商业窃密木马Agent Tesla新型变种分析

  • A+
所属分类:逆向工程
点击上方"蓝字"
关注我们吧!




01
概述

近日,安天CERT监测网络安全事件时发现一个商业窃密木马Agent Tesla的新型变种。该木马最早于2014年在其官方网站进行销售,价格根据选择的功能在几美元到几十美元之间不等。之后该木马转为在地下论坛出售,更新频繁,近期较为活跃,主要通过钓鱼邮件进行传播,邮件附件伪装成与邮件主题相关的内容,诱导受害者点击执行。


本次捕获到的变种样本使用.NET语言编写,样本执行过程中多次解密,以达到规避检测和干扰分析的目的。该样本具备键盘记录、屏幕截图、窃取软件密码等多种功能,并可通过Tor匿名网络、电子邮件、FTP和HTTP等方式进行回传,造成受害者信息泄露。


安天CERT于2018年曾发布过该窃密木马家族变种的分析报告[1]。与旧版本对比,新版Agent Tesla进行了大量的改造升级。从安全软件的对抗角度来看,新版本运行过程更加隐蔽,采用了多种混淆手段,难以被安全软件检测。增加Tor匿名网络回传的功能,使得回传服务器更难以被溯源及破坏,提高了隐蔽性和持久性。窃取的数据内容也大幅增加,包括流行的浏览器、电子邮件和远程连接等软件的数据。由此可见,近年来攻击者的技术水平一直在不断地升级。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。



02
事件对应的ATT&CK映射图谱

2.1 事件对应的ATT&CK映射图谱

该起攻击行动样本技术特点分布图:

商业窃密木马Agent Tesla新型变种分析

2‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:


表2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

搜索受害者自有网站

从官网获取受害者联系信息

资源开发

获取基础设施

注册回传邮件服务器

初始访问

网络钓鱼

通过钓鱼邮件传播

执行

诱导用户执行

诱导用户执行邮件附件中的恶意程序

持久化

利用自动启动执行引导或登录

设置注册表自启动项

利用计划任务/工作

设置计划任务自启动项

防御规避

 

反混淆/解码文件或信息

解码多层负载信息

隐藏行为

隐藏自身到其他目录

混淆文件或信息

混淆各层负载信息

进程注入

创建并注入自身进程

凭证访问

 

从存储密码的位置获取凭证

读取浏览器等应用软件凭证

操作系统凭证转储

读取Windows凭证数据

不安全的凭证

读取不安全的应用软件凭证

发现

 

发现账户

获取系统账户信息

发现进程

获取系统进程列表

发现系统信息

获取系统基础信息

发现系统网络配置

获取系统网络信息

发现系统所有者/用户

获取系统用户信息

发现系统时间

获取系统时间

收集

 

压缩/加密收集的数据

对收集的数据进行加密

自动收集

自动收集受害者数据

收集剪贴板数据

收集剪贴板数据

输入捕获

捕获受害者键盘输入

获取屏幕截图

定时获取受害者屏幕截图

数据渗出

 

自动渗出数据

自动发送收集的数据

使用Web服务回传

使用电子邮件回传


03
防护建议

 针对该窃密木马安天建议企业采取如下防护措施:


3.1 企业防护


(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统


(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;


(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;


(4)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。


3.2  邮件传播防护


(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;


(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。


经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。


商业窃密木马Agent Tesla新型变种分析

图3‑1 安天智甲有效防护



04
攻击流程

攻击者投放钓鱼邮件,诱导受害者解压并执行邮件附件中的窃密木马。窃密木马执行后,修改注册表以实现自启动,而后窃取浏览器、电子邮件等数据并使用邮箱acc*****@buynsell.com.pk将窃取到的信息回传到攻击者的邮箱。


商业窃密木马Agent Tesla新型变种分析

图4‑1 攻击流程图



05
样本分析

5.1 样本标签


表5‑1 二进制可执行文件

病毒名称

Trojan[Spy]/Win32.AgentTesla

原始文件名

DTT.exe

MD5

BAFA9BD077C451F845E0ECCA1010607D

处理器架构

Intel 386 or  later, and compatibles

文件大小

1.04  MB (1,095,680字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2021-07-15  13:19:22

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2021-07-15  15:43:49

VT检测结果

53/70


5.2 多层
载荷规避检测


样本使用多层载荷的方式隐藏恶意代码,避免杀软检测。


第一层载荷将实际恶意代码伪装在大量的正常代码中,并使用了较为复杂的混淆手段。在模块的构造函数中加载程序集XLPgWysCbZyAgPcWJNCUrkSOFDBEA,该程序集中包含多个图片资源,用于后续解密。


商业窃密木马Agent Tesla新型变种分析

图5‑1 加载资源程序集

使用字符串拼接、Hex转字节流来初步解码下一层载荷。


商业窃密木马Agent Tesla新型变种分析

图5‑2 初步解码第二层载荷

使用Base64解码,得到第二层载荷,该载荷为包含一个.net程序集的PE文件。解码过程中,使用大量函数进行嵌套调用。


商业窃密木马Agent Tesla新型变种分析

图5‑3 Base64解码及函数嵌套调用

使用LateGet获取第二层载荷中的IExpando.Plug类,并使用参数("4C6F6E675061","4572526B77586D6E70","GameDots")创建实例。


