Pẹlu nkan yii a pari lẹsẹsẹ awọn atẹjade ti o yasọtọ si itupalẹ sọfitiwia irira. IN A ṣe itupalẹ alaye ti faili ti o ni akoran ti ile-iṣẹ Yuroopu kan gba nipasẹ meeli ati ṣe awari AgentTesla spyware nibẹ. Ninu ṣe apejuwe awọn abajade ti iṣiro-igbesẹ-igbesẹ ti module AgentTesla akọkọ.
Loni Ilya Pomerantsev, alamọja ni itupalẹ malware ni CERT Group-IB, yoo sọrọ nipa ipele akọkọ ti itupalẹ malware - ṣiṣafihan ologbele-laifọwọyi ti awọn ayẹwo AgentTesla ni lilo apẹẹrẹ ti awọn ọran kekere mẹta lati iṣe ti awọn alamọja CERT Group-IB.
Ni deede, ipele akọkọ ninu itupalẹ malware ni yiyọkuro aabo ni irisi apo, cryptor, aabo tabi agberu. Ni ọpọlọpọ igba, iṣoro yii le ṣee yanju nipasẹ ṣiṣe malware ati ṣiṣe idalẹnu, ṣugbọn awọn ipo wa nibiti ọna yii ko dara. Fun apẹẹrẹ, ti malware ba jẹ encryptor, ti o ba ṣe aabo awọn agbegbe iranti rẹ lati danu, ti koodu naa ba ni awọn ọna wiwa ẹrọ foju, tabi ti malware ba tun bẹrẹ lẹsẹkẹsẹ lẹhin ibẹrẹ. Ni iru awọn iru bẹẹ, a ti lo ohun ti a npe ni "ologbele-laifọwọyi" unpacking, eyini ni, oluwadi naa ni iṣakoso pipe lori ilana ati pe o le laja nigbakugba. Jẹ ki a gbero ilana yii nipa lilo awọn apẹẹrẹ mẹta ti idile AgentTesla gẹgẹbi apẹẹrẹ. Eyi jẹ malware ti ko lewu ti o ba mu iraye si nẹtiwọọki rẹ.
Apeere No. 1
Faili orisun jẹ iwe MS Ọrọ ti o lo ailagbara CVE-2017-11882.
Bi abajade, fifuye isanwo ti ṣe igbasilẹ ati ifilọlẹ.
Onínọmbà ti igi ilana ati awọn asami ihuwasi fihan abẹrẹ sinu ilana naa RegAsm.exe.
Awọn ami ihuwasi ihuwasi wa ti AgentTesla.
Apeere ti o gba lati ayelujara jẹ eyiti o ṣee ṣe .NET-faili ni idaabobo nipasẹ a Olugbeja .NET riakito.
Jẹ ká ṣii o ni awọn IwUlO dnSpy x86 ki o si lọ si aaye titẹsi.
Nipa lilọ si iṣẹ naa DateTimeOffset, a yoo wa koodu ibẹrẹ fun tuntun .NET-modul. Jẹ ki a fi fifọ lori ila ti a nifẹ ninu ati ṣiṣe faili naa.
Ninu ọkan ninu awọn ifipamọ pada o le rii ibuwọlu MZ (0x4D 0x5A). Jẹ ki a fipamọ.
Faili ti o le ṣe idalẹnu jẹ ile-ikawe ti o ni agbara ti o jẹ agberu, i.e. yọ owo sisan kuro lati apakan awọn orisun ati ṣe ifilọlẹ.
Ni akoko kanna, awọn orisun pataki funrara wọn ko si ninu idalẹnu. Wọn wa ninu apẹẹrẹ obi.
IwUlO dnSpy ni awọn iṣẹ ṣiṣe ti o wulo pupọ meji ti yoo ṣe iranlọwọ fun wa ni iyara lati ṣẹda “Frankenstein” lati awọn faili ti o jọmọ meji.
- Ni igba akọkọ ti faye gba o lati "lẹẹmọ" a ìmúdàgba ìkàwé sinu awọn obi ayẹwo.
- Awọn keji ni lati tun koodu iṣẹ ni awọn titẹsi ojuami lati pe awọn ti o fẹ ọna ti awọn ti fi sii ìmúdàgba ìkàwé.
A fi wa "Frankenstein", ṣeto fifọ lori laini ti n pada ifipamọ kan pẹlu awọn orisun ti a ti sọ dicrypted, ati gbejade idalẹnu nipasẹ afiwe pẹlu ipele iṣaaju.
Idasonu keji ti kọ sinu VB.NET executable faili ti o ti wa ni idaabobo nipasẹ a Olugbeja faramọ si wa ConfuserEx.
