商业窃密木马Agent Tesla新型变种分析
近日,安天CERT监测网络安全事件时发现一个商业窃密木马Agent Tesla的新型变种。该木马最早于2014年在其官方网站进行销售,价格根据选择的功能在几美元到几十美元之间不等。之后该木马转为在地下论坛出售,更新频繁,近期较为活跃,主要通过钓鱼邮件进行传播,邮件附件伪装成与邮件主题相关的内容,诱导受害者点击执行。
2.1 事件对应的ATT&CK映射图谱
该起攻击行动样本技术特点分布图:
具体ATT&CK技术行为描述表:
表2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
侦察 | 搜索受害者自有网站 | 从官网获取受害者联系信息 |
资源开发 | 获取基础设施 | 注册回传邮件服务器 |
初始访问 | 网络钓鱼 | 通过钓鱼邮件传播 |
执行 | 诱导用户执行 | 诱导用户执行邮件附件中的恶意程序 |
持久化 | 利用自动启动执行引导或登录 | 设置注册表自启动项 |
利用计划任务/工作 | 设置计划任务自启动项 | |
防御规避
| 反混淆/解码文件或信息 | 解码多层负载信息 |
隐藏行为 | 隐藏自身到其他目录 | |
混淆文件或信息 | 混淆各层负载信息 | |
进程注入 | 创建并注入自身进程 | |
凭证访问
| 从存储密码的位置获取凭证 | 读取浏览器等应用软件凭证 |
操作系统凭证转储 | 读取Windows凭证数据 | |
不安全的凭证 | 读取不安全的应用软件凭证 | |
发现
| 发现账户 | 获取系统账户信息 |
发现进程 | 获取系统进程列表 | |
发现系统信息 | 获取系统基础信息 | |
发现系统网络配置 | 获取系统网络信息 | |
发现系统所有者/用户 | 获取系统用户信息 | |
发现系统时间 | 获取系统时间 | |
收集
| 压缩/加密收集的数据 | 对收集的数据进行加密 |
自动收集 | 自动收集受害者数据 | |
收集剪贴板数据 | 收集剪贴板数据 | |
输入捕获 | 捕获受害者键盘输入 | |
获取屏幕截图 | 定时获取受害者屏幕截图 | |
数据渗出
| 自动渗出数据 | 自动发送收集的数据 |
使用Web服务回传 | 使用电子邮件回传 |
针对该窃密木马安天建议企业采取如下防护措施:
3.1 企业防护
(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
(4)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
3.2 邮件传播防护
(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
攻击者投放钓鱼邮件,诱导受害者解压并执行邮件附件中的窃密木马。窃密木马执行后,修改注册表以实现自启动,而后窃取浏览器、电子邮件等数据并使用邮箱acc*****@buynsell.com.pk将窃取到的信息回传到攻击者的邮箱。
5.1 样本标签
表5‑1 二进制可执行文件
病毒名称 | Trojan[Spy]/Win32.AgentTesla |
原始文件名 | DTT.exe |
MD5 | BAFA9BD077C451F845E0ECCA1010607D |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 1.04 MB (1,095,680字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2021-07-15 13:19:22 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-07-15 15:43:49 |
VT检测结果 | 53/70 |
5.2 多层载荷规避检测
样本使用多层载荷的方式隐藏恶意代码,避免杀软检测。
第一层载荷将实际恶意代码伪装在大量的正常代码中,并使用了较为复杂的混淆手段。在模块的构造函数中加载程序集XLPgWysCbZyAgPcWJNCUrkSOFDBEA,该程序集中包含多个图片资源,用于后续解密。
使用字符串拼接、Hex转字节流来初步解码下一层载荷。
使用Base64解码,得到第二层载荷,该载荷为包含一个.net程序集的PE文件。解码过程中,使用大量函数进行嵌套调用。
使用LateGet获取第二层载荷中的IExpando.Plug类,并使用参数("4C6F6E675061","4572526B77586D6E70","GameDots")创建实例。
