Chúng tôi tiếp tục loạt bài viết dành cho phân tích phần mềm độc hại. TRONG Một phần, chúng tôi đã kể về cách Ilya Pomerantsev, chuyên gia phân tích phần mềm độc hại tại CERT Group-IB, đã tiến hành phân tích chi tiết về một tệp nhận được qua thư từ một trong các công ty Châu Âu và phát hiện ra phần mềm gián điệp ở đó. Đặc vụTesla. Trong bài viết này, Ilya cung cấp kết quả phân tích từng bước của mô-đun chính Đặc vụTesla.
Đặc vụ Tesla là một phần mềm gián điệp mô-đun được phân phối bằng mô hình phần mềm độc hại dưới dạng dịch vụ dưới vỏ bọc của một sản phẩm keylogger hợp pháp. Đặc vụ Tesla có khả năng trích xuất và truyền thông tin xác thực của người dùng từ trình duyệt, ứng dụng email và ứng dụng khách FTP đến máy chủ cho kẻ tấn công, ghi lại dữ liệu clipboard và chụp màn hình thiết bị. Tại thời điểm phân tích, trang web chính thức của nhà phát triển không có sẵn.
Tập tin cấu hình
Bảng bên dưới liệt kê chức năng nào áp dụng cho mẫu bạn đang sử dụng:
| Описание | Giá trị |
| Cờ sử dụng KeyLogger | đúng |
| Cờ sử dụng ScreenLogger | sai |
| Khoảng thời gian gửi nhật ký KeyLogger tính bằng phút | 20 |
| Khoảng thời gian gửi nhật ký ScreenLogger tính bằng phút | 20 |
| Cờ xử lý phím xóa lùi. Sai – chỉ ghi nhật ký. Đúng - xóa khóa trước đó | sai |
| loại CNC. Tùy chọn: smtp, webpanel, ftp | smtp |
| Cờ kích hoạt luồng để chấm dứt các tiến trình từ danh sách “%filter_list%” | sai |
| Cờ vô hiệu hóa UAC | sai |
| Cờ vô hiệu hóa trình quản lý tác vụ | sai |
| Cờ vô hiệu hóa CMD | sai |
| Chạy cờ vô hiệu hóa cửa sổ | sai |
| Cờ tắt trình xem sổ đăng ký | sai |
| Tắt cờ điểm khôi phục hệ thống | đúng |
| Cờ vô hiệu hóa bảng điều khiển | sai |
| Cờ vô hiệu hóa MSCONFIG | sai |
| Gắn cờ để tắt menu ngữ cảnh trong Explorer | sai |
| Ghim cờ | sai |
| Đường dẫn sao chép mô-đun chính khi ghim nó vào hệ thống | %startupfolder% %infolder%%insname% |
| Cờ để cài đặt thuộc tính “Hệ thống” và “Ẩn” cho mô-đun chính được gán cho hệ thống | sai |
| Gắn cờ để thực hiện khởi động lại khi được ghim vào hệ thống | sai |
| Cờ để di chuyển mô-đun chính vào một thư mục tạm thời | sai |
| Cờ bỏ qua UAC | sai |
| Định dạng ngày và giờ để ghi nhật ký | yyyy-MM-dd HH:mm:ss |
| Cờ sử dụng bộ lọc chương trình cho KeyLogger | đúng |
| Loại lọc chương trình 1 – tên chương trình được tìm kiếm trong tiêu đề cửa sổ 2 – tên chương trình được tìm kiếm trong tên tiến trình của cửa sổ |
1 |
| Bộ lọc chương trình | "Facebook" "twitter" "gmail" "instagram" "bộ phim" "Ứng dụng trò chuyện" "khiêu dâm" "gian lận" "whatsapp" "bất hòa" |
Gắn module chính vào hệ thống
Nếu cờ tương ứng được đặt, mô-đun chính sẽ được sao chép vào đường dẫn được chỉ định trong cấu hình làm đường dẫn được gán cho hệ thống.
Tùy thuộc vào giá trị từ cấu hình, tệp được cung cấp các thuộc tính “Ẩn” và “Hệ thống”.
Autorun được cung cấp bởi hai nhánh đăng ký:
- Phần mềm HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Vì bộ nạp khởi động được đưa vào tiến trình Đăng ký, việc đặt cờ liên tục cho mô-đun chính dẫn đến những hậu quả khá thú vị. Thay vì tự sao chép, phần mềm độc hại đính kèm file gốc vào hệ thống RegAsm.exe, trong thời gian đó việc tiêm được thực hiện.
Tương tác với C&C
Bất kể phương thức nào được sử dụng, giao tiếp mạng đều bắt đầu bằng việc lấy IP bên ngoài của nạn nhân bằng cách sử dụng tài nguyên [.]amazonaws[.]com/.
