快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

警惕AGENTTESLA商业键盘记录器新型变种

1、概述

近日,安天CERT(安全研究与应急处理中心)发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器,记录用户的每次按键并归传至攻击者服务器。自2014年发铺至今,Agent Tesla的开发者为其添加了更多的功能,使其从一个简单的键盘记录器变成了一个具有多种功能的商业键盘记录器。Agent Tesla会监控并网络受害者的键盘输入、剪贴板内容、屏幕截图信息和受害主机上已装置的种种软件的凭证并采用HTTP POST的方式归传数据。当前,Agent Tesla已在互联网上销售,有被滥用的危害以及趋向。

此次发现的Agent Tesla新型变种与之前的版本功能类似,只是归传数据的方式有所改变,增添了另外两种归传数据的方式,一种是使用SMTP协定,将网络到的数据发送到攻击者的电子邮箱;另外一种是将数据传送到FTP服务器上。但经阐发后发现,虽然Agent Tesla新型变种提供了三种归传数据的方式,但只使用了邮件来归传数据,其他两种通讯方式则未曾使用。

Agent Tesla新型变种的首要攻击情势为钓鱼邮件,邮件附件中包含内嵌了恶意软件的Word文档。当用户关上文件后,便会被引诱双击文档中的蓝色图标,一旦用户双击图标,便开释出了恶意软件。Agent Tesla新型变种威胁着小我私人与企业的信息、财产安全,用户应加强防范意识,缩小被攻击的概率。

经验证,安天智甲终端防御体系(英文简称IEP,下列简称安天智甲)可完成对Agent Tesla新型变种和早期种种变种的有用防御。

二、事故样本阐发

2.1 样本关系

Clipboard Image.png

图2- 1 样本关系

本次拿获到的样本为Word文档,关上Word文档后,显示“DOUBLE CLICK TO ENABLE CLEAR VIEW”,提示用户要是想要获取更清晰的视图就要双击这个图标,以此来诱惑用户双击运行恶意程序。

Clipboard Image.png

图2- 2 恶意文档图示

当用户双击时,会调用UpdatedPO.exe文件,该文件为可执行程序,其执行便最先了恶意代码的启动,并导致终极执行具有核心功能的恶意代码No-name2.exe(具体过程见图2-1)。本讲演后续阐发首要针对No-name2.exe进行。

Clipboard Image.png

图2- 3 双击蓝色图标后讯问是否运行程序

2.2 样本标签

Clipboard Image.png

表 2 1 Word文档

2.3 样本功能

No-name2.exe是一个经过代码混淆处理的.Net程序。其可以记录受害主机的键盘输入、窃取剪贴板数据,捕捉受害主机屏幕截图,从受害主机摄像头获取文件,网络受害主机信息以及网络已装置软件的凭证,并将以上信息整个发送给攻击者。

No-name2.exe运行后会结束体系中与自身重复的进程,然后判定受害主机体系是否为Windows七、Windows八、Windows10中的一个,和UAC是不是开启的。若相符上述前提,则配置EnableLUA的值为0,即禁用“administrator in Admin Approval Mode”。

Clipboard Image.png

图2- 4判定受害主机体系是否开启了UAC

No-name2.exe向C2服务器发送卸载命令,若服务器响应的数据中包含“uninstall”字符串,则程序会删除它在计算机上写入的信息并退出。接着程序向C2服务器发送更新命令。

Clipboard Image.png

图2- 5发送卸载指令

Clipboard Image.png

图2- 6 发送更新指令

No-name2.exe会判定当前途序是否为%appdata%\DaVita Inc\DaVita Inc.exe,若该文件夹和文件不存在,则创建该文件夹并将当前途序复制到DaVita Inc.exe,并将文件属性配置为隐躲。配置DaVita Inc.exe为开机自启动。

Clipboard Image.png

图2- 7 判定当前运行文件是否为DaVita Inc.exe

No-name2.exe程序在记录键盘输入时,先获取受害主机的Windows标题并将其放入一段html代码中,然后捕捉受害者的按键,并将受害者的按键转换为html代码。

Clipboard Image.png

图2- 8 窃取键盘数据内容

受害者每一次更改剪贴板内容时,No-name2.exe程序便拿获剪贴板内容,然后将网络到的数据存入一段html代码中。

Clipboard Image.png

图2- 9 窃取剪贴板内容

Clipboard Image.png

图2- 10 发送键盘记录以及剪贴板内容

No-name2.exe每一隔20分钟便会获取受害主机的屏幕截图并将其保存到指定的文件中(%appdata%\ScreenShot\screen.jpeg),然后使用命令“screenshots”将其发送给C2服务器。

Clipboard Image.png

图2- 11 发送受害主机屏幕截图

No-name2.exe每一隔20分钟便会从受害主机的摄像头获取图片并将其保存到指定的文件中(%appdata%\CamCampture\webcam.jpeg),然后使用命令“webcam”将其发送给C2服务器。

