何为AgentTesla?
AgentTesla是一款“老牌”恶意软件即服务“MAAS”恶意程序,在过去的几年间,一直保持着较高的活跃度。其主要通过社工钓鱼邮件传播,“商贸信”和伪装航运公司钓鱼邮件是该木马经常使用的社工钓鱼方式。通过社工钓鱼方式获取初始访问权限后,作为第一阶段的恶意软件,AgentTesla提供对受感染系统的远程访问,然后用于下载更复杂的第二阶段工具,包括勒索软件。
AgentTesla是基于.Net的远程访问木马 (RAT)和数据窃取程序,旨在窃取用户的敏感信息,如登录凭据、银行账户信息、电子邮件等。其具有强大的远程控制功能,可以通过键盘记录、屏幕截图、摄像头监控等方式监视用户行为。该间谍木马具有反调试功能,同时诱饵文件使用了多层解密,大大增加了分析难度。
病毒详情分析
installer分析
首先静态分析样本,使用DIE查看样本信息:
通过样本信息,我们可以看出该样本是基于exe的安装程序,我们将其解压缩后释放出一个随机命名的文件cwlkewfbz.exe,以及后缀为.sra、.aq的配置文件,用于样本后期执行使用。
通过查看.sra和.aq文件,我们发现这两个文件的信息熵较高,推测两者可能是被加密的文件。
cwlkewfbz.exe文件分析
通过查看该文件的信息熵以及PE信息,可知该文件并未被加密或压缩。该文件具有反调试功能。在GetTickCount()的两次调用之间调用Sleep,然后计算两次时钟的差值来检测自身是否正在被动态调试,如发现自身正在被调试,则退出程序。
该文件对pgkayd.aq创建文件映射并将其映射至自身进程(cwlkewfbz.exe)内存空间中,随后便开始循环解密pgkayd.aq内容并执行解密后的文件。
我们将解密后的shellcode dump,并保存为shellcode.bin文件:
Shellcode.bin文件分析
我们在shellcode.bin文件中发现如下字符串引用:
其中,djdqvq.sra是初始样本解压后的文件,作用是解析和执行如下API:
-
LoadLibraryw
-
CreateFilew
-
GetFileSize
-
VirtualA1loc
-
ReadFile
-
Istrcatw
-
GetTempPathw
-
ExitProcess
接下来,我们对该文件进行动态调试分析,发现其使用lstrcatW将C:\Users\用户名\AppData\Local\Temp与djdqvq.sra进行拼接:
随后通过PathAppendW生成路径C:\Users\用户名\AppData\Roaming\eirbw,并与gcluga.exe文件名进行拼接。
判断路径(C:\Users\用户名\AppData\Roaming\eirbw)是否存在:
若路径不存在,则创建该路径:
然后,判断C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe文件对象路径是否有效:
如有效,则创建该文件,并将djdqvq.sra文件载入进程内存空间。
随后开始对djdqvq.sra文件内容进行解密(前文中提到.sra为被加密文件),解密后我们发现其是一个PE文件,将PE文件保存为C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe:
随后通过添加注册表键值实现自启动,添加的键值名为jfoktdi,键值为:
C:\Users\用户名\AppData\Roaming\eirbw\gcluqa.exe。
gcluqa.exe文件分析
将解密后的PE文件dump为shellcode_sra_unpack.exe,静态文件分析可知该文件未被加密或混淆:
shellcode_sra_unpack.exe资源中又内嵌了一个PE文件:
shellcode_sra_unpack.exe逻辑简单,将资源段中的PE文件加载至内存后执行其代码:
我们将资源中的PE文件dump为0001.exe文件后继续分析。
0001.exe分析
静态文件分析可知0001.exe为.NET程序,通过文件信息熵判断文件经过混淆:
通过动态调试,我们发现该文件的主要功能是窃取信息。其首先会网络请求域名hxxps[:]//api[.]ipify[.]org,获取本机外网IP。
收集系统信息:
通过SMTP协议发送邮件,其中,收件人信息为prince[.]omd@yandex[.]com:
收集击键信息:
收集如下常用软件数据:
●Thunderbird:
●Mozilla:
●QQBrowser:
●SmartFTP:
●Qualcomm:
●RimArts:
●Foxmail:
●Outlook:
亚信安全产品解决方案
●亚信安全传统病毒码版本19.269.60,云病毒码版本19.269.71,全球码版本19.269.00已经可以检测,请用户及时升级病毒码版本:
●亚信安全梦蝶防病毒引擎可检测该类型病毒,可检测的病毒码版本为1.6.0.207:
●亚信安全DDAN沙盒平台可以检测该木马的恶意行为:
安全建议
-
全面部署安全产品,保持相关组件及时更新;
-
保持系统以及常见软件更新,对高危漏洞及时修补。
-
不要点击来源不明的邮件、附件以及邮件中包含的链接;
-
请到正规网站下载程序;
-
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
-
尽量关闭不必要的端口及网络共享。