Phần sau đây mô tả các phương thức tương tác mạng được trình bày trong phần mềm.
bảng điều khiển web
Sự tương tác diễn ra thông qua giao thức HTTP. Phần mềm độc hại thực thi yêu cầu POST với các tiêu đề sau:
- Tác nhân người dùng: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Kết nối: Keep-Alive
- Loại nội dung: application/x-www-form-urlencoded
Địa chỉ máy chủ được chỉ định bởi giá trị %Bài đăngURL%. Tin nhắn được mã hóa được gửi trong tham số «P». Cơ chế mã hóa được mô tả ở phần "Thuật toán mã hóa" (Phương pháp 2).
Tin nhắn được truyền trông như thế này:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Thông số kiểu cho biết loại tin nhắn:
ẩn — hàm băm MD5 được ghi lại từ các giá trị của số sê-ri bo mạch chủ và ID bộ xử lý. Rất có thể được sử dụng làm ID người dùng.
thời gian - dùng để truyền ngày và giờ hiện tại.
tên máy tính - định nghĩa là <Tên người dùng>/<Tên máy tính>.
dữ liệu nhật ký - dữ liệu nhật ký.
Khi truyền mật khẩu, thông báo có dạng:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Sau đây là mô tả về dữ liệu bị đánh cắp ở định dạng nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
Sự tương tác diễn ra thông qua giao thức SMTP. Bức thư được truyền đi có định dạng HTML. Tham số BODY giống như:
Tiêu đề của bức thư có dạng tổng quát như sau: <TÊN NGƯỜI DÙNG>/<TÊN MÁY TÍNH> <LOẠI NỘI DUNG>. Nội dung của bức thư cũng như các tệp đính kèm của nó không được mã hóa.
Sự tương tác diễn ra thông qua giao thức FTP. Một tập tin có tên được chuyển đến máy chủ được chỉ định <LOẠI NỘI DUNG>_<TÊN NGƯỜI DÙNG>-<TÊN MÁY TÍNH>_<NGÀY VÀ GIỜ>.html. Nội dung của tập tin không được mã hóa.
Các thuật toán mã hóa
Trường hợp này sử dụng các phương pháp mã hóa sau:
Phương pháp 1
Phương pháp này được sử dụng để mã hóa chuỗi trong mô-đun chính. Thuật toán được sử dụng để mã hóa là AES.
Đầu vào là một số thập phân có sáu chữ số. Việc chuyển đổi sau đây được thực hiện trên nó:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Giá trị kết quả là chỉ mục cho mảng dữ liệu được nhúng.
Mỗi phần tử mảng là một chuỗi DWORD. Khi sáp nhập DWORD thu được một mảng byte: 32 byte đầu tiên là khóa mã hóa, tiếp theo là 16 byte của vectơ khởi tạo và các byte còn lại là dữ liệu được mã hóa.
Phương pháp 2
Thuật toán được sử dụng 3DES trong chế độ ECB với phần đệm toàn bộ byte (PKCS7).
Khóa được chỉ định bởi tham số %urlkey%tuy nhiên, mã hóa sử dụng hàm băm MD5 của nó.
Chức năng độc hại
Mẫu đang được nghiên cứu sử dụng các chương trình sau để thực hiện chức năng độc hại của nó:
máy ghi chìa khóa
Nếu có cờ phần mềm độc hại tương ứng bằng chức năng WinAPI ĐặtWindowsHookEx gán trình xử lý riêng cho các sự kiện nhấn phím trên bàn phím. Hàm xử lý bắt đầu bằng việc lấy tiêu đề của cửa sổ đang hoạt động.
Nếu cờ lọc ứng dụng được đặt, quá trình lọc sẽ được thực hiện tùy thuộc vào loại được chỉ định:
- tên chương trình được tìm kiếm trong tiêu đề cửa sổ
- tên chương trình được tra cứu trong tên tiến trình của cửa sổ
Tiếp theo, một bản ghi sẽ được thêm vào nhật ký với thông tin về cửa sổ đang hoạt động ở định dạng:
Sau đó thông tin về phím được nhấn sẽ được ghi lại:
| Khóa | Ghi |
| Backspace | Tùy thuộc vào cờ xử lý phím Backspace: Sai – {BACK} Đúng – xóa khóa trước đó |
| PHÍM CAPS LOCK | {PHÍM CAPS LOCK} |
| ESC | {THOÁT RA} |
| PageUp | {Trang lên} |
| xuống | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {CHUYỂN HƯỚNG} |
| < | < |
| > | > |
| Không gian | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {KẾT THÚC} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {ĐIỀU KHIỂN} |
| F6 | {F6} |
| Đúng | → |
| Up | ↑ |
| F1 | {F1} |
| Còn lại | ← |
| PageDown | {Trang dưới} |
| Chèn | {Chèn} |
| Giành chiến thắng | {Thắng} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| TRANG CHỦ | {TRANG CHỦ} |
| ENTER | {ĐI VÀO} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Chìa khóa khác | Ký tự viết hoa hay viết thường tùy theo vị trí của phím CapsLock và Shift |
Ở tần suất xác định, nhật ký đã thu thập sẽ được gửi đến máy chủ. Nếu quá trình truyền không thành công, nhật ký sẽ được lưu vào một tệp %TEMP%log.tmp ở định dạng:
Khi bộ đếm thời gian kích hoạt, tập tin sẽ được chuyển đến máy chủ.