Clipboard Image.png

图2- 12 网络摄像头图片信息并发送

No-name2.exe会网络已装置软件的凭据并发送给C2服务器。

Clipboard Image.png

图2- 13 软件凭证

Clipboard Image.png

图2- 14 软件凭证

No-name2.exe窃取下列软件的凭据信息。

Clipboard Image.png

表 2 2 No-name2.exe针对的软件列表

2.4 加解密方式

在No-name.exe中,字符串进行了简单的异或加密操作,黑客工具,资源文件的加密方式也是由异或加密构成的。资源文件解密函数以下。

Clipboard Image.png

图2- 15 资源解密

在No-name2.exe中,使用AES加密方式将所有字符串进行了加密,如:函数名、注册表信息、参数等。字符串解密函数以下。

Clipboard Image.png

图2- 16 字符串解密

2.5 自维护机制

No-name2.exe会从自身的Player资源区提取一个守护程序,开释到%temp%目录中,防止UpdatedPO.exe结束运行。

Clipboard Image.png

图2- 17 生成维护程序

该守护程序也是一个.Net程序,每一隔900ms检查一次UpdatedPO.exe是否正在运行,一旦UpdatedPO.exe结束运行则再次启动UpdatedPO.exe。

Clipboard Image.png

图2- 18 维护UpdatedPO.exe

2.6 收集通讯方式

No-name2.exe有3种方式将从受害主机上获取到的信息发送给攻击者,分别是HTTP POST、邮件以及FTP。阐发后发现,数据归传的方式被硬编码成了“SMTP”,所以在Agent Tesla变种的通讯过程中,实际上只使用了邮件来归传数据。在此猜测使用邮件归传数据的缘故起因是C2服务器的URL已经被检测为“恶意网站”。为了更具体的铺现此变种,本文对以上三种通讯方式均进行了阐发。

一、HTTP POST通讯方式

No-name2.exe会构建字符串及数据包,然后以HTTP POST方式向C2服务器提交获取到的信息。参数格式以下:

Clipboard Image.png

表 2 3 命令字段诠释

Clipboard Image.png

Clipboard Image.png

图2- 19 以HTTP POST方式提交信息

Clipboard Image.png

图2- 20 数据包头

C2服务器接收的命令以下所示。

Clipboard Image.png

表 2 4 C2命令

2、邮件通讯方式

No-name2.exe使用邮箱log****@lifftrade.com给攻击者发送邮件,收件邮箱以及发件邮箱均为log****@lifftrade.com,邮件中包含了从受害主机中窃取到的信息。

Clipboard Image.png

图2- 21 以邮件的方式发送信息

Clipboard Image.png

图2- 22 邮件信息

三、FTP通讯方式

No-name2.exe还可以FTP的方式提交窃取到的信息。

Clipboard Image.png

图2- 23 以FTP方式发送信息

Clipboard Image.png

图2- 24 FTP格式

3、防护建议

3.1 防备

恶意代码是因为用户双击蓝色图标(以下图所示)才启动的,因此,若遇到类似文档,请不要双击蓝色图标或可疑链接。

Clipboard Image.png

图3- 1 蓝色图标

3.2 手动清除

1. Agent Tesla新型变种在运行后会在暂且文件夹(C:\Users\用户名\AppData\Local\Temp\)开释UpdatedPO.exe以及维护文件%s%s%s.exe(该维护文件的文件名是三个随机的字符串)。手动清除起首需要结束这两个进程。

Clipboard Image.png

图3- 2 UpdatedPO.exe以及维护文件%s%s%s.exe进程

2. 结束进程后,需要在C:\Users\用户名\AppData\Local\Temp\文件夹下找到这两个文件,然后将这两个文件删除。

Clipboard Image.png

图3- 3暂且文件夹中的恶意文件

3. 恶意代码的某些配置会在重启电脑后见效。因此重启电脑后,DaVita Inc.exe才会出现在C:\Users\用户名\AppData\Roaming\DaVita Inc\目录下,自启动的注册表项才能被找到。恶意代码将DaVita Inc.exe配置成了开机自启动,需要找到注册表项HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DaVita Inc,并删除相干注册表。

Clipboard Image.png

图3- 4 删除此注册表项

4. 同时,因电脑重启使DaVita Inc.exe启动并在暂且文件夹下开释维护程序%s.exe,这时辰需要结束这些程序然后再删除DaVita Inc.exe以及%s.exe。

Clipboard Image.png

图3- 5 自启动的DaVita Inc.exe

5. 将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System中EnableLUA的值修改成0×1,开启被恶意代码关闭的UAC。

Clipboard Image.png

图3- 6开启UAC

3.3 安天智甲有用防护

经验证,安天智甲可完成对Agent Tesla变种的有用防御。

4、小结

通过阐发发现,Agent Tesla新型变种在匹敌杀软、匹敌阐发部分进行了升级,使用了多层调用。在每层的可执行程序中,使用不同的编译说话进行编译生成,该变种使用了VB,VC++,.Net三种编译器,而且使用了多种加密方式,给阐发增添了难度。

从样本功能的演进来看,该家族样本的变迁并不大,其首要目的都是窃取屏幕截图、键盘记录、多款软件的凭据以及收集摄像头截图等,使用多种方式进行归传。然则从与安全软件的匹敌来看,其进行了大批的改进升级,使用了多个可执行文件进行包裹,层层开释,几乎每一层都进行了详尽的加密处理,由此也能够看出攻击者的手艺水平在进行不断的升级。

* 安天实验室,转载注明来自FreeBuf

您可能还会对下面的文章感兴趣: