前言
参考1
参考2
OriginLogger是一个开源的日志记录器,用于在应用程序中记录和管理日志信息。它提供了一种简单而灵活的方式来记录各种级别的日志,包括调试信息、警告和错误消息等。
AgentTesla病毒主要通过钓鱼邮件进行传播,钓鱼邮件内容多会伪装成装运建议、财务报表或预付款通知单等,邮件附件中包含AgentTesla病毒。当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。
感染链:
接收邮件->下载iso附件里->使用iso里的exe文件(这里的exe文件应该就是AgentTesla病毒)->??->AgentTesla病毒将所获取的信息上传到c2服务器
bin文件我不知道是搞毛的,感觉exe文件后面一步 应该是跟bin文件有关系,就打了??两个问号
看了wp知道,exe加载编码后的二进制文件,接着二进制文件解码,用于生成代理telsa流量
wp:
- email --> attached .iso file --> contains .exe file --> .exe loads encoded binary --> binary decoded & used to generate Agent Telsa-style traffic
来自malspam的邮件信息:
显示了一个付款账单,一个iso附件
wp:
- Received: from multisped.com.mk (multisped.com.mk [185.250.254.32]); Thu, 5 Jan 2023 04:18:36 +0000 (UTC)
- From: JPMorgan Chase Bank N.A goran.apostolov@multisped.com.mk
- Subject: BANK PAYMENT NOTIFICATION
- Attachment name: Payment Copy_Chase Bank_Pdf.iso
相关文件:
一个iso文件,一个exe文件,两个二进制编码文件,我这里用virustotal网站去查看
- SHA256哈希值:926a3142270a52f8afb93490d5dd21f0ca23bc0815ee6630068cf6409d8ee448
—文件大小:1245184字节
—文件名称:Payment Copy_Chase Bank_Pdf.iso
-文件类型:UDF文件系统数据(版本1.5)“PAYMENT_COPY_CHASE_BANK_PDF”
—文件描述:该文件在Windows和Mac主机上以磁盘镜像挂载
— SHA256哈希值:5016ba92afac1c2b2a2a6b17a09406869bd6f58cfe680f25030af1a1ba1c29a2
—文件大小:26112字节
—文件名称:Payment Copy_Chase Bank_Pdf.exe
—文件类型:PE32可执行文件(GUI) Intel 80386 Mono/。Net汇编,适用于MS Windows
—文件说明:从上述iso文件中检索到的Windows EXE
—SHA256哈希值:90d977ca0a3331d78005912d2b191d26e33fa2c6ef17602d6173164ba83fd85e
—文件大小:664,576字节
—文件存放位置:http://savory.com.bd/sav/Ztvfo.png
—文件类型:data
—文件描述:恶意二进制xor编码,ASCII字符串为:Sfhdjkpkowgnpcgoshb
- SHA256哈希值:3883d374ba0736254a89e310b86f3c3769adcaed471b103b5c0a8a2f16cf5c8d
—文件大小:664,576字节
—文件类型:PE32可执行文件(DLL)(控制台)Intel 80386 Mono/.Net汇编,适用于MS Windows
—文件描述:上述二进制文件解码后的恶意DLL文件
感染流量:
先查看域名,这些域名,只有三个可以搜出
1
2
3
wp:
- 45.56.99.101 port 80 - savory.com.bd - GET /sav/Ztvfo.png
- port 443 - api.ipify.org - HTTPS traffic, IP address by the infected Windows host, not inherently malicious
- 204.11.58.28 port 587 - mail.transgear.in - unencrypted SMTP traffic generated by Agent Tesla variant
