恶意家族名称:
AgentTesla
威胁类型:
间谍软件
简单描述:
2023 年 2 月 13 日,深信服 XDR 捕获新型间谍软件。
恶意文件分析
恶意事件描述
2023 年 2 月13 日,深信服 XDR 捕获新型间谍软件,此次事件中的恶意程序通过钓鱼邮件传播,当受害者解压邮件附件并执行其中的恶意程序之后,该程序会通过 PowerShell 添加 Defender 扫描白名单并创建计划任务,之后执行窃密操作。
恶意事件分析
通过进程执行链可以发现该样本是通过钓鱼邮件投递,受害者解压之后执行。
该样本是一个 .NET 编写的窃密程序,通过对资源节区的数据进行解密还原出恶意模块,然后使用反射加载的方式执行该模块。
调试发现该恶意模块名为 B4000。入口函数为Melvin.White。跟进函数,首先使用Sleep 休眠了 44s,在对一段硬编码的数据进行base64解码后再解压缩,还原出一个 PE 文件。
同样使用反射加载的方式加载还原出来的 PE,名为 Cruiser,在通过加载模块中的函数从图像中提取出另外一个模块 HIVacSim,同样使用反射加载。找到模块入口函数如下:
进入模块之后会执行一系列恶意操作。
释放文件
从资源节区中释放文件至 C:UsersUserNAmeAppDataRoamingNgsWWESFAPv.exe
,释放的文件与当前文件一致。
创建计划任务
通过schtasks.exe从XML文件中创建计划任务,二进制文件指向C:UsersUserNameAppDataingRomaingNgsWWSFAPv.exe。
添加Defender白名单
通过 Powershell 添加 Defender 白名单。
创建傀儡进程
创建傀儡进程步骤大致如下:
1. 通过 GetThreadContext 获取线程内容
2. 使用 ReadProcessMemory 读取进程内容
3. 使用 VirtualAllocEx 在傀儡进程中分配空间
4. 使用 WriteProcessMemory 往分配的内存中写入数据,
5. 使用 SetThreadContext 设置执行入口。
6. 使用 ResumeThread 恢复傀儡进程的主线程。
在 SetThreadContext 处下一个断点,找到傀儡进程入口点:
在写完数据并激活傀儡进程之后当前进程就会结束,导出写完数据的傀儡进程继续调试。
信息主机收集
通过 Win32_BaseBoard 获取主板信息,之后获取主机和用户名信息等。
获取公网 IP
收集软件信息
收集多种浏览器信息。
在多个 try catch 中收集特定安装程序的数据:
包括 discord、Claws mail、eM Client、FileZilla、Foxmail、FTP Navigator、WinSCP、RealVNC、MySQL 等程序、以及系统凭证等信息。
发送数据
将收集到的数据进行处理之后通过邮件发送到特定邮箱。
解决方案
处置建议
1. 删除计划任务
2. 取消 Defender 白名单
3. 终结该进程及其子进程并删除对应文件。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/197248.html