【恶意文件】AgentTesla 贼心不死,换壳之后卷土重来

恶意家族名称:

AgentTesla

威胁类型:

间谍软件

简单描述:

2023 年 2 月 13 日,深信服 XDR 捕获新型间谍软件。

恶意文件分析

恶意事件描述

2023 年 2 月13 日,深信服 XDR 捕获新型间谍软件,此次事件中的恶意程序通过钓鱼邮件传播,当受害者解压邮件附件并执行其中的恶意程序之后,该程序会通过 PowerShell 添加 Defender 扫描白名单并创建计划任务,之后执行窃密操作。

恶意事件分析

通过进程执行链可以发现该样本是通过钓鱼邮件投递,受害者解压之后执行。

图片[1]-【恶意文件】AgentTesla 贼心不死,换壳之后卷土重来-NGC660 安全实验室

该样本是一个 .NET 编写的窃密程序,通过对资源节区的数据进行解密还原出恶意模块,然后使用反射加载的方式执行该模块。

调试发现该恶意模块名为 B4000。入口函数为Melvin.White。跟进函数,首先使用Sleep 休眠了 44s,在对一段硬编码的数据进行base64解码后再解压缩,还原出一个 PE 文件。

同样使用反射加载的方式加载还原出来的 PE,名为 Cruiser,在通过加载模块中的函数从图像中提取出另外一个模块 HIVacSim,同样使用反射加载。找到模块入口函数如下:

进入模块之后会执行一系列恶意操作。

释放文件

从资源节区中释放文件至 C:UsersUserNAmeAppDataRoamingNgsWWESFAPv.exe

,释放的文件与当前文件一致。

创建计划任务

通过schtasks.exe从XML文件中创建计划任务,二进制文件指向C:UsersUserNameAppDataingRomaingNgsWWSFAPv.exe。

添加Defender白名单

通过 Powershell 添加 Defender 白名单。

创建傀儡进程

创建傀儡进程步骤大致如下:

1. 通过 GetThreadContext 获取线程内容

2. 使用 ReadProcessMemory 读取进程内容

3. 使用 VirtualAllocEx 在傀儡进程中分配空间

4. 使用 WriteProcessMemory 往分配的内存中写入数据,

5. 使用 SetThreadContext 设置执行入口。

6. 使用 ResumeThread 恢复傀儡进程的主线程。

在 SetThreadContext 处下一个断点,找到傀儡进程入口点:

在写完数据并激活傀儡进程之后当前进程就会结束,导出写完数据的傀儡进程继续调试。

信息主机收集

通过 Win32_BaseBoard 获取主板信息,之后获取主机和用户名信息等。

获取公网 IP

收集软件信息

收集多种浏览器信息。

在多个 try catch 中收集特定安装程序的数据:

包括 discord、Claws mail、eM Client、FileZilla、Foxmail、FTP Navigator、WinSCP、RealVNC、MySQL 等程序、以及系统凭证等信息。

发送数据

将收集到的数据进行处理之后通过邮件发送到特定邮箱。

解决方案

处置建议

1. 删除计划任务

2. 取消 Defender 白名单

3. 终结该进程及其子进程并删除对应文件。

本文作者:Further_eye

本文为安全脉搏专栏作者发布:https://www.secpulse.com/archives/197248.html

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享