Geekly articles weekly

La participaci贸n fall贸: llevamos a AgentTesla a agua limpia. Parte 2


Continuamos una serie de art铆culos sobre an谩lisis de malware. En la primera parte, hablamos sobre c贸mo Ilya Pomerantsev, un experto en an谩lisis de c贸digo malicioso en CERT Group-IB, realiz贸 un an谩lisis detallado de un archivo recibido por correo de una empresa europea y encontr贸 el spyware AgentTesla all铆 . En este art铆culo, Ilya presenta los resultados de un an谩lisis por fases del m贸dulo principal AgentTesla .

Agent Tesla es un software de espionaje modular distribuido como malware como servicio bajo la apariencia de un producto legal keylogger. El agente Tesla puede extraer y transmitir credenciales de usuario desde navegadores, clientes de correo electr贸nico y clientes FTP al servidor para atacantes, registrar datos del portapapeles y capturar la pantalla del dispositivo. En el momento del an谩lisis, el sitio web oficial de los desarrolladores no estaba disponible.

Archivo de configuraci贸n


La siguiente tabla enumera qu茅 caracter铆sticas se utilizan en la muestra utilizada:
Descripci贸n
Valor
Indicador de uso de KeyLogger
cierto
Marcar para usar ScreenLogger
falso
Intervalo de env铆o del registro de KeyLogger en minutos
20
Intervalo de env铆o del registro de ScreenLogger en minutos
20
Indicador para procesar la tecla Retroceso. Falso: solo registro. Verdadero: borra la clave anterior
falso
Escriba CnC. Opciones: smtp, webpanel, ftp
smtp
Indicador de activaci贸n del hilo para terminar procesos de la lista "% filter_list%"
falso
Indicador de desactivaci贸n de UAC
falso
Desactivar la bandera del administrador de tareas
falso
Indicador de desactivaci贸n de CMD
falso
Ejecutar ventana deshabilitar bandera
falso
Desactivar el indicador del visor de registro
falso
Deshabilitar puntos de restauraci贸n del sistema
cierto
Indicador de desactivaci贸n del panel de control
falso
Indicador de desactivaci贸n de MSCONFIG
falso
Indicador de desactivaci贸n del men煤 contextual del explorador
falso
Indicador de pin del sistema
falso
Ruta para copiar el m贸dulo principal al acoplar en el sistema
% startupfolder% \\% insfolder% \\% insname%
Indicador para configurar los atributos "Sistema" y "Secreto" para el m贸dulo principal fijo en el sistema
falso
Reiniciar el indicador de ejecuci贸n cuando se fija al sistema
falso
Marcador para mover el m贸dulo principal a una carpeta temporal
falso
Bandera de ejecuci贸n de derivaci贸n de UAC
falso
Formato de fecha y hora para iniciar sesi贸n
aaaa-MM-dd HH: mm: ss
Marcador para usar el filtro de programa para KeyLogger
cierto
Tipo de programa de filtrado.
1 - el nombre del programa se busca en los encabezados de las ventanas
2 - el nombre del programa se busca en el nombre del proceso de la ventana
1
Filtro de programa
Facebook
Twitter
Gmail
Instagram
"Pel铆cula",
Skype
"Porno",
Hackear
Whatsapp
Discordia

Arreglando el m贸dulo principal en el sistema


Si se establece el indicador correspondiente, el m贸dulo principal se copia a lo largo de la ruta especificada en la configuraci贸n como la ruta para la fijaci贸n en el sistema.

Dependiendo del valor de la configuraci贸n, el archivo recibe los atributos "Oculto" y "Sistema".
El inicio autom谩tico es proporcionado por dos ramas de registro:

  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \% insregname%
  • HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ StartupApproved \ Run \% insregname%

Dado que el gestor de arranque se inyecta en el proceso RegAsm , establecer el indicador persistente para el m贸dulo principal conlleva consecuencias bastante interesantes. En lugar de copiarse a s铆 mismo, el malware asegur贸 el archivo original RegAsm.exe en el sistema, durante el cual se realiz贸 la inyecci贸n.



Interacci贸n con C&C


Independientemente del m茅todo utilizado, la interacci贸n de la red comienza con la obtenci贸n de la IP externa de la v铆ctima utilizando el checkip [.] Amazonaws [.] Com / resource.
A continuaci贸n se describen los m茅todos de red presentados en el malware.

panel web


La interacci贸n es a trav茅s del protocolo HTTP. El malware ejecuta una solicitud POST con los siguientes encabezados:

  • User-Agent: Mozilla / 5.0 (Windows U Windows NT 6.1 ru rv: 1.9.2.3) Gecko / 20100401 Firefox / 4.0 (.NET CLR 3.5.30729)
  • Conexi贸n: Keep-Alive
  • Tipo de contenido: application / x-www-form-urlencoded

La direcci贸n del servidor est谩 establecida en % PostURL% . El mensaje cifrado se pasa en el par谩metro "p" . El mecanismo de cifrado se describe en la secci贸n "Algoritmos de cifrado" (M茅todo 2) .

