申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

申博_新闻事件 申博 58次浏览 已收录 0个评论

申博官方网

申博官方网,菲律宾申博娱乐唯一可靠的官方网站,各种联机电子游戏、桌面游戏欢迎加入,申博移动客户端欢迎下载。申博开户请点击右上方一步注册,就能加入我们,支持多种充值途径,现在充值还有好礼相赠!小投资大收益,玩游戏就能轻松拿奖品,您无需等待,一秒入账,欢迎来玩!

,

提要

2019年1月最先,思科Talos最先跟踪一系列特务软件的分发运动,进击者所用到的歹意软件平常是耳熟能详的Agent Tesla、Loki-bot等,经由过程定制dropper将终究歹意软件注入到大众历程中,一旦感染胜利,便能从多类浏览器或邮件客户端中盗取用户信息。

这些注入手艺并不新颖,早就存在多年了,但随着进击者在感染链上的革新,传统的反病毒体系也很难检测到嵌入的歹意软件。在本文中,我们将引见个中一同行为,进击者是怎样应用dropper在差别阶段隐蔽歹意软件的。

任何互联网用户都有可以成为这类歹意软件的目的,假如遭到感染,本身的隐私就有可以完整暴露在进击者眼前。

手艺概述

此次运动以典范的垂纶邮件的体式格局展开:

邮件附件是一个ARJ文件。ARJ是20世纪90年代初期的一种存档花样,常常用于盗版软件中,它可以将存档文件分割成多个较小的文件,使得文件更轻易经由过程拨号衔接同享。应用这类老旧的存档花样有可以绕过柔弱的电子邮件平安网关。

在本例中,此ARJ存档没有拆分红多个文件,而是仅包括一个名为“ IMP_Arrival Noticedoc.exe”的可实行文件。

Dropper

可实行文件是经由编译的AutoIt剧本,由UPX加壳,在编译之前有做殽杂处置惩罚。图2显现了剧本的反编译效果。

图3和图4显现了AutoIt剧本的去殽杂版本,它在一最先就带有一些反虚拟机(VM)搜检。这类搜检是异常相符AgentTesla特征的,常常可以在AgentTesla分发运动第一阶段dropper中看到这类搜检。

假如没有搜检到什么,那末它将对移交给DecodeDataFromPEResourceOrString函数的第一个参数($data)中的字符串举行资本字体范例(8)的解码和提取(图7)。在GetResourcesFromPE函数(图6)中,该参数被转换为一个字符串,并划分为差别的字体资本称号,效果是一个字符串列表,递次以下:

1.SystemPropertiesDataExecutionPreventionM

2.Windows.Media.BackgroundPlaybackK

3.windeployL

4.LaunchWinAppX

5.ccaF

6.CellularAPIQ

7.MuiUnattendE

8.RmClientE

9.ucsvcG

10.refsutilV

11.SpeechRuntimeV

12.DPTopologyAppv2_0N

然后从PE资本中提取这些字体范例资本,并衔接到一个二进制大文件。

效果一样存储在$ data变量中(图7中的第245行),第246行的StringReverse(BinaryToString($ data))反转了存储字节的递次。这是RC4加密情势的终究歹意软件payload。变量$ sopcode包括RC4代码的字节。在预备好shellcode和加密的payload数据以后,在第262行实行RC4函数并解密payload。

高通芯片爆漏洞危机,或可被用于执行无法检测的APT,数亿设备受影响

据外媒报道,网络安全公司CheckPoint发布了一份报告。报告指出,高通芯片存在漏洞,可能会让攻击者窃取存储在安全区域的敏感数据,而这些安全区域本应该是智能设备中最安全的部分。据悉,数亿台智能设备将会遭受一系列潜在威胁,尤其是使用高通芯片组的Android智能手机和平板电脑等。 高通芯片可信空间瞬间失效,数亿级设备的任意敏感数据被读取 11月14日,外媒爆出高通芯片存在漏洞,该漏洞能使攻击者窃取存储在“安全区域”中的敏感数据,而这些区域本应是智能设备中受保护最多

 

下图显现了反汇编的RC4 shell代码:

解密payload后,剧本将挪用末了的InjectPayloadIntoProcess函数将payload注入另一个历程中,还供应了九种差别的正当注入选项,进击者经由过程向函数供应响应的编号来挑选运用哪一个。

 申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

图9.注入历程挑选

在本例中,进击者挑选了第一个选项——RegAsm.exe来隐蔽payload。图10的所示的第211行预备当地注入shellcode($ a5_local_shellcode)并实行。如上所述,代码终究将payload隐蔽在选定的正当历程内部,解码后的payload将作为末了一个参数($ a4_payload_code)移交给注入的shellcode。

AutoIT剧本另有几个在此运动中没有运用的附加函数,这些函数用于以下使命:

·将文件写入TEMP目次并实行。

·从互联网下载文件并实行。

·经由过程命令行实行剧本。

·特权升级。

每次行为中的AutoIT剧本是异常类似的,差别之处在于payload的构建体式格局,一些剧本从资本部份提取payload,另有一些剧本将加密payload存储在AutoIT剧本内部的大字符串中(图11)。图7中所示的解码函数也是没什么变化,$ rt参数设置为-1,意味着GetResourcesFromPE函数(图6)除了返回$ data变量的未修正内容(即图11中$ payload变量的内容)以外不实行任何操纵。

剧本的Injection部份也差不多,图12显现了另一个剧本的示例。

Payload

在这些行为中,注入的payload大多是AgentTesla的殽杂版本。AgentTesla可以从大多数浏览器、电子邮件客户端、SSH / SFTP / FTP客户端和其他软件中盗取凭证,再经由过程SMTP,FTP和HTTP滤出信息。本例中仅运用了SMTP。此版AgentTesla未被de4dot检测到有任何殽杂,一些函数相较传统版本举行了轻微的修正或从新排序,然则个中大多数函数可以照样由殽杂器完成的。

它在运行时剖析设置设置和可疑字符串,图10中所示的函数是在可实行的静态类组织函数(.cctor)中完成的。解密某些大型数组用到了Rijndael算法,偏移量是依据传递给函数的整数来挑选的。在屏幕截图的右边,可以看到紫色的数组部份的长度。

 申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

图14. Agent Tesla解码例程

下图显现了运行时的运用情况,比方解码某些参数以将电子邮件滤出。

 申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

图15 .Agent Tesla字符串殽杂

该函数的完整去殽杂的版本以下所示:

 申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

图16 . Agent Tesla email函数(已去殽杂)

这就是典范的AgentTesla函数。值得注意的是,殽杂器似乎是为此版Agent Tesla定制的。看起来像是殽杂原始代码同时添补变量。在本例中包括但从未运用过的函数中,甚至在一些运用过的函数中,一些硬编码字符串用变量(如%filename%)添补。

 申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系

图17.殽杂器变量

结论

这起进击行为是歹意软件回避检测机制的另一个例子。进击者运用了庞杂的dropper亲睦几种差别的殽杂手艺,将原始歹意软件隐蔽在dropper中,歹意软件只会在运行时解密并注入内存,而在硬盘上则永久不会解密,令反病毒顺序很难以检测。即使是那些赫赫有名的歹意软件,也能经由过程这类体式格局胜利潜入。

本文翻译自:https://blog.talosintelligence.com/2019/11/custom-dropper-hide-and-seek.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明申搏:特务软件Agent Tesla再换“新衣”,能有用绕过传统反病毒体系
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址