मतदान विफल रहा: हम AgentTesla को साफ पानी में लाते हैं। भाग २

हम मैलवेयर विश्लेषण पर लेखों की एक श्रृंखला जारी रखते हैं। पहले भाग में, हमने बात की कि कैसे CERT Group-IB के एक दुर्भावनापूर्ण कोड विश्लेषण विशेषज्ञ Ilya Pomerantsev ने एक यूरोपीय कंपनी से मेल द्वारा प्राप्त फ़ाइल का विस्तृत विश्लेषण किया और वहां AgentTesla स्पाइवेयर पाया। इस लेख में, इल्या मुख्य AgentTesla मॉड्यूल के चरणबद्ध विश्लेषण के परिणाम प्रस्तुत करता है।

एजेंट टेस्ला एक मॉड्यूलर जासूसी सॉफ्टवेयर है जो कानूनी कीलॉगर उत्पाद की आड़ में मैलवेयर-ए-सेवा के रूप में वितरित किया जाता है। एजेंट टेस्ला ब्राउज़र, ईमेल क्लाइंट और एफ़टीपी क्लाइंट से हमलावरों के लिए सर्वर से उपयोगकर्ता क्रेडेंशियल्स निकालने और प्रसारित करने में सक्षम है, क्लिपबोर्ड डेटा रजिस्टर करें, और डिवाइस की स्क्रीन को कैप्चर करें। विश्लेषण के समय, डेवलपर्स की आधिकारिक वेबसाइट अनुपलब्ध थी।

कॉन्फ़िगरेशन फ़ाइल

नीचे दी गई तालिका में बताया गया है कि कौन सी सुविधाओं का उपयोग नमूने में किया गया है:

सिस्टम में मुख्य मॉड्यूल को ठीक करना

यदि संबंधित ध्वज सेट किया जाता है, तो मुख्य मॉड्यूल को सिस्टम में फिक्सिंग के लिए पथ के रूप में निर्दिष्ट पथ में कॉपी किया जाता है।

कॉन्फ़िगरेशन से मान के आधार पर, फ़ाइल को "हिडन" और "सिस्टम" विशेषताएँ दी जाती हैं।
ऑटोस्टार्ट दो रजिस्ट्री शाखाओं द्वारा प्रदान किया जाता है:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \% insregname%
• HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ StartupApproved \ Run \% insregname%

चूंकि बूटलोडर RegAsm प्रक्रिया में इंजेक्ट करता है, मुख्य मॉड्यूल के लिए लगातार ध्वज स्थापित करने से काफी दिलचस्प परिणाम सामने आते हैं। खुद को कॉपी करने के बजाय, मैलवेयर ने सिस्टम में मूल RegAsm.exe फ़ाइल सुरक्षित कर ली, जिसके दौरान इंजेक्शन बाहर किया गया था।

C & C के साथ सहभागिता

उपयोग की गई विधि के बावजूद, नेटवर्क इंटरैक्शन चेकपीक का उपयोग करके पीड़ित के बाहरी आईपी को प्राप्त करने के साथ शुरू होता है [।] Amazonaws [।] कॉम / संसाधन।
निम्नलिखित मालवेयर में प्रस्तुत नेटवर्किंग विधियों का वर्णन करता है।

webpanel

HTTP प्रोटोकॉल के माध्यम से इंटरैक्शन होता है। मैलवेयर निम्नलिखित हेडर के साथ एक POST अनुरोध निष्पादित करता है:

• उपयोगकर्ता-एजेंट: मोज़िला / 5.0 (विंडोज यू विंडोज एनटी 6.1 आरयू आरवी: 1.9.2.3) गेको / 20100401 फ़ायरफ़ॉक्स / 4.0 (.NET सीएलआर 3.5.30729)
• कनेक्शन: कीप-अलाइव
• सामग्री-प्रकार: आवेदन / x-www-form-urlencoded

सर्वर का पता % PostURL% पर सेट है। एन्क्रिप्ट किया गया संदेश पैरामीटर "पी" में पारित किया गया है। एन्क्रिप्शन तंत्र "एन्क्रिप्शन एल्गोरिदम" (विधि 2) अनुभाग में वर्णित है।

