多层解密,窃取重要信息!AgentTesla商业间谍木马持续活跃

何为AgentTesla?

AgentTesla是一款“老牌”恶意软件即服务“MAAS”恶意程序,在过去的几年间,一直保持着较高的活跃度。其主要通过社工钓鱼邮件传播,“商贸信”和伪装航运公司钓鱼邮件是该木马经常使用的社工钓鱼方式。通过社工钓鱼方式获取初始访问权限后,作为第一阶段的恶意软件,AgentTesla提供对受感染系统的远程访问,然后用于下载更复杂的第二阶段工具,包括勒索软件。

AgentTesla是基于.Net的远程访问木马 (RAT)和数据窃取程序,旨在窃取用户的敏感信息,如登录凭据、银行账户信息、电子邮件等。其具有强大的远程控制功能,可以通过键盘记录、屏幕截图、摄像头监控等方式监视用户行为。该间谍木马具有反调试功能,同时诱饵文件使用了多层解密,大大增加了分析难度。

病毒详情分析

installer分析

首先静态分析样本,使用DIE查看样本信息:

通过样本信息,我们可以看出该样本是基于exe的安装程序,我们将其解压缩后释放出一个随机命名的文件cwlkewfbz.exe,以及后缀为.sra、.aq的配置文件,用于样本后期执行使用。

通过查看.sra和.aq文件,我们发现这两个文件的信息熵较高,推测两者可能是被加密的文件。

cwlkewfbz.exe文件分析

通过查看该文件的信息熵以及PE信息,可知该文件并未被加密或压缩。该文件具有反调试功能。在GetTickCount()的两次调用之间调用Sleep,然后计算两次时钟的差值来检测自身是否正在被动态调试,如发现自身正在被调试,则退出程序。

该文件对pgkayd.aq创建文件映射并将其映射至自身进程(cwlkewfbz.exe)内存空间中,随后便开始循环解密pgkayd.aq内容并执行解密后的文件。

我们将解密后的shellcode dump,并保存为shellcode.bin文件:

Shellcode.bin文件分析

我们在shellcode.bin文件中发现如下字符串引用:

其中,djdqvq.sra是初始样本解压后的文件,作用是解析和执行如下API:

  • LoadLibraryw

  • CreateFilew

  • GetFileSize

  • VirtualA1loc

  • ReadFile

  • Istrcatw

  • GetTempPathw

  • ExitProcess

接下来,我们对该文件进行动态调试分析,发现其使用lstrcatW将C:\Users\用户名\AppData\Local\Temp与djdqvq.sra进行拼接:

随后通过PathAppendW生成路径C:\Users\用户名\AppData\Roaming\eirbw,并与gcluga.exe文件名进行拼接。

判断路径(C:\Users\用户名\AppData\Roaming\eirbw)是否存在:

若路径不存在,则创建该路径:

然后,判断C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe文件对象路径是否有效:

如有效,则创建该文件,并将djdqvq.sra文件载入进程内存空间。

随后开始对djdqvq.sra文件内容进行解密(前文中提到.sra为被加密文件),解密后我们发现其是一个PE文件,将PE文件保存为C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe:

随后通过添加注册表键值实现自启动,添加的键值名为jfoktdi,键值为:

C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe。

gcluqa.exe文件分析

将解密后的PE文件dump为shellcode_sra_unpack.exe,静态文件分析可知该文件未被加密或混淆:

shellcode_sra_unpack.exe资源中又内嵌了一个PE文件:

shellcode_sra_unpack.exe逻辑简单,将资源段中的PE文件加载至内存后执行其代码:

我们将资源中的PE文件dump为0001.exe文件后继续分析。

0001.exe分析

静态文件分析可知0001.exe为.NET程序,通过文件信息熵判断文件经过混淆:

通过动态调试,我们发现该文件的主要功能是窃取信息。其首先会网络请求域名hxxps[:]//api[.]ipify[.]org,获取本机外网IP。

收集系统信息:

通过SMTP协议发送邮件,其中,收件人信息为prince[.]omd@yandex[.]com:

收集击键信息:

收集如下常用软件数据:

●Thunderbird:

●Mozilla:

●QQBrowser:

●SmartFTP:

●Qualcomm:

●RimArts:

●Foxmail:

●Outlook:

亚信安全产品解决方案

●亚信安全传统病毒码版本19.269.60,云病毒码版本19.269.71,全球码版本19.269.00已经可以检测,请用户及时升级病毒码版本:

●亚信安全梦蝶防病毒引擎可检测该类型病毒,可检测的病毒码版本为1.6.0.207:

●亚信安全DDAN沙盒平台可以检测该木马的恶意行为:

安全建议

  • 全面部署安全产品,保持相关组件及时更新;

  • 保持系统以及常见软件更新,对高危漏洞及时修补。

  • 不要点击来源不明的邮件、附件以及邮件中包含的链接;

  • 请到正规网站下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口及网络共享。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/810479.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

前端开发攻略---轻松实现排序功能:利用JavaScript创建直观的拖拽排序体验

拖拽事件主要包括以下几种: dragstart(拖拽开始):当用户开始拖拽一个元素时触发,通常在被拖拽的元素上绑定此事件。在该事件的处理函数中,可以设置被拖拽元素的一些属性或数据。 drag(拖拽移动…

从零开始写 Docker(十)---实现 mydocker logs 查看容器日志

本文为从零开始写 Docker 系列第十篇,实现类似 docker logs 的功能,使得我们能够查查看容器日志。 完整代码见:https://github.com/lixd/mydocker 欢迎 Star 推荐阅读以下文章对 docker 基本实现有一个大致认识: 核心原理&#x…

MySQL一些特殊功能的索引(6/16)

特殊功能性索引 B-Tree索引: InnoDB的默认索引类型,适用于多种查询操作。 可以用于等值查询、范围查询和索引列的组合查询。 创建B-Tree索引的示例: CREATE INDEX index_name ON table_name (column1, column2);全文索引(FULLTEX…

数字图像处理项目——模糊图像边缘检测算法设计及实现(论文/代码)

完整的论文代码见文章末尾 以下为部分内容 摘要 本研究旨在针对大脑核磁图像中的黑色腔体进行有效分割,以提供可靠的腔体定位和分析。为此,采用了三种常用的图像分割方法:8邻域区域生长法、Canny算子边缘检测和8邻域边界跟踪法。 首先&…

智算时代的基础设施如何实现可继承可演进?浪潮云海发布 InCloud OS V8 新一代架构平台

从 2023 年开始持续火爆的 AIGC 正在加速落地应用,为全行业带来生产生活效率的变革与升级。面对数字化转型与智能化转型,对于技术团队来说,既要根据业务与 AI 应用去部署以云为基础的 AI 算力,又要与已有数据和系统(甚…

酒店大厅装水离子雾化壁炉前和装后对比

在酒店大厅装水离子雾化壁炉之前和之后,大厅的氛围和体验会有显著的对比: 装水离子雾化壁炉之前: 传统感:在壁炉安装之前,大厅可能会有传统的装饰或者简单的暖气设备,缺乏现代化的元素。这种传统感可能会…

纯css实现switch开关

代码比较简单&#xff0c;有需要直接在下边粘贴使用吧~ html: <div class"switch-box"><input id"switch" type"checkbox"><label></label></div> css&#xff1a; .switch-box {position: relative;height: 25px…

C-开发 visual Studio扩展插件介绍-格式化插件Xaml Styler、CSharpier介绍(扩展插件安装方法)

C#开发 visual Studio扩展插件介绍 扩展插件安装方法Xaml StylerCSharpier 提高C#开发效率常用的插件 扩展插件安装方法 菜单栏点击“扩展”→“管理扩展”。 打开扩展页面 右上角搜索需要安装的插件&#xff0c;然后点击下载 安装完成后&#xff0c;根据提示关闭VS进行安…

记一次小郭被挖矿后的应急响应

谨以此篇纪念我第n1次被挖矿经历。 时间&#xff1a;2024年3月18日&#xff08;星期一&#xff09; 地点&#xff1a;阿里云服务器 响应&#xff1a;确认–>抑制–>消除–>恢复–>总结 确认阶段&#xff1a; 2024年3月18日星期一早上收到了阿里云的短信和邮件…

html+javascript,用date完成,距离某一天还有多少天

图片展示: html代码 如下: <style>* {margin: 0;padding: 0;}.time-item {width: 500px;height: 45px;margin: 0 auto;}.time-item strong {background: orange;color: #fff;line-height: 100px;font-size: 40px;font-family: Arial;padding: 0 10px;margin-right: 10px…

