当心特斯拉特工!使用AgentTesla窃取隐私信息案例分析

近日,腾讯反病毒实验室哈勃系统检测到某网站上存在大量恶意木马文件。进一步跟踪发现,有攻击者通过大量传播钓鱼邮件的方式,在受害者电脑上植入带隐私窃取功能的后门木马,进而获取受害者大量的敏感数据。本文将对此次攻击事件进行分析。

背景

近日,腾讯反病毒实验室哈勃系统检测到某网站上存在大量恶意木马文件。进一步跟踪发现,有攻击者通过大量传播钓鱼邮件的方式,在受害者电脑上植入带隐私窃取功能的后门木马,进而获取受害者大量的敏感数据。本文将对此次攻击事件进行分析。

 

技术分析

l  Xls分析

钓鱼邮件的附件为一个空白内容的EXCEL文档,文档中没有任何可见字符。

image001.png

文档中嵌入了恶意宏代码,当用户启用之后会开始运行。宏实现的功能是调用powershell从https://www[.]b-f-v[.]info/5.exe下载恶意程序保存到本地临时目录下的vhost.exe文件,然后加载执行。宏的具体功能实现为:

读取xls文件内容,查找分隔字符串:

“tfCkVmULfzFvKCTyafClYjPYMmMqvpdYjyAiqqBXudJrgvAPhVswCCXkqEyIAEpPvGllcLhKDFQVAxSqMXizXHwHApRMSTxQNTVzkoMwOITXLcKSLhWCvQSOkDLMTuSKhZiGCtgxkLLpOyWyFYbKWUvXahpHDZCtPiPLUdqraysJeDZLHmhVthNmElGuezT”

将匹配出来的字符内容与字符串”jszFIkEBIJJyCL”进行异或,解密得到要执行的powershell命令。最后调用shell方法执行解密出的powershell命令。

调用powershell下载5.exe的截图如下。

image003.png

该xls在第一次运行时,如果恶意宏代码得到执行后会下载5.exe到本地执行,在此后打开该xls文件时,宏代码会运行出错,此时并不能正常下载5.exe。弹出的出错对话框如下

image005.png

之所以出现这种情况,是由于excel在关闭的时候将原始文件尾部的附加数据进行了截断,导致多次运行该恶意文档时,只有第一次能触发下载行为。

被excel截断的文件尾部的数据内容为:

image007.png

l  EXE分析

被xls文件里的宏下载并执行的5.exe,是使用C#语言编译而成的木马。经分析发现,该木马采用商业化的木马生成工具Agent Tesla生成。关于此工具的介绍参见后文,这里先对其进行技术分析。

木马对操作系统的语言环境要求相当苛刻,这不太可能是Agent Tesla键盘记录木马的本意,看起来更像是在木马的服务端的混淆模块的代码bug导致。具体问题在于使用C#语言的GetBytes函数获得内置的一串看似日文语言的文本的首字节,然后使用此字节进行解码操作,在语言版本不符合的情况下,解码失败进而退出程序。之所以认为这是软件bug导致而不是一种针对操作系统语言检测的高级手段,主要是基于Agent Tesla键盘木马的商业模式,它为了获的更广泛的客户不会采用这种限定操作系统语言环境的策略方式。这种语言检测方法与勒索软件中常使用的使用API的检测方法有很大区别,但也有必要防范其以后被用在高级APT攻击中的目标筛查阶段中。

在函数とに()中,根据不同的操作系统版本会返回不同的字节内容。

image009.png

程序入口处如下所示,在代码中使用了混淆手段,可以看到很多函数名被混淆成日文格式。

image011.png

代码中加入了大量的无关操作的花指令:

image013.png

通过分析发现,5.exe的功能是一个loader:它将硬编码的代码进行zlib解压缩后,使用自字义的字符解密算法解密出下一阶段的dll文件后,直接内存加载执行。

自字义的字符解密算法为:将加密内容的最后一个byte做为解密key,将加密内容其他部分的内容的每个字符异或上解密key后再次异或0x3F(这个0X3F就为上面日文字符的首字符),最后将这部分解密内容反转后就得到明文字符。

如:对密文十六进制“39 2C 25 0872 31 39 28 2F 25 0F 63”的解密,使用0×63做为解密key,将其余部分“39 2C 25 08 7231 39 28 2F 25 0F”异或0x5c(0x5C由0X63异或0X3F得到),得到”65 70 79 54 2E 6D65 74 73 79 53”(对应的字符串为“epyT.metsyS”),最后倒序排列就得到明文字符(“System.Type”)