5.3 使用隐写术将载荷隐藏在图片中
样本利用隐写术将后续的载荷隐藏在图片资源GameDots.Resources.resources.LongPa中。
将该图片像素点数据转换拼接为字节流,颜色通道顺序为BGRA。对字节流进行异或解密,获得第三层载荷。
使用Invoke函数调用第三层载荷的函数Eg.L7.BJx。
5.4 解析配置信息获取具体功能
第三层载荷执行后,解析配置信息。
配置信息以“||”为间隔,每项为一个功能配置,除有额外说明或为空的配置位外,置1表示启用该功能,置0表示禁用该功能,具体功能的配置说明如下:
顺序 | 内容 | 说明 |
0 | 0 | 创建新进程,注入下一层载荷并执行: 0:自身,1:MSBuild.exe,2:vbc.exe, 3:RegSvcs.exe,4:不注入, 用Assembly.Load加载,Invoke执行 |
1 | 1 | 设置持久化 |
2 | 0 | 未使用 |
3 | 0 | |
4 | 0 | 下载并执行其他程序 |
5 | 空 | 下载链接 |
6 | 空 | 下载到临时目录的文件名 |
7 | 0 | 检测虚拟机 |
8 | 0 | 检测沙箱 |
9 | 0 | 添加Windows Defender白名单 |
10 | 0 | 未使用 |
11~16 | 空 | |
17~24 | 0 | |
25 | v4 | 推测为版本号v4.2.8388 |
26 | 2 | |
27 | 8388 | |
28 | 0 | 创建互斥量 |
29 | 0 | 显示对话框 |
30 | 空 | 对话框标题 |
31 | 空 | 对话框内容 |
32 | 0 | 对话框按钮样式 |
33 | 0 | 对话框图标样式 |
34 | 0 | 运行前Sleep |
35 | 空 | Sleep时间,单位秒 |
36 | 3 | 未使用 |
37 | 空 |
从资源8pvMnyOI.resources.8pvMnyOI中读取数据,使用异或解密。再使用解密后数据的前16字节作为密钥,进行异或解密,获取第四层载荷。
根据配置信息,创建自身挂起进程,注入第四层载荷并执行。
5.5 窃取数据及持久化
第四层载荷首先检查并关闭自身重复进程,复制自身到%Appdata%\NewApp\NewApp.exe,并通过注册表设置自启动。
在窃取数据的环节,受影响的对象包括浏览器凭据、电子邮件、FTP、远程连接工具、即时通讯软件、VPN账号及部分服务器运维工具。与旧版本相比,窃取的数据范围大幅增加,对应的数据内容如下表所示:
表5‑3 窃密针对的数据列表
5.6 样本支持的回传方式
与旧版本相比,该版本支持的回传方式除电子邮件、FTP、HTTP外,还添加了对Tor匿名网络回传的支持。攻击者可以选择其中一种方式,并将相关参数硬编码到样本中实现回传。
5.6.1 通过Tor匿名网络回传
若采用该回传方式,样本会自动下载Tor客户端并通过匿名网络进行相关通信,该种方式使得回传服务器更难以被溯源及破坏,提高了隐蔽性和持久性。
5.6.2 通过电子邮件回传
本样本中使用的回传方式即为电子邮件,回传邮箱为angel@rollmed-cn.com。
5.6.3 通过FTP回传
将窃取的数据伪装为html文件,使用硬编码的回传地址、用户名及密码上传文件。
5.6.4 通过HTTP回传
将数据组合为表单并发送至服务器。与旧版本相比,该版本不再根据服务器回复进行回传,而是始终回传所有数据。
06小结
本次窃密行动中使用的Agent Tesla新型变种在反检测、反调试、反沙箱等部分均进行了升级,使用了多层载荷和多种加密方式,以达到规避检测和干扰分析的目的。
从样本功能的演进来看,该家族窃取的数据内容大幅增加,用户一旦感染,将会泄露大量信息。从安全软件的对抗来看,该家族经过多年的发展,持续进行改进升级,不断尝试采用更加隐蔽的方式执行窃密行为。由此可见,攻击者的技术水平依旧在不断升级,安天CERT将会持续追踪该家族的发展态势。
07IoCs
MD5: |
BAFA9BD077C451F845E0ECCA1010607D |
E-Mail: |
angel@rollmed-cn.com |
08参考链接
[1] 警惕AGENTTESLA商业键盘记录器新型变种https://www.antiy.cn/research/notice&report/research_report/20180507.html