【hive】远程remote debug hive的方法,用于hive监听器/钩子编写

背景 写hive监听器时候需要拿到hive对象但hive是在集群linux主机上运行的。通过jdbc提交的sql具体执行过程不会再idea中运行。所以如果需要拿到hive对象有可能存在两个思路&#xff1a; &#xff08;1&#xff09;想办法写个钩子或者监听器&#xff0c;将需要的内容写成json字…

最简单的ubuntu安装docker教程

本文参考自docker官方教程&#xff1a;ubuntu上安装docker 一、安装Docker 第一步&#xff1a;添加Docker官方的GPG密钥 直接复制所有代码&#xff0c;作为一行运行即可 sudo apt-get update sudo apt-get install ca-certificates curl sudo install -m 0755 -d /etc/apt/k…

Python学习从0开始——项目一day01爬虫(二)

Python学习从0开始——项目一day01爬虫&#xff08;二&#xff09; 一、解析response数据二、json转换三、文件保存四、存储json对象五、完整代码 上一篇 一、解析response数据 在已经知道我们获取图片的最终URL存在于请求响应response中&#xff0c;下一步的重点就放在解析re…

Redis-底层数据结构

Redis-底层数据结构 redisObject对象机制对象共享引用计数以及对象的消毁 动态字符串SDS链表链表的优缺点: 压缩链表ziplist的缺点 字典-Dictrehash渐进式rehash 整数集-intSet内存分布图整数集合的升级 跳表 - ZSkipList快表-quicklistlistpack redisObject对象机制 typedef s…

DP10RF001一款200MHz~960MHz 低功耗(G)FSK/OOK无线收发芯片应用无线遥控工控设备无线门禁传感器等

产品概述 DP10RF001是一款工作于200MHz~960MHz范围内的低功耗、高性能、单片集成的(G)FSK/OOK无线收发机芯片。内部集成完整的射频接收机、射频发射机、频率综合器、调制解调器&#xff0c;只需配备简单、低成本的外围器件就可以获得良好的收发性能。芯片支持灵活可设的数据包…

Jmeter从数据为查找结果集数据方法随笔

一、Jmeter连接数据库 1.下载对应数据库的驱动包到jmeter安装目录的lib下ext文件中&#xff0c;并导入到jmeter的测试计划中&#xff0c;本实例中使用的是mysql如下所示&#xff1a; 点击测试计划–>点击浏览–>选中mysql驱动jar包–>打开 2.添加线程组&#xff0c;…

毕设(三)——nb-lot与onenet通信

文章目录 一、前言二、nb-lot与onenet的连接2.1 创建产品2.2 创建设备2.3 连接2.4 发送数据 三、onenet的数据可视化 刚刚看了一个关于nb-lot的视频&#xff0c;我看到up是用onenet原生的GUI就能做到数据的显示&#xff0c;十分亮眼 主要是它能把地图也一起显示出来&#xff0c…

2024mathorcup数学建模思路教学

大家好呀&#xff0c;认证杯数学建模开始了&#xff0c;来说一下选题建议以及思路吧&#xff1a; 首先定下主基调&#xff0c; 本次mathorcup数学应用挑战赛推荐大家选择C题&#xff0c;难度方面&#xff1a;A≈B&#xff1e;D&#xff1e;C。 我们预计4.13日晚上前更新完毕…

Stable Diffusion 本地部署教程:详细步骤与常见问题解析

作为一位热衷于探索前沿AI技术的博主&#xff0c;近期我深度研究了Stable Diffusion模型的本地部署过程。在这篇教程中&#xff0c;我将详述从环境准备到模型运行的每个步骤&#xff0c;并针对常见的部署问题给出解决方案&#xff0c;帮助你顺利在本地开启Stable Diffusion的创…

【图像处理】-小议YUV色彩空间-YUV和RGB格式的来由,相互关系以及转换方式,并对编程实现的YUV转为RGB程序进行介绍

小议YUV色彩空间 摘要: 在视频图像处理等相关相关领域&#xff0c;YUV是一个经常出现的格式。本文主要以图解的资料形式详细描述YUV和RGB格式的来由&#xff0c;相互关系以及转换方式&#xff0c;并对编程实现的YUV转为RGB程序进行介绍。 1 引言 自然界的颜色千变万化&#xff…