El mensaje transmitido es el siguiente:

type = {0} \ nhwid = {1} \ ntime = {2} \ npcname = {3} \ nlogdata = {4} \ nscreen = {5} \ nipadd = {6} \ nwebcam_link = {7} \ nclient = {8} \ nlink = {9} \ nusername = {10} \ npassword = {11} \ nscreen_link = {12}

El par谩metro tipo indica el tipo de mensaje:


hwid : se escribe un hash MD5 a partir de los valores del n煤mero de serie de la placa base y la ID del procesador. Lo m谩s probable es que se use como ID de usuario.
hora : sirve para transmitir la hora y fecha actuales.
pcname : definido como <Nombre de usuario> / <Nombre del equipo> .
logdata : datos de registro.

Al transmitir contrase帽as, el mensaje se ve as铆:

type = {0} \ nhwid = {1} \ ntime = {2} \ npcname = {3} \ nlogdata = {4} \ nscreen = {5} \ nipadd = {6} \ nwebcam_link = {7} \ nscreen_link = {8} \ n [contrase帽as]

Las siguientes son descripciones de los datos robados en el formato \ nclient [] = {0} \ nlink [] = {1} \ nusername [] = {2} \ npassword [] = {3} .

smtp


La interacci贸n es a trav茅s del protocolo SMTP. El mensaje transmitido est谩 en formato HTML. El par谩metro BODY es:


El t铆tulo de la carta tiene la forma general: <NOMBRE DE USUARIO> / <NOMBRE DE COMPUTADORA> <TIPO DE CONTENIDO> . El contenido de la carta, as铆 como sus archivos adjuntos, no est谩n encriptados.


La interacci贸n es a trav茅s del protocolo ftp. Un archivo con el nombre <TIPO DE CONTENIDO> _ <NOMBRE DE USUARIO> - <NOMBRE DE COMPUTADORA> _ <FECHA Y HORA> .html se transfiere al servidor especificado. El contenido del archivo no est谩 encriptado.


Algoritmos de cifrado


En este caso, se utilizan los siguientes m茅todos de cifrado:

M茅todo 1


Este m茅todo se usa para cifrar cadenas en el m贸dulo principal. Para el cifrado, se utiliza el algoritmo AES .

La entrada es un n煤mero decimal de seis d铆gitos. Se realiza la siguiente transformaci贸n en 茅l:

f (x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

El valor resultante es el 铆ndice de la matriz de datos incrustada.

Cada elemento de la matriz es una secuencia DWORD . Al combinar DWORD, se obtiene una matriz de bytes: los primeros 32 bytes son la clave de cifrado, seguidos de 16 bytes del vector de inicializaci贸n, y los bytes restantes son los datos cifrados.

M茅todo 2


El algoritmo 3DES se usa en modo ECB con relleno en bytes completos ( PKCS7 ).

La clave se especifica mediante el par谩metro % urlkey% , pero su hash MD5 se usa para el cifrado.

Funcionalidad maliciosa


La muestra en estudio utiliza los siguientes programas para implementar su funci贸n maliciosa:

Keylogger


Si hay un indicador VPO correspondiente que utiliza la funci贸n WinAPI, SetWindowsHookEx asigna su propio controlador para eventos de pulsaci贸n de teclas. La funci贸n del controlador comienza obteniendo el t铆tulo de la ventana activa.

Si se establece el indicador para realizar el filtrado de la aplicaci贸n, el filtrado se realiza seg煤n el tipo especificado:

  1. el nombre del programa se busca en los encabezados de las ventanas
  2. el nombre del programa se busca en el nombre del proceso de la ventana

A continuaci贸n, se agrega un registro al registro con informaci贸n sobre la ventana activa en el formato:


Luego se registra la informaci贸n sobre la tecla presionada:
Clave
Registro
Retroceso
Dependiendo de la bandera de procesamiento de la tecla Retroceso: Falso - {BACK}
Verdadero: borra la clave anterior
BLOQUEO DE MAY脷SCULAS
{BLOQ MAY脷S}
Esc
{ESC}
Re P谩g
{PageUp}
Abajo
Darr
BORRAR
{DEL}
"
& quot;
F5
{F5}
Y
& amp;
F10
{F10}
Pesta帽a
{TAB}
<
& lt;
>
& gt;
Barra espaciadora
F8
{F8}
F12
{F12}
F9
{F9}
ALT + TAB
{ALT + TAB}
Fin
{END}
F4
{F4}
F2
{F2}
CTRL
{CTRL}
F6
{F6}
Derecho
? rarr;
Arriba
& uarr;
F1
{F1}
Izquierda
& larr;
Pagedown
{PageDown}
Insertar
{Insertar}
Ganar
{Win}
Numlock
{Bloq Num}
F11
{F11}
F3
{F3}
Inicio
{INICIO}
ENTRAR
{ENTER}
ALT + F4
{ALT + F4}
F7
{F7}
Otra clave
Car谩cter en may煤sculas o min煤sculas seg煤n la posici贸n de las teclas May煤s y Bloq May煤s