商业窃密木马Agent Tesla新型变种分析

图5‑4 执行第二层载荷

5.3 使用隐写术将载荷隐藏在图片中


样本利用隐写术将后续的载荷隐藏在图片资源GameDots.Resources.resources.LongPa中。


商业窃密木马Agent Tesla新型变种分析

图5‑5 图片资源

将该图片像素点数据转换拼接为字节流,颜色通道顺序为BGRA。对字节流进行异或解密,获得第三层载荷。


商业窃密木马Agent Tesla新型变种分析

图5‑6 解密字节流


使用Invoke函数调用第三层载荷的函数Eg.L7.BJx。


商业窃密木马Agent Tesla新型变种分析

图5‑7 执行第三层载荷


5.4 解析配置信息获取具体功能


第三层载荷执行后,解析配置信息。


商业窃密木马Agent Tesla新型变种分析

图5‑8 配置信息


配置信息以“||”为间隔,每项为一个功能配置,除有额外说明或为空的配置位外,置1表示启用该功能,置0表示禁用该功能,具体功能的配置说明如下:


表5‑2 配置信息说明

顺序

内容

说明

0

0

创建新进程,注入下一层载荷并执行:

0:自身,1:MSBuild.exe,2:vbc.exe,

3:RegSvcs.exe,4:不注入,

用Assembly.Load加载,Invoke执行

1

1

设置持久化

2

0

未使用

3

0

4

0

下载并执行其他程序

5

下载链接

6

下载到临时目录的文件名

7

0

检测虚拟机

8

0

检测沙箱

9

0

添加Windows Defender白名单

10

0

未使用

11~16

17~24

0

25

v4

推测为版本号v4.2.8388

26

2

27

8388

28

0

创建互斥量

29

0

显示对话框

30

对话框标题

31

对话框内容

32

0

对话框按钮样式

33

0

对话框图标样式

34

0

运行前Sleep

35

Sleep时间,单位秒

36

3

未使用

37


从资源8pvMnyOI.resources‎.8pvMnyOI中读取数据,使用异或解密。
再使用解密后数据的前16字节作为密钥,进行异或解密,获取第四层载荷。


商业窃密木马Agent Tesla新型变种分析

图5‑9 解密获取第四层载荷


根据配置信息,创建自身挂起进程,注入第四层载荷并执行。


5.5 窃取数据及持久化


第四层载荷首先检查并关闭自身重复进程,复制自身到%Appdata%NewAppNewApp.exe,并通过注册表设置自启动。


商业窃密木马Agent Tesla新型变种分析

图5‑10 设置自启动


在窃取数据的环节,受影响的对象包括浏览器凭据、电子邮件、FTP、远程连接工具、即时通讯软件、VPN账号及部分服务器运维工具。与旧版本相比,窃取的数据范围大幅增加,对应的数据内容如下表所示:


表5‑3 窃密针对的数据列表

商业窃密木马Agent Tesla新型变种分析


5.6  样本支持的回传方式


与旧版本相比,该版本支持的回传方式除电子邮件、FTP、HTTP外,还添加了对Tor匿名网络回传的支持。攻击者可以选择其中一种方式,并将相关参数硬编码到样本中实现回传。


5.6.1 通过Tor匿名网络回传


若采用该回传方式,样本会自动下载Tor客户端并通过匿名网络进行相关通信,该种方式使得回传服务器更难以被溯源及破坏,提高了隐蔽性和持久性。


商业窃密木马Agent Tesla新型变种分析

图5‑11 样本支持通过Tor匿名网络回传

5.6.2 通过电子邮件回传


本样本中使用的回传方式即为电子邮件,回传邮箱为[email protected]


商业窃密木马Agent Tesla新型变种分析

图5‑12 回传窃取的数据


5.6.3  通过FTP回传


将窃取的数据伪装为html文件,使用硬编码的回传地址、用户名及密码上传文件。


商业窃密木马Agent Tesla新型变种分析

图5‑13 生成文件名及文件内容


5.6.4 通过HTTP回传


将数据组合为表单并发送至服务器。与旧版本相比,该版本不再根据服务器回复进行回传,而是始终回传所有数据。


商业窃密木马Agent Tesla新型变种分析

图5‑14 样本支持通过HTTP回传内容


06
小结

本次窃密行动中使用的Agent Tesla新型变种在反检测、反调试、反沙箱等部分均进行了升级,使用了多层载荷和多种加密方式,以达到规避检测和干扰分析的目的。


从样本功能的演进来看,该家族窃取的数据内容大幅增加,用户一旦感染,将会泄露大量信息。从安全软件的对抗来看,该家族经过多年的发展,持续进行改进升级,不断尝试采用更加隐蔽的方式执行窃密行为。由此可见,攻击者的技术水平依旧在不断升级,安天CERT将会持续追踪该家族的发展态势。



07
IoCs

MD5:

BAFA9BD077C451F845E0ECCA1010607D

E-Mail:

[email protected]



08
参考链接

[1]  警惕AGENTTESLA商业键盘记录器新型变种https://www.antiy.cn/research/notice&report/research_report/20180507.html

商业窃密木马Agent Tesla新型变种分析
往期回顾

商业窃密木马Agent Tesla新型变种分析

商业窃密木马Agent Tesla新型变种分析
商业窃密木马Agent Tesla新型变种分析

商业窃密木马Agent Tesla新型变种分析

本文始发于微信公众号(安天):商业窃密木马Agent Tesla新型变种分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: