh Wardow.
Cũng cần lưu ý rằng trong một trong các chủ đề của diễn đàn này, một công cụ làm xáo trộn cho AutoIt có đặc tính tương tự được xác định trong quá trình phân tích mẫu.
Mình Mã vỏ khá đơn giản và thu hút sự chú ý chỉ mượn từ nhóm hacker AnunakCarbanak. Hàm băm cuộc gọi API.
Chúng tôi cũng biết về các trường hợp sử dụng Mã vỏ kiểu Pháp phiên bản khác nhau.
Ngoài chức năng được mô tả, chúng tôi cũng xác định các chức năng không hoạt động:
Chặn chấm dứt quy trình thủ công trong trình quản lý tác vụ
Khởi động lại một tiến trình con khi nó kết thúc
Bỏ qua UAC
Lưu tải trọng vào một tập tin
Trình diễn các cửa sổ phương thức
Chờ vị trí con trỏ chuột thay đổi
AntiVM và AntiSandbox
tự hủy hoại
Bơm tải trọng từ mạng
Chúng tôi biết rằng chức năng như vậy là điển hình cho người bảo vệ CypherIT, rõ ràng là bộ nạp khởi động được đề cập.
Module chính của phần mềm
Tiếp theo, chúng tôi sẽ mô tả ngắn gọn mô-đun chính của phần mềm độc hại và xem xét nó chi tiết hơn trong bài viết thứ hai. Trong trường hợp này, nó là một ứng dụng trên NET..
Trong quá trình phân tích, chúng tôi phát hiện ra rằng một bộ làm mờ đã được sử dụng ConfuserEX.
IELibrary.dll
Thư viện được lưu trữ dưới dạng tài nguyên mô-đun chính và là một plugin nổi tiếng dành cho Đặc vụTesla, cung cấp chức năng trích xuất nhiều thông tin khác nhau từ trình duyệt Internet Explorer và Edge.
Đặc vụ Tesla là một phần mềm gián điệp mô-đun được phân phối bằng mô hình phần mềm độc hại dưới dạng dịch vụ dưới vỏ bọc của một sản phẩm keylogger hợp pháp. Đặc vụ Tesla có khả năng trích xuất và truyền thông tin xác thực của người dùng từ trình duyệt, ứng dụng email và ứng dụng khách FTP đến máy chủ cho kẻ tấn công, ghi lại dữ liệu clipboard và chụp màn hình thiết bị. Tại thời điểm phân tích, trang web chính thức của nhà phát triển không có sẵn.
Điểm vào là hàm Nhận mật khẩu đã lưu lớp InternetExplorer.
Nói chung, việc thực thi mã là tuyến tính và không chứa bất kỳ biện pháp bảo vệ nào chống lại việc phân tích. Chỉ có chức năng chưa thực hiện mới đáng được quan tâm NhậnCookie đã lưu. Rõ ràng, chức năng của plugin đáng lẽ phải được mở rộng, nhưng điều này chưa bao giờ được thực hiện.
Gắn bootloader vào hệ thống
Hãy nghiên cứu cách bootloader được gắn vào hệ thống. Mẫu vật đang nghiên cứu không neo, nhưng trong các trường hợp tương tự, nó xảy ra theo sơ đồ sau:
Trong thư mục C:Người dùngCông khai tập lệnh được tạo Visual Basic
Kịch bản ví dụ:
Nội dung của tệp bootloader được đệm bằng ký tự null và được lưu vào thư mục %Temp%
Khóa tự động chạy được tạo trong sổ đăng ký cho tệp tập lệnh HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Vì vậy, dựa trên kết quả của phần phân tích đầu tiên, chúng tôi có thể thiết lập tên của các họ của tất cả các thành phần của phần mềm độc hại đang được nghiên cứu, phân tích kiểu lây nhiễm và cũng có được đối tượng để viết chữ ký. Chúng ta sẽ tiếp tục phân tích đối tượng này trong bài viết tiếp theo, nơi chúng ta sẽ xem xét mô-đun chính chi tiết hơn Đặc vụTesla. Đừng bỏ lỡ!
Nhân tiện, vào ngày 5 tháng XNUMX, chúng tôi mời tất cả độc giả tham gia hội thảo trực tuyến tương tác miễn phí về chủ đề “Phân tích phần mềm độc hại: phân tích các trường hợp thực tế”, trong đó tác giả của bài viết này, một chuyên gia CERT-GIB, sẽ trình bày trực tuyến giai đoạn đầu tiên của quá trình xử lý. phân tích phần mềm độc hại - giải nén các mẫu bán tự động bằng cách sử dụng ví dụ về ba trường hợp nhỏ thực tế từ thực tế và bạn có thể tham gia phân tích. Hội thảo trực tuyến phù hợp với các chuyên gia đã có kinh nghiệm phân tích các tệp độc hại. Đăng ký hoàn toàn từ email công ty: đăng ký. Đang chờ bạn!