प्रेषित संदेश इस प्रकार है:

type = {0} \ nhwid = {1} \ ntime = {2} \ npcname = {3} \ nlogdata = {4} \ nस्क्रीन = {5} \ nipadd = {6} \ nwebcam_link = {7} \ nclient = {8} \ nlink = {9} \ nusername = {10} \ npassword = {11} \ n स्क्रीन_लिंक = {12}

प्रकार पैरामीटर संदेश के प्रकार को इंगित करता है:


एचवीडी - एक एमडी 5 हैश मदरबोर्ड के सीरियल नंबर और प्रोसेसर आईडी के मानों से लिखा गया है। सबसे अधिक संभावना एक उपयोगकर्ता आईडी के रूप में उपयोग किया जाता है।
समय - वर्तमान समय और तारीख को प्रसारित करने का कार्य करता है।
pcname - को <Username> / <Computer Name> के रूप में परिभाषित किया गया है।
logdata - लॉग डेटा।

पासवर्ड प्रेषित करते समय, संदेश ऐसा दिखता है:

प्रकार = {0} \ nhwid = {1} \ ntime = {2} \ npcname = {3} \ nlogdata = {4} \ nस्क्रीन = {5} \ nipadd = {6} \ nwebcam_link = {7} \ n स्क्रीन_लिंक =। {8} \ n [पासवर्ड]

निम्नलिखित डेटा के प्रारूप \ nclient [] = {0} \ nlink [] = {1} \ nusername [] = {2} \ npassword [] = {3} में चुराए गए डेटा का वर्णन है।

smtp

इंटरैक्शन एसएमटीपी प्रोटोकॉल के माध्यम से है। प्रेषित संदेश HTML प्रारूप में है। बॉडी पैरामीटर है:


पत्र का शीर्षक सामान्य रूप है: <USER NAME> / <COMPUTER NAME> <CONTENT TYPE> । पत्र की सामग्री, साथ ही इसके संलग्नक एन्क्रिप्टेड नहीं हैं।


सहभागिता FTP प्रोटोकॉल के माध्यम से है। <CONTENT TYPE> _ <USER NAME> - <COMPUTER NAME> _ <DATE AND TIME> .html नाम वाली फाइल को निर्दिष्ट सर्वर पर स्थानांतरित कर दिया गया है। फ़ाइल की सामग्री एन्क्रिप्टेड नहीं हैं।

एन्क्रिप्शन एल्गोरिदम

इस मामले में निम्नलिखित एन्क्रिप्शन विधियों का उपयोग किया जाता है:

विधि 1

इस पद्धति का उपयोग मुख्य मॉड्यूल में तारों को एन्क्रिप्ट करने के लिए किया जाता है। एन्क्रिप्शन के लिए, एईएस एल्गोरिथ्म का उपयोग किया जाता है ।

इनपुट छह अंकों की दशमलव संख्या है। निम्नलिखित परिवर्तन उस पर किया जाता है:

f (x) = (((x (2 >> 31059) ^ 6380) - 1363) >> 3

परिणामी मूल्य एम्बेडेड डेटा सरणी के लिए सूचकांक है।

सरणी का प्रत्येक तत्व एक DWORD अनुक्रम है। DWORD का संयोजन करते समय , बाइट्स का एक सरणी प्राप्त किया जाता है: पहले 32 बाइट्स एन्क्रिप्शन कुंजी हैं, इसके बाद इनिशियलाइज़ेशन वेक्टर के 16 बाइट्स और शेष बाइट्स एन्क्रिप्टेड डेटा हैं।

विधि 2

3DB एल्गोरिथ्म का उपयोग ECB मोड में पूरे बाइट्स ( PKCS7 ) में पैडिंग के साथ किया जाता है।

कुंजी % urlkey% पैरामीटर द्वारा निर्दिष्ट की गई है, लेकिन इसका MD5 हैश एन्क्रिप्शन के लिए उपयोग किया जाता है।

