恶意家族名称:
AgentTesla
威胁类型:
间谍软件
简单描述:
2023 年 2 月 13 日,深信服 XDR 捕获新型间谍软件。
恶意文件分析
恶意事件描述
2023 年 2 月13 日,深信服 XDR 捕获新型间谍软件,此次事件中的恶意程序通过钓鱼邮件传播,当受害者解压邮件附件并执行其中的恶意程序之后,该程序会通过 PowerShell 添加 Defender 扫描白名单并创建计划任务,之后执行窃密操作。
恶意事件分析
通过进程执行链可以发现该样本是通过钓鱼邮件投递,受害者解压之后执行。
该样本是一个 .NET 编写的窃密程序,通过对资源节区的数据进行解密还原出恶意模块,然后使用反射加载的方式执行该模块。
调试发现该恶意模块名为 B4000。入口函数为Melvin.White。跟进函数,首先使用Sleep 休眠了 44s,在对一段硬编码的数据进行base64解码后再解压缩,还原出一个 PE 文件。
同样使用反射加载的方式加载还原出来的 PE,名为 Cruiser,在通过加载模块中的函数从图像中提取出另外一个模块 HIVacSim,同样使用反射加载。找到模块入口函数如下:
进入模块之后会执行一系列恶意操作。
释放文件
从资源节区中释放文件至 C:UsersUserNAmeAppDataRoamingNgsWWESFAPv.exe
,释放的文件与当前文件一致。
创建计划任务
通过schtasks.exe从XML文件中创建计划任务,二进制文件指向C:UsersUserNameAppDataingRomaingNgsWWSFAPv.exe。
添加Defender白名单
通过 Powershell 添加 Defender 白名单。
创建傀儡进程
创建傀儡进程步骤大致如下:
1. 通过 GetThreadContext 获取线程内容
2. 使用 ReadProcessMemory 读取进程内容
3. 使用 VirtualAllocEx 在傀儡进程中分配空间
4. 使用 WriteProcessMemory 往分配的内存中写入数据,
5. 使用 SetThreadContext 设置执行入口。
6. 使用 ResumeThread 恢复傀儡进程的主线程。
在 SetThreadContext 处下一个断点,找到傀儡进程入口点:
在写完数据并激活傀儡进程之后当前进程就会结束,导出写完数据的傀儡进程继续调试。
信息主机收集
通过 Win32_BaseBoard 获取主板信息,之后获取主机和用户名信息等。
获取公网 IP
收集软件信息
收集多种浏览器信息。
在多个 try catch 中收集特定安装程序的数据:
包括 discord、Claws mail、eM Client、FileZilla、Foxmail、FTP Navigator、WinSCP、RealVNC、MySQL 等程序、以及系统凭证等信息。
发送数据
将收集到的数据进行处理之后通过邮件发送到特定邮箱。
解决方案
处置建议
1. 删除计划任务
2. 取消 Defender 白名单
3. 终结该进程及其子进程并删除对应文件。
深信服解决方案
【深信服检测响应平台 XDR】已支持检测该新型木马的恶意行为,请更新软件(如有定制请先咨询售后再更新版本)和 IOA 规则库、IOC 规则库至最新版本,设置相应的检测策略,获取全方位的高级威胁检测能力;
【深信服终端检测响应平台 EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服安全运营服务】通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】AgentTesla 贼心不死,换壳之后卷土重来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论