Con una frecuencia dada, el registro recopilado se env铆a al servidor. Si la transferencia no tuvo 茅xito, el registro se guarda en el archivo % TEMP% \\ log.tmp en el formato:


Cuando el temporizador se apaga, el archivo se transferir谩 al servidor.

Screenlogger


Con la frecuencia especificada, el malware crea una captura de pantalla en formato Jpeg con un valor de calidad de 50 y lo guarda en el archivo % APPDATA% \\ <secuencia aleatoria de 10 caracteres> .jpg . Despu茅s de la transferencia, el archivo se elimina.

Clipboardlogger


Si se establece el indicador correspondiente, los reemplazos se realizan en el texto interceptado de acuerdo con la tabla a continuaci贸n.


Despu茅s de eso, el texto se inserta en el registro:


PasswordStealer


El malware puede descargar contrase帽as de las siguientes aplicaciones:
Navegadores
Clientes de correo electr贸nico
Clientes FTP
Cromo
Perspectiva
Filezilla
Firefox
Thunderbird
WS_FTP
IE / Edge
Foxmail
Winscp
Safari
Opera Mail
Coreftp
Navegador Opera
IncrediMail
Navegador FTP
Yandex
Pocomail
Flashfxp
Comodo
Eudora
Smartftp
Chromeplus
Thebat
FTPCommander
Cromo
Buz贸n
Antorcha
Clawsmail
7estrella
Amigo
Bravesoftware
Clientes Jabber
Clientes VPN
Centbrowser
Psi / psi +
VPN abierta
Chedot
Coccoc
Navegador de elementos
Descargar gestores
Navegador de privacidad 茅pico
Gestor de descargas de internet
Kometa
Jdownloader
Orbitum
Sputnik
uCozMedia
Vivaldi
Seamonkey
Navegador Flock
Navegador Uc
Blackhawk
Cyberfox
K-meleon
Icecat
Icedragon
Luna de miel
Waterfox
Navegador Falkon


An谩lisis din谩mico contrarrestante


  • Usando la funci贸n Sleep . Permite evitar algunos sandboxes por tiempo de espera
  • Destrucci贸n de la secuencia Zone.Identifier . Le permite ocultar el hecho de descargar un archivo de Internet
  • El par谩metro % filter_list% establece la lista de procesos que completar谩 el malware con un intervalo de un segundo
  • Deshabilitar UAC
  • Deshabilitar el Administrador de tareas
  • Deshabilitar CMD
  • Deshabilitar la ventana Ejecutar
  • Deshabilitar el panel de control
  • Deshabilitar la herramienta RegEdit
  • Desactivar puntos de restauraci贸n del sistema
  • Deshabilitar el men煤 contextual en el Explorador
  • Deshabilitar msconfig
  • Bypass UAC :

Caracter铆sticas inactivas del m贸dulo principal.


Durante el an谩lisis del m贸dulo principal, se identificaron las funciones responsables de propagarse por la red y rastrear la posici贸n del mouse.

Gusano


En una secuencia separada, se supervisan los eventos de conexi贸n de medios extra铆bles. Cuando se conecta a la ra铆z del sistema de archivos, el malware se copia con el nombre scr.exe , despu茅s de lo cual busca archivos con la extensi贸n lnk . Cada comando lnk cambia a cmd.exe / c start scr.exe y start <comando original> y sale .

Cada directorio en la ra铆z del medio recibe el atributo Oculto y se crea un archivo con la extensi贸n lnk con el nombre del directorio oculto y el comando cmd.exe / c start scr.exe & explorer / root, \ "% CD% <NOMBRE DEL DIRECTORIO> \" y salir .

Mousetracker


El m茅todo de intercepci贸n es similar al utilizado para el teclado. Esta funcionalidad a煤n est谩 en desarrollo.