Lẹhin yiyọ aabo kuro, a lo awọn ofin YARA ti a kọ tẹlẹ ati rii daju pe malware ti a ko papọ jẹ AgentTesla gaan.
Apeere No. 2
Faili orisun jẹ iwe MS Excel kan. Makiro ti a ṣe sinu rẹ nfa ipaniyan ti koodu irira.
Bi abajade, iwe afọwọkọ PowerShell ti ṣe ifilọlẹ.
Awọn iwe afọwọkọ decrypts awọn C # koodu ati awọn gbigbe Iṣakoso si o. Awọn koodu ara jẹ a bootloader, bi tun le ri lati awọn sandbox iroyin.
Awọn sisanwo jẹ ẹya executable .NET-faili.
Ṣii faili naa sinu dnSpy x86, o le ri pe o ti wa ni obfuscated. Yiyọ obfuscation kuro nipa lilo ohun elo de4dot ati ki o pada si onínọmbà.
Nigbati o ba n ṣayẹwo koodu naa, o le ṣawari iṣẹ atẹle:
Awọn ila ti a fi koodu si jẹ idaṣẹ TitẹwọlePoint и Epe. A fi fifọ si laini akọkọ, ṣiṣe ati fi iye ifipamọ pamọ baiti_0.
Idasonu jẹ lẹẹkansi ohun elo lori .NET ati aabo ConfuserEx.
A yọ obfuscation kuro ni lilo de4dot ati gbee si dnSpy. Lati apejuwe faili ti a loye pe a koju agberu CyaX-Sharp.
Agberu yii ni iṣẹ ṣiṣe egboogi-itupalẹ lọpọlọpọ.
Iṣẹ ṣiṣe yii pẹlu lilọ kiri awọn ọna ṣiṣe aabo Windows ti a ṣe sinu rẹ, piparẹ Olugbeja Windows, bakanna bi apoti iyanrin ati awọn ọna wiwa ẹrọ foju. O ṣee ṣe lati ṣaja isanwo lati inu nẹtiwọọki tabi tọju rẹ si apakan awọn orisun. Ifilọlẹ jẹ ṣiṣe nipasẹ abẹrẹ sinu ilana tirẹ, sinu ẹda ti ilana tirẹ, tabi sinu awọn ilana MSBuild.exe, vbc.exe и RegSvcs.exe da lori awọn paramita yàn nipa awọn attacker.
Sibẹsibẹ, fun wa ti won wa ni kere significant ju AntiDump-iṣẹ ti o ṣe afikun ConfuserEx. Awọn koodu orisun rẹ le ṣee ri ni .
Lati mu aabo kuro, a yoo lo anfani naa dnSpy, eyiti o fun ọ laaye lati ṣatunkọ IL-koodu.
Fipamọ ati fi sori ẹrọ fifọ si laini pipe iṣẹ decryption payload. O ti wa ni be ni Constructor ti akọkọ kilasi.
A ṣe ifilọlẹ ati ju fifuye isanwo naa silẹ. Lilo awọn ofin YAR ti a kọ tẹlẹ, a rii daju pe eyi ni AgentTesla.
Apeere No. 3
Faili orisun jẹ ṣiṣe VB abinibi PE32-faili.
Itupalẹ Entropy fihan niwaju nkan nla ti data ti paroko.
Nigbati o ba ṣe itupalẹ fọọmu ohun elo ni Olupilẹṣẹ VB o le ṣe akiyesi abẹlẹ piksẹli ajeji ajeji.
Entropy awonya bmp-image jẹ aami si awọn entropy awonya ti awọn atilẹba faili, ati awọn iwọn jẹ 85% ti awọn faili iwọn.
Irisi gbogbogbo ti aworan tọkasi lilo steganography.
Jẹ ki a san ifojusi si irisi igi ilana, bakannaa niwaju ami abẹrẹ kan.
Eyi tọkasi pe ṣiṣi silẹ wa ni ilọsiwaju. Fun awọn agberu Ipilẹ wiwo (aka VBKrypt tabi VBInjector) aṣoju lilo shellcode lati pilẹṣẹ fifuye isanwo, bakannaa lati ṣe abẹrẹ funrararẹ.
Onínọmbà ni Olupilẹṣẹ VB fihan niwaju iṣẹlẹ fifuye ni fọọmu FegatassocAirballoon2.
Jẹ ki a lọ si IDA pro si awọn pàtó kan adirẹsi ati iwadi awọn iṣẹ. Awọn koodu ti wa ni darale obfuscated. Ajẹkù ti o nifẹ si wa ni a gbekalẹ ni isalẹ.
Nibi aaye adirẹsi ilana naa ti ṣayẹwo fun ibuwọlu kan. Yi ona jẹ lalailopinpin dubious.