ScreenLogger
Ở tần suất được chỉ định, phần mềm độc hại sẽ tạo ảnh chụp màn hình ở định dạng Jpeg với ý nghĩa Chất lượng bằng 50 và lưu nó vào một tập tin %APPDATA %<Chuỗi ngẫu nhiên gồm 10 ký tự>.jpg. Sau khi chuyển, tập tin sẽ bị xóa.
ClipboardLogger
Nếu cờ thích hợp được đặt, việc thay thế sẽ được thực hiện trong văn bản bị chặn theo bảng bên dưới.
Sau đó, văn bản được chèn vào nhật ký:
Kẻ đánh cắp mật khẩu
Phần mềm độc hại có thể tải xuống mật khẩu từ các ứng dụng sau:
| Các trình duyệt | Ứng dụng thư khách | Máy khách FTP |
| cơ rôm | Outlook | FileZilla |
| Firefox | Tên của loài chim | WS_FTP |
| TỨC LÀ/Cạnh | Foxmail | WinSCP |
| Safari | Opera mail | CoreFTP |
| Trình duyệt Opera | IncrediMail | Điều hướng FTP |
| Yandex | Pocommail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Con dơi | FTPChỉ huy |
| Chromium | Postbox | |
| Torch | Móng vuốtThư | |
| 7Star | ||
| Amigo | ||
| BravePhần mềm | Khách hàng của Jabber | Máy khách VPN |
| CentBrowser | Psi/Psi+ | Mở VPN |
| chedot | ||
| Cốc Cốc | ||
| Trình duyệt phần tử | Trình quản lý tải xuống | |
| Trình duyệt quyền riêng tư của Epic | Internet Download Manager | |
| sao chổi | JDownloader | |
| Quỹ đạo | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Trình duyệt Flock | ||
| UC Browser | ||
| Diều hâu đen | ||
| Cáo mạng | ||
| K-Meleon | ||
| mèo băng | ||
| Icedragon | ||
| Mặt trăng nhạt | ||
| waterfox | ||
| Trình duyệt Falkon |
Phản đối phân tích động
- Chức năng sử dụng Ngủ. Cho phép bạn bỏ qua một số hộp cát khi hết thời gian chờ
- Phá hủy một chủ đề Vùng.Identifier. Cho phép bạn che giấu sự thật tải xuống tệp từ Internet
- Trong tham số %filter_list% chỉ định danh sách các quy trình mà phần mềm độc hại sẽ chấm dứt trong khoảng thời gian một giây
- Ngắt kết nối UAC
- Vô hiệu hóa trình quản lý tác vụ
- Ngắt kết nối CMD
- Vô hiệu hóa một cửa sổ "Chạy"
- Vô hiệu hóa Bảng điều khiển
- Vô hiệu hóa một công cụ RegEdit
- Vô hiệu hóa các điểm khôi phục hệ thống
- Vô hiệu hóa menu ngữ cảnh trong Explorer
- Ngắt kết nối MSCONFIG
- Đường vòng UAC:
Các tính năng không hoạt động của mô-đun chính
Trong quá trình phân tích mô-đun chính, các chức năng đã được xác định chịu trách nhiệm lan truyền trên mạng và theo dõi vị trí của chuột.
Sâu
Các sự kiện kết nối phương tiện lưu động được theo dõi trong một luồng riêng biệt. Khi được kết nối, phần mềm độc hại có tên sẽ được sao chép vào thư mục gốc của hệ thống tệp scr.exe, sau đó nó tìm kiếm các tập tin có phần mở rộng lnk. Đội của mọi người lnk thay đổi cmd.exe /c start scr.exe&start <lệnh gốc>& thoát.
Mỗi thư mục ở gốc của phương tiện được cấp một thuộc tính "Ẩn giấu" và một tập tin được tạo với phần mở rộng lnk với tên của thư mục ẩn và lệnh cmd.exe /c start scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & exit.
Trình theo dõi chuột
Phương pháp thực hiện chặn tương tự như phương pháp được sử dụng cho bàn phím. Chức năng này vẫn đang được phát triển.
Hoạt động của tệp
| Con đường | Описание |
| %Nhiệt độ%temp.tmp | Chứa bộ đếm cho các lần thử bỏ qua UAC |
| %startupfolder%%infolder%%insname% | Đường dẫn được gán vào hệ thống HPE |
| %Temp%tmpG{Thời gian hiện tại tính bằng mili giây}.tmp | Đường dẫn sao lưu mô-đun chính |
| %Nhiệt độ%log.tmp | Tệp nhật ký |
| %AppData%{Một chuỗi 10 ký tự tùy ý}.jpeg | Ảnh chụp màn hình |
| C:UsersPublic{Một chuỗi 10 ký tự tùy ý}.vbs | Đường dẫn tới file vbs mà bootloader có thể sử dụng để đính kèm vào hệ thống |
| %Temp%{Tên thư mục tùy chỉnh}{Tên tệp} | Đường dẫn được bootloader sử dụng để tự gắn vào hệ thống |
Hồ sơ kẻ tấn công
Nhờ dữ liệu xác thực được mã hóa cứng, chúng tôi có thể truy cập vào trung tâm chỉ huy.
Điều này cho phép chúng tôi xác định email cuối cùng của những kẻ tấn công:
junaid[.]in***@gmail[.]com.
Tên miền của trung tâm chỉ huy được đăng ký vào thư sg***@gmail[.]com.
Kết luận
Trong quá trình phân tích chi tiết về phần mềm độc hại được sử dụng trong cuộc tấn công, chúng tôi có thể thiết lập chức năng của nó và có được danh sách đầy đủ nhất về các dấu hiệu xâm phạm liên quan đến trường hợp này. Việc hiểu rõ cơ chế tương tác mạng giữa các phần mềm độc hại giúp đưa ra khuyến nghị điều chỉnh hoạt động của các công cụ bảo mật thông tin, cũng như viết các quy tắc IDS ổn định.
Mối nguy hiểm chính Đặc vụTesla giống như DataStealer ở chỗ nó không cần phải commit với hệ thống hay chờ lệnh điều khiển thực hiện nhiệm vụ của mình. Khi ở trên máy, nó ngay lập tức bắt đầu thu thập thông tin cá nhân và chuyển nó sang CnC. Hành vi hung hăng này về mặt nào đó tương tự như hành vi của ransomware, với điểm khác biệt duy nhất là ransomware thậm chí không yêu cầu kết nối mạng. Nếu bạn gặp phải họ này, sau khi dọn sạch hệ thống bị nhiễm khỏi chính phần mềm độc hại, bạn chắc chắn nên thay đổi tất cả mật khẩu mà ít nhất về mặt lý thuyết có thể được lưu trong một trong những ứng dụng được liệt kê ở trên.
Nhìn về phía trước, giả sử rằng những kẻ tấn công gửi Đặc vụTesla, bộ tải khởi động ban đầu được thay đổi rất thường xuyên. Điều này cho phép bạn không bị phát hiện bởi máy quét tĩnh và máy phân tích heuristic tại thời điểm tấn công. Và xu hướng bắt đầu hoạt động ngay lập tức của gia đình này khiến việc giám sát hệ thống trở nên vô dụng. Cách tốt nhất để chống lại AgentTesla là phân tích sơ bộ trong hộp cát.
Trong bài viết thứ ba của loạt bài này, chúng ta sẽ xem xét các bootloader khác được sử dụng Đặc vụTesla, đồng thời nghiên cứu quá trình giải nén bán tự động của chúng. Đừng bỏ lỡ!
Băm
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Đăng ký |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Tên tập lệnh} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
đột biến
Không có chỉ số.
Các tập tin
| Hoạt động của tệp |
| %Nhiệt độ%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{Thời gian hiện tại tính bằng mili giây}.tmp |
| %Nhiệt độ%log.tmp |
| %AppData%{Một chuỗi 10 ký tự tùy ý}.jpeg |
| C:UsersPublic{Một chuỗi 10 ký tự tùy ý}.vbs |
| %Temp%{Tên thư mục tùy chỉnh}{Tên tệp} |
Thông tin mẫu
| Họ tên | Không biết |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Kiểu | PE (.NET) |
| Kích thước máy | 327680 |
| Tên khai sinh | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Dấu ngày tháng | 01.07.2019 |
| Trình biên dịch | VB.NET |
| Họ tên | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Kiểu | PE (.NET DLL) |
| Kích thước máy | 16896 |
| Tên khai sinh | IELibrary.dll |
| Dấu ngày tháng | 11.10.2016 |
| Trình biên dịch | Trình liên kết của Microsoft(48.0*) |
Nguồn: www.habr.com