दुर्भावनापूर्ण कार्यक्षमता

अध्ययन के तहत नमूना अपने दुर्भावनापूर्ण कार्य को लागू करने के लिए निम्नलिखित कार्यक्रमों का उपयोग करता है:

KeyLogger

यदि WinAPI फ़ंक्शन का उपयोग करके एक संबंधित VPO ध्वज है, तो SetWindowsHookEx कीबोर्ड कीस्ट्रोक घटनाओं के लिए अपना स्वयं का हैंडलर प्रदान करता है। हैंडलर फ़ंक्शन सक्रिय विंडो का शीर्षक प्राप्त करके शुरू होता है।

यदि आवेदन फ़िल्टरिंग के लिए ध्वज सेट किया गया है, तो निर्दिष्ट प्रकार के आधार पर फ़िल्टरिंग निष्पादित की जाती है:

1. कार्यक्रम का नाम विंडो हेडर में देखा गया है
2. प्रोग्राम का नाम विंडो प्रोसेस नाम में देखा जाता है

इसके बाद, प्रारूप में सक्रिय विंडो के बारे में जानकारी के साथ लॉग में एक रिकॉर्ड जोड़ा जाता है:


फिर दबाए गए कुंजी के बारे में जानकारी दर्ज की गई है:

दी गई आवृत्ति के साथ, एकत्रित लॉग सर्वर पर भेजा जाता है। यदि स्थानांतरण असफल रहा, तो लॉग को फ़ाइल % TEMP% \\ log.tmp प्रारूप में सहेजा जाता है:


जब टाइमर बंद हो जाता है, तो फ़ाइल सर्वर पर स्थानांतरित हो जाएगी।

ScreenLogger

निर्दिष्ट आवृत्ति के साथ, मैलवेयर 50 की गुणवत्ता के मूल्य के साथ Jpeg प्रारूप में एक स्क्रीनशॉट बनाता है और इसे फ़ाइल % APPDATA% \\ <10 वर्ण> .jpg के महत्वाकांक्षी अनुक्रम में सहेजता है। स्थानांतरण के बाद, फ़ाइल हटा दी जाती है।

ClipboardLogger

यदि संबंधित ध्वज सेट किया जाता है, तो नीचे दी गई तालिका के अनुसार इंटरसेप्ट किए गए पाठ में प्रतिस्थापन किए जाते हैं।


उसके बाद, पाठ लॉग में डाला जाता है:

PasswordStealer

मैलवेयर निम्न एप्लिकेशन से पासवर्ड डाउनलोड कर सकते हैं:

गतिशील विश्लेषण का मुकाबला

• स्लीप फ़ंक्शन का उपयोग करना। कुछ सैंडबॉक्स को टाइमआउट द्वारा बायपास करने की अनुमति देता है
• ज़ोन को नष्ट करना। आपको इंटरनेट से फ़ाइल डाउनलोड करने के तथ्य को छिपाने की अनुमति देता है
• पैरामीटर % filter_list% उन प्रक्रियाओं की सूची निर्धारित करता है जो मैलवेयर एक सेकंड के अंतराल के साथ पूरा करेगा
• UAC को अक्षम करना
• कार्य प्रबंधक को अक्षम करना
• सीएमडी को निष्क्रिय करना
• रन विंडो अक्षम करना
• नियंत्रण कक्ष अक्षम करना
• RegEdit टूल को अक्षम करना
• सिस्टम पुनर्स्थापना बिंदुओं को अक्षम करना
• एक्सप्लोरर में संदर्भ मेनू को अक्षम करना
• Msconfig को अक्षम करना
• यूएसी बाईपास:
  

मुख्य मॉड्यूल की निष्क्रिय विशेषताएं

मुख्य मॉड्यूल के विश्लेषण के दौरान, नेटवर्क पर फैलने और माउस की स्थिति को ट्रैक करने के लिए जिम्मेदार कार्यों की पहचान की गई थी।

कृमि

एक अलग स्ट्रीम में, हटाने योग्य मीडिया कनेक्शन घटनाओं की निगरानी की जाती है। जब फ़ाइल सिस्टम की जड़ से जुड़ा होता है, तो मैलवेयर को scr.exe नाम से कॉपी किया जाता है , जिसके बाद यह एक्सटेंशन lk के साथ फाइलों की खोज करता है। प्रत्येक lnk कमांड cmd.exe / c से स्क्रैब। Exe और प्रारंभ <मूल कमांड> और निकास से बदल जाती है ।

