商业窃密木马AgentTesla样本分析

admin 2024年11月1日14:31:04评论12 views字数 635阅读2分7秒阅读模式

前言

AgentTesla是一种专门用来窃密的软件,本次样本是基于.NET编写。样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。除此之外,混淆器还会通过反虚拟机和反调试器等手段,对抗逆向分析。

正文

本次样本发现是基于.NET编写。

商业窃密木马AgentTesla样本分析

转到入口点

商业窃密木马AgentTesla样本分析

调试跟入

商业窃密木马AgentTesla样本分析

跟入类

商业窃密木马AgentTesla样本分析

反射调用

商业窃密木马AgentTesla样本分析

得到编码反转后的值

商业窃密木马AgentTesla样本分析

用脚本解码,发现是可执行文件

商业窃密木马AgentTesla样本分析

同样是c#编写

商业窃密木马AgentTesla样本分析

发现有混淆,用de4dot解混淆

商业窃密木马AgentTesla样本分析

发现有一个混淆内容

商业窃密木马AgentTesla样本分析

找到对应方法,查看内容

商业窃密木马AgentTesla样本分析

这里在操作资源,我们去看一下资源节的内容

自身是没有的

商业窃密木马AgentTesla样本分析

查看加载器,这里是有的,所以这里需要跟前面的结合起来

商业窃密木马AgentTesla样本分析

所以这里用的方法是,在加载器里面加入相应类,这里在win7虚拟机中编译报错,修改不可执行文件后,放入真机中编译

商业窃密木马AgentTesla样本分析

然后将对应的参数放入

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

内存中查看

商业窃密木马AgentTesla样本分析

这边发现还是存在混淆

商业窃密木马AgentTesla样本分析

利用de4dot去混淆

商业窃密木马AgentTesla样本分析

转到入口

商业窃密木马AgentTesla样本分析

调试步入,获得当前位置

商业窃密木马AgentTesla样本分析

之后运行过几个if语句后

商业窃密木马AgentTesla样本分析

创建计划任务

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

继续步入

商业窃密木马AgentTesla样本分析

之后创建一个进程

商业窃密木马AgentTesla样本分析

写入内存

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

查看内容

商业窃密木马AgentTesla样本分析

用火绒剑查看创建的进程以及写入的内容

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

dump出来,发现是AsyncRat

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

初始化解密配置文件

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

调试跟踪,得到解密内容

商业窃密木马AgentTesla样本分析

查看开源情报

商业窃密木马AgentTesla样本分析

继续初始化相关

商业窃密木马AgentTesla样本分析

创建互斥量之后

商业窃密木马AgentTesla样本分析

执行一些反分析操作

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

判断有无相同进程名,kill

商业窃密木马AgentTesla样本分析

创建计划任务

商业窃密木马AgentTesla样本分析

自启动

商业窃密木马AgentTesla样本分析

创建bat文件

商业窃密木马AgentTesla样本分析

防止休眠

商业窃密木马AgentTesla样本分析

建立连接

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

域名列表获取

商业窃密木马AgentTesla样本分析

发送基本信息

商业窃密木马AgentTesla样本分析

调用read方法

商业窃密木马AgentTesla样本分析

查看这个方法,发现是加载插件

商业窃密木马AgentTesla样本分析

利用插件反射加载,实现后续的窃密控制功能

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

商业窃密木马AgentTesla样本分析

原文始发于微信公众号(Th0r安全):商业窃密木马AgentTesla样本分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日14:31:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   商业窃密木马AgentTesla样本分析http://cn-sec.com/archives/1827078.html

发表评论

匿名网友 填写信息