Agent Tesla内存邮箱取证

  Agent Tesla远比较悠久，最早发现于2014商用售卖，后转手地下论坛售卖，家族历史和变种不计其数。
Tesla的远控手段有多种，比如FTP，HTTP，电子邮件，多数攻击团队偏好使用匿名邮箱，善用匿名和二级邮箱作为窃取用户隐私。喜欢多层套壳，套壳并不属于母体本身，母体基于.NET编写而成。套壳是红队或者APT团队释放免杀一种手段，最新套壳包括Go/Rust三方变种，最终都会释放母体Tesla进行信息窃取。
Agent Tesla邮箱取证变得相对重要，类同的RAT家族大同小异，除了Tesla还有鹰眼RAT，都是类比手法进行数据窃取。本篇主要是实践，快速提取二级或匿名邮箱，通过邮件窃取数据可以进一步溯源和评估资产损失。

样本分析

金蝉脱壳

BorlanD Delphi分析有一定难度，内部机制比较杂，直接OD分析不好分析：

  经过相同种类样本多次尝试，针对特斯拉可以拖入OD直接VirtualAlloc下断，运行跟踪两步，将会执行Shellcode。

  Shellcode会动态获取Api地址，后释放第二阶段payload。这个阶段会有一些反调试，这个过程相对漫长，有多个函数反调试，配置文件到注册表都要过，因为它仍然是套壳
不过总结经验，不用步入函数，一旦调试器中出现VMVMVM或者KVM-XEN-VMwer等字符串，直接内存中给抹除掉，然后根据逻辑判断根两步，这块自动化过需要根据样本写OD脚本。
释放第二段Payload之前，一般会解密资源释放.pdf诱人耳目，利用Shellexec执行，继续查找资源释放Payload

剩下就是提取PE，基本都带UPX壳,拖之

  Payload分析简单，没有反调试和Shellcode，直接进入主函数，跟两步注意寄存器返回值，也可以到加载和执行下断点.

Tesla提取之后，入口点特征如下：

有很多样本先用De4去混淆，然后静态分析可以看到大量俄语：

释放.Net，从XML文件中导入计划任务，实现持久化。

C:UsersAdministratorAppDataRoamingMicrosoftWindowsRecent生成快捷方式

关注ShellExecuteOnSTAThread，Start以后将会执行ShellExecuteFunction

邮箱取证

  基于.Net的取证相对不复杂，这也是Tesla的一些编码缺陷，基于SMTP的发送需要账号密码,我们需要提取到匿名邮箱或者二级邮箱。
邮箱编码肯定要通过找到SMTP来作为切面，SMTP取证步骤如下，先找到SMTP函数，记录账号密码资源编号，NetworkCredential credentials初始化得时候便是，如下图487680，487648

找包含GetString函数，也就是获取资源编号的函数，最末尾是return GetString，在函数头下断点：

  运行AgentTesla，会在断点处下端，这里需要明确目标，解密资源而不是完整运行样本，我们找到资源解密ID的地方以后，将解密资源替换成账号密码的资源，比如下图540416替换成487680即可，return GetString函数下断运行。

点击进入GetString函数如下，在return下断，bytes则是加载的出资源的账号.

重启程序在输入密码的资源编号，这里需要重新调试，否则内存中有可能将提取不到

自动化取证思考

Tesla .Net RAT类同自动化取证，大体可以分为两个阶段

• 第一个阶段

1. 金蝉脱壳套壳样本自动化提取，对于流程来说并不关注套壳本身如何免杀，终会释放母体，我们还是要依赖于轻量级沙箱去提取到内存加载的.Net PE，这个阶段通过关键API HOOK和内存扫PE应该可以准确DUMP母体。
2. 反调试和常规壳自动化处理，套壳的反调试是难点，套壳根据不同的团队难度不同，碰到复杂的套壳Rust编写且有虚拟机检测，但是加壳基本都是常规壳，不存在强壳，相对容易处理。

• 第二阶段

.Net HOOK分析，相对较为确定的资源解密，需要识别邮箱，FTP等资源ID，获取相应的解密函数统一解密。
可以基于ILSpy/dnSpy做一款.Net的反汇编的Hook调试器，这样便于获取对应的资源函数和流程可控。

来源【https://xz.aliyun.com/】，感谢【一半人生】

原文始发于微信公众号（船山信安）：Agent Tesla内存邮箱取证