माध्यम की जड़ में प्रत्येक निर्देशिका को छिपी विशेषता दी गई है और lnk एक्सटेंशन के साथ एक फ़ाइल छिपी निर्देशिका और कमांड cmd.exe / c start scr.exe और एक्सप्लोरर / रूट, \ "% CD% <DIRORY NAME> \" और निकास के नाम के साथ बनाई गई है ।

MouseTracker

अवरोधन विधि कीबोर्ड के लिए उपयोग किए जाने वाले समान है। यह कार्यक्षमता अभी भी विकास के अधीन है।

फ़ाइल गतिविधि

घुसपैठिए प्रोफाइल

"वायर्ड" प्रमाणीकरण डेटा के लिए धन्यवाद, हम कमांड सेंटर तक पहुंच प्राप्त करने में सक्षम थे।


इससे हमें हमलावरों के अंतिम मेल की पहचान करने की अनुमति मिली:

junaid [।] में *** @ gmail [। com ।

कमांड सेंटर का डोमेन नाम sg *** @ gmail [।] कॉम पर पंजीकृत है।

निष्कर्ष

हमले में इस्तेमाल किए गए मैलवेयर के विस्तृत विश्लेषण के क्रम में, हम इसकी कार्यक्षमता स्थापित करने और इस मामले के लिए प्रासंगिक समझौता संकेतकों की सबसे व्यापक सूची प्राप्त करने में सक्षम थे। मालवरी के नेटवर्क इंटरैक्शन के तंत्र को समझना, सूचना सुरक्षा उपकरणों के संचालन को समायोजित करने के साथ-साथ स्थिर आईडीएस नियमों को लिखने के लिए सिफारिशें देना संभव बनाता है।

DataStealer के रूप में AgentTesla का मुख्य खतरा यह है कि अपने कार्यों को करने के लिए इसे सिस्टम में एक निर्धारण करने या नियंत्रण कमांड की प्रतीक्षा करने की आवश्यकता नहीं है। मशीन पर एक बार, वह तुरंत निजी जानकारी एकत्र करना शुरू कर देता है और इसे CnC तक पहुंचाता है। इस तरह के आक्रामक व्यवहार कुछ हद तक क्रिप्टोग्राफर्स के व्यवहार के समान हैं, एकमात्र अंतर यह है कि बाद वाले को नेटवर्क कनेक्शन की आवश्यकता नहीं है। स्वयं मैलवेयर से संक्रमित सिस्टम को साफ करने के बाद इस परिवार के साथ टकराव की स्थिति में, उन सभी पासवर्डों को बदलना अनिवार्य है जो कम से कम सैद्धांतिक रूप से उपरोक्त अनुप्रयोगों में से एक में संग्रहीत किए जा सकते हैं।

आगे देखते हैं, हम कहते हैं कि एजेंट्सटेला भेजने वाले हमलावर अक्सर शुरुआती बूटलोडर को बदलते हैं। यह आपको हमले के समय स्टेटिक स्कैनर और हेयुरिस्टिक एनालाइजर द्वारा किसी का ध्यान नहीं जाने देता। और इस परिवार की प्रवृत्ति तुरंत इसकी गतिविधि शुरू करने के लिए सिस्टम मॉनिटर को बेकार बना देती है। AgentTesla से निपटने का सबसे अच्छा तरीका सैंडबॉक्स में प्रारंभिक विश्लेषण है।

इस श्रृंखला के तीसरे लेख में, हम AgentTesla द्वारा उपयोग किए जाने वाले अन्य बूटलोडर्स को देखेंगे , और उन्हें स्वचालित रूप से अनपैक करने की प्रक्रिया के बारे में भी जानेंगे। इसे याद मत करो!

हैश

सी और सी

RegKey

म्युटेक्स

कोई संकेतक नहीं।

फ़ाइलें

नमूने की जानकारी