算法对应的代码片段:

image015.png

通过上面的分析,可以将解密出来的dll保存出来。

l  Dll分析

该dll的主要功能是从母体的中获得图片资源,从图片中解密出数据,利用上节的自定义的异或算法处理数据后进行zlib压缩处理后得到Agent Tesla家族的exe文件,并在内存中加载执行。

恶意数据存放在资源中的71.png图片里:

image017.png

71.png图片显示的内容

image019.png

解密图片中数据的代码为:遍历图片中的每个像素点,对每个像素点的RGB数据依次排列:

image021.png

从图片中获得了原始数据后,对这些数据依次进行使用自定义的异或算法解码,使用zlib解压缩操作后,就得到最终的Agent Tesla键盘记录样本。

l  Agent Tesla恶意模块分析

样本同样使用C#编写,样本中的字符串经过加密。此模块具有窃取用户键盘记录、登录信息等功能,还可以定时将窃取信息上传到FTP服务器。关于Agent Tesla的更多功能介绍,可以参考后文。

解密字符串时,使用了AES算法,算法使用的iv与key参数为固定值。解密字符串的代码如下:

image023.png

通过上面的解密字符串的算法分析,可以将恶意程序中的加密字符串替换成明文内容。

由解密出的字符串可以看到样本使用的上传方式为FTP上传,上传CC地址为:ftp://ftp[.]b-f-v[.]info/。

image025.png

向CC发送键盘记录信息的代码片段:

image027.png

键盘记录代码片段:

image029.png

 

木马生成工具

l  工具简介

攻击者生成木马时使用的自动化工具名为AgentTesla,是一个功能比较完整的恶意工具,工具作者已经开始通过出售工具帐号牟利。根据工具官网上的介绍,工具在2016年11月27日发布了2.9.5.5版,而最新的版本则是2017年9月11日发布的3.1.1.0版,期间共有19个更新版本发布。根据工具界面上的显示以及对官网域名的查询,此工具最早的发布时间甚至可以追溯到2014年。要使用此工具,需要在官网注册会员并支付12美元到35美元不等的费用,支持比特币等方式进行支付。

image031.png

使用Agent Tesla工具生成的木马之前也曾经出现在安全公司的视野之中,早在半年之前,就有安全报告提醒用户注意此类木马变种,包括Cysinfo、Fortinet等在内的安全公司都对该工具进行过分析。

综合其它安全公司的分析报告,以及工具官网的介绍,可以了解到此工具具有如下特点:

l  使用.NET作为开发语言

.NET语言开发的程序中包含经过编译的字节码,在.NET环境中进行解释和执行,这就给样本的调试和分析带来了一定的困难。同时,.NET库中拥有丰富的工具类,在迅速搭建可用的程序方面具有一定的优势。

l  支持多类信息窃取行为

工具可以自定义生成的木马窃取的信息,包括键盘记录,截屏,剪贴板记录,以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。

image033.png

同时,工具还可以从电脑上提取还原多种登录信息缓存,包括浏览器中保存的网站帐号密码,邮件客户端中保存的密码,FTP工具、下载器中保存的密码等。

image035.png

l  支持多种回传方式

工具可以自定义木马将窃取到的信息回传给木马传播者的方式,包括网络接口方式、邮件方式以及FTP方式。

image037.png

在FTP方式下,工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。此次事件的攻击者采用的就是这种方式。

在邮件方式下,工具使用者可以指定邮箱服务器地址、用户名和密码。

如果使用者采用网络接口方式,则需要从工具官网下载一套完整的管理页面,并部署在自己的网站上。然后,使用者可以在工具中指定对应的网址作为C&C服务器,生成的木马运行后会连接该服务器并接收相应的指令。

image039.jpg

经分析,木马与服务器之间传递的指令包括:

uninstall 询问是否要销毁木马
update 对木马进行升级
info 发送受控电脑系统信息
webcam 发送受控电脑摄像头图像
screenshots 发送受控电脑屏幕截图
keylog 发送受控电脑键盘记录和剪贴板记录
passwords 发送受控电脑中的登录信息缓存

