恶意HTML帮助文件分发Agent Tesla

admin 2022年5月20日11:39:25评论28 views字数 2340阅读7分48秒阅读模式

       Unit 42 观察到的新一轮攻击活动,利用 HTML 帮助文件分发恶意软件。文章将展示如何分析恶意HTML 帮助文件,并通过 JavaScript 和 PowerShell 的多个阶段跟踪攻击链,直至最终payload。

这种攻击很有趣,因为攻击者经常寻找新颖的方法来分发payload。他们这样做的目的有两个:

  • 试图绕过安全产品

  • 试图绕过经过安全培训的人员

潜在的目标可能已经接受过提防来自未知发件人的文档、脚本和可执行文件的培训,但重要的是要注意所有的文件类型。

这个攻击链将 Agent Tesla 作为最终的payload,这是众所周知的恶意软件,已经存在了一段时间。Agent Tesla 主要从目标计算机中窃取敏感信息,并通过 FTP、SMTP 或 HTTP 将该信息发送给攻击者。它通过键盘记录、屏幕捕捉、摄像头记录和访问敏感数据窃取信息。


恶意 HTML 帮助文件

最初是一个名为ORDER OF CONTRACT-pdf.7z的 7zip 压缩文件,其中包含恶意编译的 HTML 帮助文件ORDER OF CONTRACT-pdf.chm (SHA256:081fd54d8d4731bbea9a2588ca53672feef0b835dc9fa9855b020a352819feaa )。当目标打开帮助文件时,会显示这个看似无害的窗口。

恶意HTML帮助文件分发Agent Tesla

图 1. Decoy HTML 帮助窗口

可以使用 7zip 解压帮助文件以查看内容。文件是kkjhk.htm文件,它会显示诱饵窗口并执行代码。

恶意HTML帮助文件分发Agent Tesla

图 2. 帮助文件内容

该文件包含混淆的JavaScript,当文件被打开时被执行。

恶意HTML帮助文件分发Agent Tesla

图 3. kkjhk.htm 中的混淆 JavaScript 代码

可以通过在 Chrome 中打开文件并使用 Chrome 开发人员工具来反混淆此代码。上面的代码显示,返回的结果存储在r变量中。可以使用 Chrome 开发者工具中的 JavaScript 调试器,在返回语句上进行断点。当在断点处停止执行后,就可以查看r变量的内容,并将其复制以便进一步分析。

恶意HTML帮助文件分发Agent Tesla

图 4. 在 Chrome 开发者工具中调试 kkjhk.htm

r变量的内容揭示了显示诱饵信息的HTML代码和执行PowerShell的命令。

恶意HTML帮助文件分发Agent Tesla

图 5. kkjhk.htm 的反混淆内容


初始 PowerShell

打开文件时,被混淆的 PowerShell 代码在后台执行。

恶意HTML帮助文件分发Agent Tesla

图 6. 混淆的 PowerShell

可以对这段代码进行去混淆处理,以便通过删除最终混淆的Invoke-Expressioncmdlet (I EX())来轻松地阅读它。攻击者经常在这样的敏感命令中插入反斜线,以避免字符串识别,因为 PowerShell忽略了这些字符。然后可以看到该样本利用 PowerShell Test-Connection cmdlet 来ping Google,以在继续之前验证连接性。然后该样本从http://pk-consult[.]hr/N2.jpg下载并执行代码。

恶意HTML帮助文件分发Agent Tesla

图 7. 去混淆的 PowerShell


第二阶段

下载的内容实际上不是 jpeg,而是进一步执行的 PowerShell 代码。可以在下面看到它在内存中解压缩并加载了几个字节数组。

恶意HTML帮助文件分发Agent Tesla

图 8. 第二阶段

可以简单地修改样本,通过注释执行,将字节数组输出到文件中,并将它们写入文件。

恶意HTML帮助文件分发Agent Tesla

图 9. 将字节数组写入文件


Agent Tesla payload

剩下的是$decompressedByteArray中的loader DLL(SHA256:0fd2e47d373e07488748ac63d9229fdef4fd83d51cf6da79a10628765956de7a)和$vhRo中的gzip压缩AgentTesla (SHA256: c684f1a6ec49214eba61175303bcaacb91dc0eba75abd0bd0e2407f3e65bce2a)。Loader DLL 将 Agent Tesla 加载到RegAsm.exe进程中执行。

这个Agent Tesla样本使用FTP并连接到ftp.videoalliance[.]ru进行数据泄露。


结论

攻击者经常寻找与众不同的方式来分发他们的payload。除了常见的文档或脚本分发方法之外,Microsoft 编译的 HTML 文件是另一种可能滥用的文件格式。重要的是,要确保对用户进行培训,使其对任何附件,特别是来自未知发件人的附件保持谨慎。


IoC


3446ec621506d87d372c596e1d384d9fd2c1637b3655d7ccadf5d9f64678681e ORDER OF CONTRACT-pdf.7z

081fd54d8d4731bbea9a2588ca53672feef0b835dc9fa9855b020a352819feaa ORDER OF CONTRACT-pdf.chm

9ba024231d4aed094757324d8c65c35d605a51cdc1e18ae570f1b059085c2454 N2.jpg

0fd2e47d373e07488748ac63d9229fdef4fd83d51cf6da79a10628765956de7a GC.dll

c684f1a6ec49214eba61175303bcaacb91dc0eba75abd0bd0e2407f3e65bce2a Agent Tesla dotNet executable


hxxp://pk-consult[.]hr/N2.jpg

ftp.videoalliance[.]ru



原文链接:

https://unit42.paloaltonetworks.com/malicious-compiled-html-help-file-agent-tesla/



原文始发于微信公众号(维他命安全):恶意HTML帮助文件分发Agent Tesla

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月20日11:39:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意HTML帮助文件分发Agent Teslahttps://cn-sec.com/archives/1022322.html

发表评论

匿名网友 填写信息