DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

抽丝剥茧:Agent Telsa最新变种脱壳分析

09-18 WEB安全

近日,我们检测到大量经过相同加壳混淆过的.NET 恶意木马文件,经过进一步深入分析发现,该木马是带隐私窃取功能的后门木马 Agent Tesla。从2014年起至今,Agent Tesla已经由一个键盘记录器变身成为一款专业的商业间谍软件。本文主要介绍如何将Agent Tesla 间谍软件抽丝剥茧出来。
样本分析
0×1 Stage1
这是一个.NET应用程序,我们从这个入口点来开始分析:
static void XPathSingletonIterator(string[] args){    EventKeywords.WebBrowserDocumentCompletedEventArgs().EntryPoint.Invoke(null, null);}
可以看出函数WebBrowserDocumentCompletedEventArgs是一个Assembly方法,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


通过base64解码出一段代码,然后将动态编译成dll并通过反射的方式执行这段代码。解码的代码如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


stage1.cs,主函数代码如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


FindResource函数的参数在MSDN的定义,如下:
HRSRC FindResource(          HMODULE hModule,
    LPCTSTR lpName,    //124
    LPCTSTR lpType     //23, RT_HTML
);
通过PE Explorer查看该样本的资源段,发现了被加密的payload即资源为124的PNG图片,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


在stage1.cs的代码中,找到了解密上面payload的代码,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


可以看出payload的解密方式为异或,密钥为Unicode字符串”QzEwIYNhXAJL”的字节码。由于是在内存中通过反射方式执行上面解密的payload,若要dump解密后的payload,需手动写代码进行解密。将stage1.cs稍作修改,部分代码如下:

抽丝剥茧:Agent Telsa最新变种脱壳分析


将上面的代码编译并运行,解密生成stub.exe文件。
0×2 Stage2
将上面的stub.exe载入dnSpy继续分析,如下图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


首先发现该样本有三个资源,第一个资源是包含许多看似base64编码的字符串的文本,第二个和第三个是二进制文件。
资源一  (6ie58GzmUqGP5Y3w)

抽丝剥茧:Agent Telsa最新变种脱壳分析


由上图可以看出,资源一中的字符串是用base64编码的,将资源一的内容复制出来,编写代码如下:

抽丝剥茧:Agent Telsa最新变种脱壳分析


解码后的字符串,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


资源二  (YwdTXmElBrvD)
读取资源二的字节码并解密,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


通过base64解码密钥key: Unicode字符串”oJUEUAnYNDgG”的字节码。如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


将资源二与上面的key进行异或,得到payload2.exe,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析


将资源二解密得到的payload保存为”payload2.exe”,进一步分析后发现是一个蠕虫病毒Mofksys,主要通过网络共享,可移动驱动器和电子邮件传播。 并通过SMTP将收集到的敏感数据发送给攻击者。
资源三  (OhDKMgmICCQA)
将解密的恶意payload注入进程”C:\Windows\Microsoft.NET\Framework\v4.0.30319\vbc.exe”,如图:

抽丝剥茧:Agent Telsa最新变种脱壳分析

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/116.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X