(根据Fortinet文章整理)

l  支持生成木马下载器

工具可以帮助使用者生成一个doc或xls文档,即是上文分析的钓鱼邮件附件。打开这个文档之后,其中的宏将会从使用者指定的网址下载并运行一个可执行文件,通常这个网址存放的是使用前面的方式生成的木马。使用者还可以在文档中添加一个图片文件,以增强迷惑性。

image041.png

 

事件回放

image043.png

根据腾讯反病毒实验室哈勃系统的跟进分析,可以猜测并还原出此次攻击行为的时间顺序如下:

l  攻击者注册b-f-v.info域名

根据域名注册信息可见,注册时间为2017年8月10日,邮箱为pauljoneszni@gmail.com

image045.png

l  攻击者开通网站

攻击者在qhoster上开通网站空间并搭建好http和ftp服务器,然后将b-f-v.info域名解析指向该网站,设置时间为8月14日左右。

image047.png

image049.png

l  攻击者购买工具

攻击者从AgentTesla网站上购买并下载木马生成工具。

image051.png

l  攻击者测试木马

攻击者首先生成一个测试木马,木马信息回传地址为ftp上的mykeylog目录,然后在攻击者的电脑上进行测试,测试时间为9月19~20日左右。

测试期间,攻击者继续使用工具生成正式使用的多个木马,将隐私窃取程序放在b-f-v.info网站的根目录下,信息回传地址设置为ftp上的keylog目录,然后生成下载这些木马所用的钓鱼xls文件。

以上生成正式木马的行为,被测试木马忠实地记录并上传到了测试ftp目录。

image053.png

image055.png

l  攻击者传播木马

攻击者使用billyboy0110@yahoo.com这个邮箱,向大量目标邮箱发送钓鱼邮件。根据哈勃系统的监测,目标邮箱地址大多是收集的网上公开的销售等邮箱,并且攻击者喜欢挑选那些化工类公司的邮箱地址进行定向攻击。邮箱地址对应的公司中不乏中国公司。

攻击者在编写钓鱼邮件时也花了一定的心思,不同于其它仅简单写着发票(invoice)的钓鱼邮件,此次的钓鱼邮件篇幅要更大,并且虚构了看似可信的故事。以其中一类邮件为例,钓鱼邮件中虚构了一次可能的交易,对交易细节进行了详细的谈判,要求收件人打开附件确认细节,以便发件人付款。同时,邮件中还诱导收件人关闭excel的安全防护功能,以便钓鱼xls文件能够发挥作用,从b-f-v.info网站上下载对应的木马。

l  受害者信息被窃取

安全意识不强的收件人一旦打开钓鱼邮件中的xls附件并关闭了安全防护,就变成了木马的受害者,键盘信息、密码信息和屏幕截图就会不断地回传到b-f-v.info上架设的ftp服务器。

受害者的信息回传时间最早为9月21日,正好紧接着测试木马的结束时间。已知的受害者包括南非、印度、巴基斯坦等国家,以及台湾地区的一家公司。

image057.png

 

此外我们还确认到,该攻击者除了使用yahoo邮箱发送回传ftp的木马之外,还生成了使用邮件回传信息的木马,并且通过gmail邮箱进行攻击。因此,b-f-v.info网站被封锁并不意味着一切风平浪静,攻击者随时可能发动下一轮攻击。

 

安全提示

腾讯反病毒实验室哈勃系统提醒广大用户:

一、警惕来历不明的邮件,不随意打开邮件中的附件。对于任何邮件内容或者附件宣称要求关闭保护措施的说法,都不要理会并坚决关闭邮件。

二、由于近期出现了多起利用漏洞、无需用户操作即可下载木马的攻击案例,请广大用户及时安装最新的安全补丁,并且使用安全类软件实时防护电脑安全。

三、请公司运维人员查询近几天的网络访问记录,如果发现与b-f-v.info等域名匹配的记录,请提高警惕并迅速排查受影响的人员,提醒对方查杀木马并修改密码。

目前,腾讯电脑管家和哈勃分析系统(https://habo.qq.com/)已经能够识别此类木马。

image059.png

image061.png

 

参考资料

https://researchcenter.paloaltonetworks.com/2017/09/unit42-analyzing-various-layers-agentteslas-packing/

http://blog.fortinet.com/2017/06/28/in-depth-analysis-of-net-malware-javaupdtr

https://cysinfo.com/agent-tesla-new-spyware-variant-plucked-hackers-arena/

发表评论

已有 2 条评论

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php