间谍软件Agent Tesla再换“新衣”,能有效绕过传统反病毒系统
2019-11-18 12:06:06 Author: www.4hou.com(查看原文) 阅读量:331 收藏

概要

2019年1月开始,思科Talos开始跟踪一系列间谍软件的分发活动,攻击者所用到的恶意软件一般是耳熟能详的Agent Tesla、Loki-bot等,通过定制dropper将最终恶意软件注入到公共进程中,一旦感染成功,便能从多类浏览器或邮件客户端中窃取用户信息。

这些注入技术并不新鲜,早就存在多年了,但随着攻击者在感染链上的改进,传统的反病毒系统也很难检测到嵌入的恶意软件。在本文中,我们将介绍其中一起行动,攻击者是如何利用dropper在不同阶段隐藏恶意软件的。

任何互联网用户都有可能成为这类恶意软件的目标,如果遭到感染,自己的隐私就有可能完全暴露在攻击者面前。

技术概述

此次活动以典型的钓鱼邮件的方式开展:

 

图1.钓鱼邮件

邮件附件是一个ARJ文件。ARJ是20世纪90年代早期的一种存档格式,经常用于盗版软件中,它可以将存档文件分割成多个较小的文件,使得文件更容易通过拨号连接共享。利用这种老旧的存档格式有可能绕过薄弱的电子邮件安全网关。

在本例中,此ARJ存档没有拆分成多个文件,而是仅包含一个名为“ IMP_Arrival Noticedoc.exe”的可执行文件。

Dropper

可执行文件是经过编译的AutoIt脚本,由UPX加壳,在编译之前有做混淆处理。图2显示了脚本的反编译结果。

 

图2 .AutoIT脚本的反编译版本

图3和图4显示了AutoIt脚本的去混淆版本,它在一开始就带有一些反虚拟机(VM)检查。这种检查是非常符合AgentTesla特色的,经常可以在AgentTesla分发活动第一阶段dropper中看到这类检查。

 

图3 .去混淆后的AutoIT脚本的开头部分

 

图4 .去混淆AutoIT脚本的VM检查

如果没有检查到什么,那么它将对移交给DecodeDataFromPEResourceOrString函数的第一个参数($data)中的字符串进行资源字体类型(8)的解码和提取(图7)。在GetResourcesFromPE函数(图6)中,该参数被转换为一个字符串,并划分为不同的字体资源名称,结果是一个字符串列表,顺序如下:

1.SystemPropertiesDataExecutionPreventionM

2.Windows.Media.BackgroundPlaybackK

3.windeployL

4.LaunchWinAppX

5.ccaF

6.CellularAPIQ

7.MuiUnattendE

8.RmClientE

9.ucsvcG

10.refsutilV

11.SpeechRuntimeV

12.DPTopologyAppv2_0N

然后从PE资源中提取这些字体类型资源,并连接到一个二进制大文件。

 

图5 .IMP_Arrival Noticedoc.exe的资源部分

 

图6 .GetResourcesFromPE函数

结果同样存储在$ data变量中(图7中的第245行),第246行的StringReverse(BinaryToString($ data))反转了存储字节的顺序。这是RC4加密形式的最终恶意软件payload。变量$ sopcode包含RC4代码的字节。在准备好shellcode和加密的payload数据之后,在第262行执行RC4函数并解密payload。

 

图7 .DecodeDataFromPEResourceOrString RC4函数

下图显示了反汇编的RC4 shell代码:

 

图8 . RC4函数($ opcode变量)

解密payload后,脚本将调用最后的InjectPayloadIntoProcess函数将payload注入另一个进程中,还提供了九种不同的合法注入选项,攻击者通过向函数提供相应的编号来选择使用哪个。

 

图9.注入进程选择

在本例中,攻击者选择了第一个选项——RegAsm.exe来隐藏payload。图10的所示的第211行准备本地注入shellcode($ a5_local_shellcode)并执行。如上所述,代码最终将payload隐藏在选定的合法进程内部,解码后的payload将作为最后一个参数($ a4_payload_code)移交给注入的shellcode。

 

图10 .AutoIT脚本的流程注入代码

AutoIT脚本还有几个在此活动中没有使用的附加函数,这些函数用于以下任务:

·将文件写入TEMP目录并执行。

·从互联网下载文件并执行。

·通过命令行执行脚本。

·特权升级。

每次行动中的AutoIT脚本是非常相似的,不同之处在于payload的构建方式,一些脚本从资源部分提取payload,还有一些脚本将加密payload存储在AutoIT脚本内部的大字符串中(图11)。图7中所示的解码函数也是没什么变化,$ rt参数设置为-1,意味着GetResourcesFromPE函数(图6)除了返回$ data变量的未修改内容(即图11中$ payload变量的内容)之外不执行任何操作。

 

图11.基于长字符串的AutoIT脚本开头

脚本的Injection部分也差不多,图12显示了另一个脚本的示例。

 

图12.基于长字符串的AutoIT脚本注入部分

Payload

在这些行动中,注入的payload大多是AgentTesla的混淆版本。AgentTesla能够从大多数浏览器、电子邮件客户端、SSH / SFTP / FTP客户端和其他软件中窃取凭据,再通过SMTP,FTP和HTTP滤出信息。本例中仅使用了SMTP。此版AgentTesla未被de4dot检测到有任何混淆,一些函数相较传统版本进行了稍微的修改或重新排序,但是其中大多数函数可能还是由混淆器完成的。

 

图13. AgentTesla

它在运行时解析配置设置和可疑字符串,图10中所示的函数是在可执行的静态类构造函数(.cctor)中实现的。解密某些大型数组用到了Rijndael算法,偏移量是根据传递给函数的整数来选择的。在屏幕截图的右侧,可以看到紫色的数组部分的长度。

 

图14. Agent Tesla解码例程

下图显示了运行时的使用情况,例如解码某些参数以将电子邮件滤出。

 

图15 .Agent Tesla字符串混淆

该函数的完全去混淆的版本如下所示:

 

图16 . Agent Tesla email函数(已去混淆)

这就是典型的AgentTesla函数。值得注意的是,混淆器似乎是为此版Agent Tesla定制的。看起来像是混淆原始代码同时填充变量。在本例中包含但从未使用过的函数中,甚至在一些使用过的函数中,一些硬编码字符串用变量(如%filename%)填充。

 

图17.混淆器变量

结论

这起攻击行动是恶意软件逃避检测机制的另一个例子。攻击者使用了复杂的dropper和好几种不同的混淆技术,将原始恶意软件隐藏在dropper中,恶意软件只会在运行时解密并注入内存,而在硬盘上则永远不会解密,令反病毒程序很难以检测。即使是那些大名鼎鼎的恶意软件,也能通过这种方式成功潜入。


文章来源: https://www.4hou.com/web/21613.html
如有侵权请联系:admin#unsafe.sh