Ni akọkọ, adirẹsi ibẹrẹ ọlọjẹ naa 0x400100. Iye yii jẹ aimi ati pe ko tunṣe nigbati ipilẹ ba yipada. Ni awọn ipo eefin ti o dara julọ yoo tọka si opin PE-akọsori faili ti o ṣiṣẹ. Sibẹsibẹ, data data kii ṣe aimi, iye rẹ le yipada, ati wiwa adirẹsi gidi ti ibuwọlu ti o nilo, botilẹjẹpe kii yoo fa aponsedanu oniyipada, le gba akoko pipẹ pupọ.
Ẹlẹẹkeji, itumo ti awọn Ibuwọlu iWGK. Mo ro pe o han gbangba pe awọn baiti 4 kere ju lati ṣe iṣeduro iyasọtọ. Ati pe ti o ba ṣe akiyesi aaye akọkọ, iṣeeṣe ti ṣiṣe aṣiṣe kan ga pupọ.
Ni otitọ, ajẹkù ti a beere ni a so mọ opin ti a ti ri tẹlẹ bmp-awọn aworan nipasẹ aiṣedeede 0xA1D0D.
Iṣe Shellcode ti gbe jade ni awọn ipele meji. Ni igba akọkọ ti deciphers awọn ifilelẹ ti awọn ara. Ni ọran yii, bọtini naa jẹ ipinnu nipasẹ agbara iro.
Ju ti decrypted ọkan Shellcode ati ki o wo awọn ila.
Ni akọkọ, a mọ iṣẹ naa lati ṣẹda ilana ọmọde: CreateProcessInternalW.
Ni ẹẹkeji, a di mimọ ti ẹrọ imuduro ninu eto naa.
Jẹ ká lọ pada si awọn atilẹba ilana. Jẹ ki a fi fifọ on CreateProcessInternalW ati ki o tẹsiwaju ipaniyan. Nigbamii ti a ri asopọ NtGetContextThread/NtSetContextThread, eyi ti o yipada adirẹsi ibẹrẹ ipaniyan si adirẹsi naa ShellCode.
A sopọ si ilana ti a ṣẹda pẹlu oluyipada ati mu iṣẹlẹ ṣiṣẹ Daduro lori libraryu fifuye / unload, tun bẹrẹ ilana naa ki o duro de ikojọpọ .NET- ikawe.
Lilo siwaju sii IlanaHacker idasile awọn agbegbe ti o ni awọn unpacked .NET-ohun elo.
A da gbogbo awọn ilana duro ati paarẹ ẹda malware ti o ti fi sii ninu eto naa.
Faili ti o da silẹ jẹ aabo nipasẹ olugbeja .NET riakito, eyi ti o le ni rọọrun kuro nipa lilo ohun elo kan de4dot.
Lilo awọn ofin YARA ti a kọ tẹlẹ, a rii daju pe eyi ni AgentTesla.
Jẹ ki a ṣe akopọ
Nitorinaa, a ṣe afihan ni awọn alaye ilana ti ṣiṣi ayẹwo ologbele-laifọwọyi nipa lilo awọn ọran kekere mẹta bi apẹẹrẹ, ati tun ṣe atupale malware ti o da lori ọran ti o ni kikun, wiwa pe apẹẹrẹ ti o wa labẹ iwadi jẹ AgentTesla, iṣeto iṣẹ ṣiṣe rẹ ati kan pipe akojọ ti awọn ifi ti aropin.
Iṣiro ohun irira ti a ṣe nilo akoko pupọ ati igbiyanju, ati pe iṣẹ yii yẹ ki o ṣe nipasẹ oṣiṣẹ pataki kan ni ile-iṣẹ, ṣugbọn kii ṣe gbogbo awọn ile-iṣẹ ti ṣetan lati gba oluyanju.
Ọkan ninu awọn iṣẹ ti a pese nipasẹ Ẹgbẹ-IB yàrá ti Kọmputa Forensics ati Iṣayẹwo koodu irira jẹ idahun si awọn iṣẹlẹ ori ayelujara. Ati pe ki awọn alabara ma ṣe padanu akoko gbigba awọn iwe aṣẹ ati jiroro wọn larin ikọlu cyber kan, Ẹgbẹ-IB ṣe ifilọlẹ Idaduro Idaduro Iṣẹlẹ, iṣẹ esi isẹlẹ isẹlẹ ṣiṣe-alabapin ti o tun pẹlu igbesẹ itupalẹ malware kan. Alaye siwaju sii nipa eyi le ṣee ri .
Ti o ba fẹ lati ṣe iwadi lekan si bii awọn ayẹwo AgentTesla ṣe ṣi silẹ ati rii bii alamọja Ẹgbẹ CERT Ẹgbẹ-IB ṣe ṣe, o le ṣe igbasilẹ igbasilẹ webinar lori koko yii .
orisun: www.habr.com