AgentTesla 是一個(gè)基于 .NET 的信息竊密惡意軟件�����,能夠從失陷主機(jī)的不同應(yīng)用程序(瀏覽器�、FTP 客戶端和下載工具等)中竊取數(shù)據(jù)�����。該惡意軟件的維護(hù)者不斷添加新的模塊為 AgentTesla 升級(jí)維護(hù),最新添加的模塊是為了竊取 WiFi 配置文件��。
2014 年 AgentTesla 首次出現(xiàn)后就別網(wǎng)絡(luò)犯罪分子在各種惡意活動(dòng)中廣為使用��。在 2020 年 3 月到 4 月期間���,AgentTesla 通過(guò)多種格式的垃圾郵件附件(如 ZIP、CAB����、MSI、IMG 和 Office 文件等)進(jìn)行惡意軟件的分發(fā)����。
我們?cè)谝翱吹降?AgentTesla 新變種能夠收集受害者 WiFi 配置文件信息,有可能想利用這種渠道傳播到其他設(shè)備上����。本文將分析這個(gè)新功能的工作原理。
技術(shù)分析
我們分析的新變種是使用 .NET 編寫(xiě)的�����,這是一個(gè)嵌入圖片資源的可執(zhí)行文件�����,可以在運(yùn)行時(shí)提取。
該可執(zhí)行文件(ReZer0V2)也帶有加密的資源���。在執(zhí)行了多次反調(diào)試��、反沙盒���、反虛擬化檢查之后,可執(zhí)行文件將資源的內(nèi)容解密并將其注入自身�����。
第二個(gè) Payload(owEKjMRYkIfjPazjphIDdRoPePVNoulgd)是 AgentTesla 的主要組件�,可從瀏覽器、FTP 客戶端���、WiFi 配置文件等位置竊取憑據(jù)信息�����。樣本經(jīng)過(guò)了高度混淆化���,這使得研究人員更加難以進(jìn)行分析。
要收集 WiFi 配置文件中的憑據(jù)信息,如下所示���,將 wlan show profile 作為參數(shù)新創(chuàng)建進(jìn)程 netsh��。然后�����,通過(guò)在該進(jìn)程的輸出上使用正則表達(dá)式 All User Profile * : (?<profile>.*) 進(jìn)行匹配提取可用的 WiFi 名稱。
在每個(gè) WiFi 配置中都執(zhí)行以下命令提取配置文件的憑據(jù) netsh wlan show profile PRPFILENAME key=clear����。
加密字符串
AgentTesla 使用的所有字符串都經(jīng)過(guò)加密,并且在 <Module>.\u200E 函數(shù)中使用 Rijndael 對(duì)稱加密算法進(jìn)行解密�。該函數(shù)接受一個(gè)數(shù)字作為輸入,生成三個(gè)字節(jié)數(shù)組���,分別是要解密的密文���、密鑰和 IV。
如前所示���,119216 被解密為 wlan show profile name=����,119196 被解密為 key=clear。
除了 WiFi 配置文件��,AgentTesla 還收集大量系統(tǒng)信息�����,包括 FTP 客戶端���、瀏覽器���、文件下載和機(jī)器信息(用戶名、計(jì)算機(jī)名�、操作系統(tǒng)名、CPU 體系結(jié)構(gòu)����、內(nèi)存信息),并將這些信息添加到列表中����。
收集的信息以 HTML 格式的 SMTP 郵件正文形式傳送:
如果最終列表中少于三個(gè)元素,則不會(huì)產(chǎn)生 SMTP 消息����。如果一切正常���,最后將通過(guò) smtp.yandex.com 發(fā)送一條啟用 SSL 的消息:
下圖總結(jié)了以上的整個(gè)過(guò)程,從圖像資源中提取第一個(gè) Payload 到通過(guò) SMTP 傳遞竊密信息����。
擴(kuò)大感染
AgentTesla 新增了 WiFi 竊密功能,我們認(rèn)為攻擊者可能在考慮使用 WiFi 作為新的傳播渠道�����,類似 Emotet 的做法���。也可能是想保留 WiFi 信息為將來(lái)的工作做好準(zhǔn)備。
IOC
91b711812867b39537a2cd81bb1ab10315ac321
a1c68e316bf4fa84badbc09bdd4a43b0b8a68db6
5b00fad99519539e2a05a3892f03b869d58ee15f
df5aa04427939b70928b285655c863fa26efded9
6bface9db46f35ba39d2a1295424c07b249a5032
63717051d62a6d65a5040cf408517dd22f9021e5
f8978a819b18063b63393b114ebe2e18d888d98
2c5ee11563a193d9da3083d84a611384bc748b1
b0
來(lái)源:MalwareBytes
在線咨詢
在線咨詢
0371-63319761