1. 概述

近日，安天CERT监测网络安全事件时发现一个商业窃密木马Agent Tesla的新型变种。该木马最早于2014年在其官方网站进行销售，价格根据选择的功能在几美元到几十美元之间不等。之后该木马转为在地下论坛出售，更新频繁，近期较为活跃，主要通过钓鱼邮件进行传播，邮件附件伪装成与邮件主题相关的内容，诱导受害者点击执行。

本次捕获到的变种样本使用.NET语言编写，样本执行过程中多次解密，以达到规避检测和干扰分析的目的。该样本具备键盘记录、屏幕截图、窃取软件密码等多种功能，并可通过Tor匿名网络、电子邮件、FTP和HTTP等方式进行回传，造成受害者信息泄露。

安天CERT于2018年曾发布过该窃密木马家族变种的分析报告[1]。与旧版本对比，新版Agent Tesla进行了大量的改造升级。从安全软件的对抗角度来看，新版本运行过程更加隐蔽，采用了多种混淆手段，难以被安全软件检测。增加Tor匿名网络回传的功能，使得回传服务器更难以被溯源及破坏，提高了隐蔽性和持久性。窃取的数据内容也大幅增加，包括流行的浏览器、电子邮件和远程连接等软件的数据。由此可见，近年来攻击者的技术水平一直在不断地升级。 经验证，安天智甲终端防御系统（简称IEP）可实现对该窃密木马的查杀与有效防护。

2. 事件对应的ATT&CK映射图谱

2.1 事件对应的ATT&CK映射图谱

该起攻击行动样本技术特点分布图：

图2-1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表2-1 ATT&CK技术行为描述表

3. 防护建议

针对该窃密木马安天建议企业采取如下防护措施：

3.1 企业防护

（1） 安装终端防护：安装反病毒软件，建议安装安天智甲终端防御系统；

（2） 加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

（3） 部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

 （4） 安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查。

3.2 邮件传播防护

（1） 接收邮件时要确认发送来源是否可靠，避免打开可疑邮件中的网址和附件；

（2） 建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。

4. 攻击流程

攻击者投放钓鱼邮件，诱导受害者解压并执行邮件附件中的窃密木马。窃密木马执行后，修改注册表以实现自启动，而后窃取浏览器、电子邮件等数据并使用邮箱acc*****@buynsell.com.pk将窃取到的信息回传到攻击者的邮箱。

图4-1 攻击流程图

5. 样本分析

5.1 样本标签

表5-1 二进制可执行文件

5.2 多层载荷规避检测

样本使用多层载荷的方式隐藏恶意代码，避免杀软检测。

第一层载荷将实际恶意代码伪装在大量的正常代码中，并使用了较为复杂的混淆手段。在模块的构造函数中加载程序集XLPgWysCbZyAgPcWJNCUrkSOFDBEA，该程序集中包含多个图片资源，用于后续解密。

图5-1 加载资源程序集

使用字符串拼接、Hex转字节流来初步解码下一层载荷。

图5-2 初步解码第二层载荷

使用Base64解码，得到第二层载荷，该载荷为包含一个.net程序集的PE文件。解码过程中，使用大量函数进行嵌套调用。

图5-3 Base64解码及函数嵌套调用

使用LateGet获取第二层载荷中的IExpando.Plug类，并使用参数（"4C6F6E675061","4572526B77586D6E70","GameDots"）创建实例。

图5-4 执行第二层载荷

5.3 使用隐写术将载荷隐藏在图片中

样本利用隐写术将后续的载荷隐藏在图片资源GameDots.Resources.resources.LongPa中。

图5-5 图片资源

将该图片像素点数据转换拼接为字节流，颜色通道顺序为BGRA。对字节流进行异或解密，获得第三层载荷。

图5-6 解密字节流

使用Invoke函数调用第三层载荷的函数Eg.L7.BJx。

图5-7 执行第三层载荷

5.4 解析配置信息获取具体功能

第三层载荷执行后，解析配置信息。

图5-8 配置信息

配置信息以“||”为间隔，每项为一个功能配置，除有额外说明或为空的配置位外，置1表示启用该功能，置0表示禁用该功能，具体功能的配置说明如下：

表5-2 配置信息说明

从资源8pvMnyOI.resources‎.8pvMnyOI中读取数据，使用异或解密。再使用解密后数据的前16字节作为密钥，进行异或解密，获取第四层载荷。

图5-9 解密获取第四层载荷

根据配置信息，创建自身挂起进程，注入第四层载荷并执行。

5.5 窃取数据及持久化

第四层载荷首先检查并关闭自身重复进程，复制自身到%Appdata%\NewApp\NewApp.exe，并通过注册表设置自启动。

图5-10 设置自启动

在窃取数据的环节，受影响的对象包括浏览器凭据、电子邮件、FTP、远程连接工具、即时通讯软件、VPN账号及部分服务器运维工具。与旧版本相比，窃取的数据范围大幅增加，对应的数据内容如下表所示：

表5-3 窃密针对的数据列表

5.6 样本支持的回传方式

与旧版本相比，该版本支持的回传方式除电子邮件、FTP、HTTP外，还添加了对Tor匿名网络回传的支持。攻击者可以选择其中一种方式，并将相关参数硬编码到样本中实现回传。

5.6.1 通过Tor匿名网络回传

若采用该回传方式，样本会自动下载Tor客户端并通过匿名网络进行相关通信，该种方式使得回传服务器更难以被溯源及破坏，提高了隐蔽性和持久性。

图5-11 样本支持通过Tor匿名网络回传

5.6.2 通过电子邮件回传

本样本中使用的回传方式即为电子邮件，回传邮箱为[email protected]。

图5-12 回传窃取的数据

5.6.3 通过FTP回传

将窃取的数据伪装为html文件，使用硬编码的回传地址、用户名及密码上传文件。

图5-13 生成文件名及文件内容

5.6.4 通过HTTP回传

将数据组合为表单并发送至服务器。与旧版本相比，该版本不再根据服务器回复进行回传，而是始终回传所有数据。

图5-14 样本支持通过HTTP回传内容

6. 小结

本次窃密行动中使用的Agent Tesla新型变种在反检测、反调试、反沙箱等部分均进行了升级，使用了多层载荷和多种加密方式，以达到规避检测和干扰分析的目的。

从样本功能的演进来看，该家族窃取的数据内容大幅增加，用户一旦感染，将会泄露大量信息。从安全软件的对抗来看，该家族经过多年的发展，持续进行改进升级，不断尝试采用更加隐蔽的方式执行窃密行为。由此可见，攻击者的技术水平依旧在不断升级，安天CERT将会持续追踪该家族的发展态势。

7. IoCs

参考资料

[1] 警惕AGENTTESLA商业键盘记录器新型变种

https://www.antiy.cn/research/notice&report/research_report/20180507.html

如若转载，请注明原文地址