Actividad de archivo


El camino
Descripci贸n
% Temp% \ temp.tmp
Contiene el contador de intentos de evitar UAC
% startupfolder% \% insfolder% \% insname%
Forma de consolidarse en el sistema HPE
% Temp% \ tmpG \ {Hora actual en milisegundos} .tmp
La ruta para la copia de seguridad del m贸dulo principal
% Temp% \ log.tmp
Archivo de registro
% AppData% \ {Secuencia arbitraria de 10 caracteres} .jpeg
Capturas de pantalla
C: \ Users \ Public \ {Secuencia arbitraria de 10 caracteres} .vbs
La ruta al archivo vbs que el gestor de arranque puede usar para cerrar el sistema
% Temp% \ {Nombre de carpeta arbitraria} \ {Nombre de archivo}
La ruta utilizada por el gestor de arranque para acoplar en el sistema

Perfil de intrusos


Gracias a los datos de autenticaci贸n "cableados", pudimos obtener acceso al centro de comando.


Esto nos permiti贸 identificar el correo final de los atacantes:

junaid [.] en *** @ gmail [.] com .

El nombre de dominio del centro de comando est谩 registrado en sg *** @ gmail [.] Com .

Conclusi贸n


En el curso de un an谩lisis detallado del malware utilizado en el ataque, pudimos establecer su funcionalidad y obtener la lista m谩s completa de indicadores de compromiso relevantes para este caso. La comprensi贸n de los mecanismos de interacci贸n de red de malvari permiti贸 dar recomendaciones sobre el ajuste del funcionamiento de las herramientas de protecci贸n de la informaci贸n, as铆 como escribir reglas IDS estables.

El principal peligro de AgentTesla como DataStealer es que para realizar sus tareas no necesita realizar una fijaci贸n en el sistema o esperar un comando de control. Una vez en la m谩quina, inmediatamente comienza a recopilar informaci贸n privada y la transmite a CnC. Tal comportamiento agresivo es algo similar al comportamiento de los cript贸grafos, con la 煤nica diferencia de que estos 煤ltimos ni siquiera requieren una conexi贸n de red. En caso de una colisi贸n con esta familia despu茅s de limpiar el sistema infectado del malware mismo, es obligatorio cambiar todas las contrase帽as que al menos te贸ricamente podr铆an almacenarse en una de las aplicaciones anteriores.

Mirando hacia el futuro, digamos que los atacantes que env铆an AgentTesla a menudo cambian el gestor de arranque inicial. Esto le permite pasar desapercibido para los esc谩neres est谩ticos y los analizadores heur铆sticos en el momento del ataque. Y la tendencia de esta familia a comenzar inmediatamente su actividad hace que los monitores del sistema sean in煤tiles. La mejor manera de tratar con AgentTesla es un an谩lisis preliminar en el sandbox.

En el tercer art铆culo de esta serie, veremos otros cargadores de arranque utilizados por AgentTesla y tambi茅n aprenderemos sobre el proceso de su desempaque semiautom谩tico. 隆No te lo pierdas!

Hach铆s


SHA1
A8C2765B3D655BA23886D663D22BDD8EF6E8E894
8010CC2AF398F9F951555F7D481CE13DF60BBECF
79B445DE923C92BF378B19D12A309C0E9C5851BF
15839B7AB0417FA35F2858722F0BD47BDF840D62
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

C&C


URL
sina-c0m [.] icu
smtp [.] sina-c0m [.] icu


Regkey


Registro
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ {Script Name}
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \% insregname%
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ StartupApproved \ Run \% insregname%

Mutex


Sin indicadores

Archivos


Actividad de archivo
% Temp% \ temp.tmp
% startupfolder% \% insfolder% \% insname%
% Temp% \ tmpG \ {Hora actual en milisegundos} .tmp
% Temp% \ log.tmp
% AppData% \ {Secuencia arbitraria de 10 caracteres} .jpeg
C: \ Users \ Public \ {Secuencia arbitraria de 10 caracteres} .vbs
% Temp% \ {Nombre de carpeta arbitraria} \ {Nombre de archivo}

Informaci贸n de muestras


Nombre
Desconocido
MD5
F7722DD8660B261EA13B710062B59C43
SHA1
15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256
41DC0D5459F25E2FDCF8797948A7B315D3CB0753
98D808D1772CACCC726AF6E9
Tipo
PE (.NET)
Tama帽o
327680
Nombre original
AZZRIDKGGSLTYFUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
Sello de fecha
01/07/2019
Compilador
Vb.net

Nombre
IELibrary.dll
MD5
BFB160A89F4A607A60464631ED3ED9FD
SHA1
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256
D55800A825792F55999ABDAD199DFA54F3184417
215A298910F2C12CD9CC31EE
Tipo
PE (.NET DLL)
Tama帽o
16896
Nombre original
IELibrary.dll
Sello de fecha
10/11/2016
Compilador
Microsoft Linker (48.0 *)

Source: https://habr.com/ru/post/479120/

More articles:


All Articles