前言
AgentTesla是一种专门用来窃密的软件,本次样本是基于.NET编写。样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。除此之外,混淆器还会通过反虚拟机和反调试器等手段,对抗逆向分析。
正文
本次样本发现是基于.NET编写。
转到入口点
调试跟入
跟入类
反射调用
得到编码反转后的值
用脚本解码,发现是可执行文件
同样是c#编写
发现有混淆,用de4dot解混淆
发现有一个混淆内容
找到对应方法,查看内容
这里在操作资源,我们去看一下资源节的内容
自身是没有的
查看加载器,这里是有的,所以这里需要跟前面的结合起来
所以这里用的方法是,在加载器里面加入相应类,这里在win7虚拟机中编译报错,修改不可执行文件后,放入真机中编译
然后将对应的参数放入
内存中查看
这边发现还是存在混淆
利用de4dot去混淆
转到入口
调试步入,获得当前位置
之后运行过几个if语句后
创建计划任务
继续步入
之后创建一个进程
写入内存
查看内容
用火绒剑查看创建的进程以及写入的内容
dump出来,发现是AsyncRat
初始化解密配置文件
调试跟踪,得到解密内容
查看开源情报
继续初始化相关
创建互斥量之后
执行一些反分析操作
判断有无相同进程名,kill
创建计划任务
自启动
创建bat文件
防止休眠
建立连接
域名列表获取
发送基本信息
调用read方法
查看这个方法,发现是加载插件
利用插件反射加载,实现后续的窃密控制功能
原文始发于微信公众号(Th0r安全):商业窃密木马AgentTesla样本分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论