【恶意文件】AgentTesla 贼心不死,换壳之后卷土重来

2023-03-09 12,268

恶意家族名称:

AgentTesla

威胁类型:

间谍软件

简单描述:

2023 年 2 月 13 日,深信服 XDR 捕获新型间谍软件。


恶意文件分析

恶意事件描述

2023 年 2 月13 日,深信服 XDR 捕获新型间谍软件,此次事件中的恶意程序通过钓鱼邮件传播,当受害者解压邮件附件并执行其中的恶意程序之后,该程序会通过 PowerShell 添加 Defender 扫描白名单并创建计划任务,之后执行窃密操作。

恶意事件分析


通过进程执行链可以发现该样本是通过钓鱼邮件投递,受害者解压之后执行。




该样本是一个 .NET 编写的窃密程序,通过对资源节区的数据进行解密还原出恶意模块,然后使用反射加载的方式执行该模块。



调试发现该恶意模块名为 B4000。入口函数为Melvin.White。跟进函数,首先使用Sleep 休眠了 44s,在对一段硬编码的数据进行base64解码后再解压缩,还原出一个 PE 文件。



同样使用反射加载的方式加载还原出来的 PE,名为 Cruiser,在通过加载模块中的函数从图像中提取出另外一个模块 HIVacSim,同样使用反射加载。找到模块入口函数如下:



进入模块之后会执行一系列恶意操作。


释放文件


从资源节区中释放文件至 C:UsersUserNAmeAppDataRoamingNgsWWESFAPv.exe

,释放的文件与当前文件一致。


创建计划任务


通过schtasks.exe从XML文件中创建计划任务,二进制文件指向C:UsersUserNameAppDataingRomaingNgsWWSFAPv.exe。



添加Defender白名单


通过 Powershell 添加 Defender 白名单。



创建傀儡进程



创建傀儡进程步骤大致如下:


1. 通过 GetThreadContext 获取线程内容

2. 使用 ReadProcessMemory 读取进程内容

3. 使用 VirtualAllocEx 在傀儡进程中分配空间

4. 使用 WriteProcessMemory 往分配的内存中写入数据,

5. 使用 SetThreadContext 设置执行入口。

6. 使用 ResumeThread 恢复傀儡进程的主线程。


在 SetThreadContext 处下一个断点,找到傀儡进程入口点:



在写完数据并激活傀儡进程之后当前进程就会结束,导出写完数据的傀儡进程继续调试。



信息主机收集


通过 Win32_BaseBoard 获取主板信息,之后获取主机和用户名信息等。



获取公网 IP



收集软件信息


收集多种浏览器信息。



在多个 try catch 中收集特定安装程序的数据:



包括 discord、Claws mail、eM Client、FileZilla、Foxmail、FTP Navigator、WinSCP、RealVNC、MySQL 等程序、以及系统凭证等信息。


发送数据


将收集到的数据进行处理之后通过邮件发送到特定邮箱。


解决方案

处置建议

1. 删除计划任务

2. 取消 Defender 白名单

3. 终结该进程及其子进程并删除对应文件。


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/197248.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号