具体ATT&CK技术行为描述表:
表2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 |
具体行为 |
注释 |
侦察 |
搜索受害者自有网站 |
从官网获取受害者联系信息 |
资源开发 |
获取基础设施 |
注册回传邮件服务器 |
初始访问 |
网络钓鱼 |
通过钓鱼邮件传播 |
执行 |
诱导用户执行 |
诱导用户执行邮件附件中的恶意程序 |
持久化 |
利用自动启动执行引导或登录 |
设置注册表自启动项 |
利用计划任务/工作 |
设置计划任务自启动项 |
|
防御规避
|
反混淆/解码文件或信息 |
解码多层负载信息 |
隐藏行为 |
隐藏自身到其他目录 |
|
混淆文件或信息 |
混淆各层负载信息 |
|
进程注入 |
创建并注入自身进程 |
|
凭证访问
|
从存储密码的位置获取凭证 |
读取浏览器等应用软件凭证 |
操作系统凭证转储 |
读取Windows凭证数据 |
|
不安全的凭证 |
读取不安全的应用软件凭证 |
|
发现
|
发现账户 |
获取系统账户信息 |
发现进程 |
获取系统进程列表 |
|
发现系统信息 |
获取系统基础信息 |
|
发现系统网络配置 |
获取系统网络信息 |
|
发现系统所有者/用户 |
获取系统用户信息 |
|
发现系统时间 |
获取系统时间 |
|
收集
|
压缩/加密收集的数据 |
对收集的数据进行加密 |
自动收集 |
自动收集受害者数据 |
|
收集剪贴板数据 |
收集剪贴板数据 |
|
输入捕获 |
捕获受害者键盘输入 |
|
获取屏幕截图 |
定时获取受害者屏幕截图 |
|
数据渗出
|
自动渗出数据 |
自动发送收集的数据 |
使用Web服务回传 |
使用电子邮件回传 |
针对该窃密木马安天建议企业采取如下防护措施:
3.1 企业防护
(1)安装终端防护:安装反病毒软件;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。
(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。
攻击者投放钓鱼邮件,诱导受害者解压并执行邮件附件中的窃密木马。窃密木马执行后,修改注册表以实现自启动,而后窃取浏览器、电子邮件等数据并使用邮箱acc*****@buynsell.com.pk将窃取到的信息回传到攻击者的邮箱。
病毒名称 |
Trojan[Spy]/Win32.AgentTesla |
原始文件名 |
DTT.exe |
MD5 |
BAFA9BD077**51F845E0ECCA1010607D |
处理器架构 |
Intel 386 or later, and compatibles |
文件大小 |
1.04 MB (1,095,680字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
时间戳 |
2021-07-15 13:19:22 |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
.NET |
VT首次上传时间 |
2021-07-15 15:43:49 |
VT检测结果 |
53/70 |
样本使用多层载荷的方式隐藏恶意代码,避免杀软检测。
第一层载荷将实际恶意代码伪装在大量的正常代码中,并使用了较为复杂的混淆手段。在模块的构造函数中加载程序集XLPgWysCbZyAgPcWJNCUrkSOFDBEA,该程序集中包含多个图片资源,用于后续解密。
使用字符串拼接、Hex转字节流来初步解码下一层载荷。
使用Base64解码,得到第二层载荷,该载荷为包含一个.net程序集的PE文件。解码过程中,使用大量函数进行嵌套调用。
使用LateGet获取第二层载荷中的IExpando.Plug类,并使用参数("4C6F6E675061","4572526B77586D6E70","GameDots")创建实例。
样本利用隐写术将后续的载荷隐藏在图片资源GameDots.Resources.resources.LongPa中。
将该图片像素点数据转换拼接为字节流,颜色通道顺序为BGRA。对字节流进行异或解密,获得第三层载荷。
使用Invoke函数调用第三层载荷的函数Eg.L7.BJx。
第三层载荷执行后,解析配置信息。
配置信息以“||”为间隔,每项为一个功能配置,除有额外说明或为空的配置位外,置1表示启用该功能,置0表示禁用该功能,具体功能的配置说明如下:
顺序 |
内容 |
说明 |
0 |
0 |
创建新进程,注入下一层载荷并执行: 0:自身,1:MSBuild.exe,2:vbc.exe, 3:RegSvcs.exe,4:不注入, 用Assembly.Load加载,Invoke执行 |
1 |
1 |
设置持久化 |
2 |
0 |
未使用 |
3 |
0 |
|
4 |
0 |
下载并执行其他程序 |
5 |
空 |
下载链接 |
6 |
空 |
下载到临时目录的文件名 |
7 |
0 |
检测虚拟机 |
8 |
0 |
检测沙箱 |
9 |
0 |
添加Windows Defender白名单 |
10 |
0 |
未使用 |
11~16 |
空 |
|
17~24 |
0 |
|
25 |
v4 |
推测为版本号v4.2.8388 |
26 |
2 |
|
27 |
8388 |
|
28 |
0 |
创建互斥量 |
29 |
0 |
显示对话框 |
30 |
空 |
对话框标题 |
31 |
空 |
对话框内容 |
32 |
0 |
对话框按钮样式 |
33 |
0 |
对话框图标样式 |
34 |
0 |
运行前Sleep |
35 |
空 |
Sleep时间,单位秒 |
36 |
3 |
未使用 |
37 |
空 |
根据配置信息,创建自身挂起进程,注入第四层载荷并执行。
第四层载荷首先检查并关闭自身重复进程,复制自身到%Appdata%NewAppNewApp.exe,并通过注册表设置自启动。
在窃取数据的环节,受影响的对象包括浏览器凭据、电子邮件、FTP、远程连接工具、即时通讯软件、VPN账号及部分服务器运维工具。与旧版本相比,窃取的数据范围大幅增加,对应的数据内容如下表所示:
5.6 样本支持的回传方式
与旧版本相比,该版本支持的回传方式除电子邮件、FTP、HTTP外,还添加了对Tor匿名网络回传的支持。攻击者可以选择其中一种方式,并将相关参数硬编码到样本中实现回传。
若采用该回传方式,样本会自动下载Tor客户端并通过匿名网络进行相关通信,该种方式使得回传服务器更难以被溯源及破坏,提高了隐蔽性和持久性。
本样本中使用的回传方式即为电子邮件,回传邮箱为angel@rollmed-cn.com。
将数据组合为表单并发送至服务器。与旧版本相比,该版本不再根据服务器回复进行回传,而是始终回传所有数据。
本次窃密行动中使用的Agent Tesla新型变种在反检测、反调试、反沙箱等部分均进行了升级,使用了多层载荷和多种加密方式,以达到规避检测和干扰分析的目的。
从样本功能的演进来看,该家族窃取的数据内容大幅增加,用户一旦感染,将会泄露大量信息。从安全软件的对抗来看,该家族经过多年的发展,持续进行改进升级,不断尝试采用更加隐蔽的方式执行窃密行为。由此可见,攻击者的技术水平依旧在不断升级,安天CERT将会持续追踪该家族的发展态势。
MD5: |
BAFA9BD077**51F845E0ECCA1010607D |
E-Mail: |
angel@rollmed-cn.com |
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/164691.html