AgentTesla,一款採用.Net語言(C#、VB.Net等)編寫的間諜軟件、鍵盤記錄程序和信息竊取木馬,同時也是一款商業化的產品,可以通過其官方網站購買到。
自2014年首次出現以來,與AgentTesla相關聯的網絡間諜活動幾乎就沒有中斷過,期間甚至還出現了各種各樣的變種。就在幾天前,FortiGuard Labs就再次捕獲了一封旨在傳播AgentTesla新變種的釣魚電子郵件。
接下來,就讓我們一起來看看AgentTesla的這個新變種是如何在受感染系統中傳播、竊取了哪些數據以及如何將被盜數據上傳到命令和控制(C2)服務器的吧。
感染鏈分析
如你所見,這個新的AgentTesla變種是一個可執行文件。在FortiGuard Labs 捕獲的釣魚電子郵件中,它被命名為“*** Delivery Report.exe”。
圖1.釣魚電子郵件
分析表明,此文件是已編譯的AutoIt可執行文件,可以使用Exe2Aut或myAut2Exe對其進行反編譯。
圖2.使用Exe2Aut反編譯的可執行文件
AutoIt代碼共包含18個函數,但實際上只有四個會真正執行,具體細節如下:
圖3.實際執行的四個函數
四個函數中的dpubfytzxt()會執行許多操作,其中之一就是將惡意有效載荷注入RegSvcs.exe進程。
圖4.負責執行進程注入的函數
惡意有效載荷分析
分析表明,被注入RegSvcs.exe進程的有效載荷是一個採用Microsoft Visual C#/Basic.Net編譯的32位PE文件。
圖5.PE文件信息
在進程注入完成之後,有效載荷便會開始查找主流的FTP客戶端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。
圖6.RegSvcs.exe憑證掃描
據稱,這個新的AgentTesla能夠從60多種軟件中竊取保存的憑證,具體如下:
網頁瀏覽器:
Google ChromeMozilla FirefoxMicrosoft IE & EdgeApple SafariTencent QQBrowserOpera BrowserYandex Browser360 BrowserIridium BrowserComodo DragonCoolNovoChromiumTorch Browser7 Star BrowserAmigo BrowserBraveCentBrowserChedotCoccocElements BrowserEpic PrivacyKometaOrbitumSputnikUranVivaldiCitrioLiebao BrowserSleipnir 6QIP Surf BrowserCoowon BrowserSeaMonkeyFlock BrowserUCBrowserBlackHawk BrowserCyberFox BrowserKMeleon BrowserIceCat BrowserIceDragon BrowserPaleMoon BrowserWaterFox BrowserFalkon Browser電子郵件客戶端和Messenger客戶端:
Microsoft OutlookMozilla ThunderbirdAerofox FoxmailOpera MailIncrediMailPocomailQualcomm EudoraThe Bat! EmailPostboxClaws MailBecky! Internet MailTrillian MessengerICQ TransportVPN、FTP客戶端和下載管理器:
OpenVPNFileZillaIpswitch WS_FTPWinSCPCoreFTPFTP NavigatorFlashFXPSmartFTPCFTPFTPGetterDownloadManagerCoowon jDownloader最後,所有這些被盜憑證將通過基於SMTP協議的電子郵件發送到攻擊者的電子郵箱。
圖7.攻擊者的電子郵箱賬戶信息
圖8.通過SMTP協議提交憑證
AgentTesla新變種的其他功能
根據FortiGuard Labs的說法,除信息竊取功能外,這個新的AgentTesla變種還配備了許多其他的功能,包括:
在受感染重新啟動時自動運行;阻斷受害者修改系統註冊表值的渠道(包括禁止受害者打開任務和管理器、禁止受害者打開命令提示符、禁止受害者運行Msconfig.exe以及從“開始”菜單中刪除“控制面板”和“運行”等);自我卸載;通過執行“Shutdown -r -t 5”定時重啟計算機;截屏並通過電子郵件發送到攻擊者的電子郵箱;按鍵記錄。結語
事實上,無論是AgentTesla,還是其他惡意軟件,釣魚電子郵件通常都是首選的傳播媒介。我們想要再一次提醒,一定不要打開任何未知來源的郵件。即使郵件來自經常聯繫的人,我們也建議你在打開附件之前,使用殺毒軟件對其進行完整的掃描。