本周安全态势
一. 本周高级威胁攻击动态双尾蝎组织的GnatSpy变种样本关联分析
近日,国外厂商发布了双尾蝎组织的最新攻击情况,目标仍为巴基斯坦地区。下面将基于一个最新的木马进行关联分析。 【作者: 黑鸟】
此次使用的是伪装成ZEE 播放器的GnatSpy变种木马(2c30676af207b3bbb81af097cfd94e88),如下图所示。
从SharedPreference中的SPManager类可以看出,该木马企图执行大量恶意操作,如读取短信,读取邮件,获取密码等等操作。
同时,receivers和services类中与以往的变种功能不一致,函数名有所改变。
而该家族样本都会有一个特点,该样本会将字符串拼接成URL链接(https://zee-player.website/api/),访问后可获取真实C&C地址。
获取真实C&C地址(类似下列回传特征,目前已失效)。
样本中还有一个硬编码的混淆后的地址,与此前GnatSpy变种类似,解开后为https://kristy-milligan.website,但在样本中并未看见有调用行为。
下图为该家族此前的混淆方式:
而kristy-milligan这个域名实际为一个人名,目前暂不知该名称意义何在。 通过关联分析,可以获取到此域名的用途同样也为获取真实C&C地址功能。 https://kristy-milligan.website/api/get_dom/ 且通过该域名,可以获取到一些双尾蝎组织近期的样本,大致如下:
如下图的仿照facebook的GnatSpy变种
仿照meetme
鉴于该组织擅长进行钓鱼攻击,因此,在下载安装APP时候请注意是否为官方来源,避免中招。
二. 本周流行安全事件Agent Tesla近期变种通信方式的技术分析
Agent Tesla是一款窃密木马,该木马会收集受害者的键盘输入、系统剪贴板、屏幕截图等信息,还会收集受害主机已安装的各种软件的账号密码,例如浏览器和FTP软件的账号密码,该木马功能强大,危害不小。 近期,我们监控到Agent Tesla有重新活跃的趋势,样本投放量逐渐增多,大部分是通过邮件附件为rar的压缩文档进行投放,最终释放出核心负载Agent Tesla窃密木马。这批Agent Tesla有新的变化,其与C&C控制端的通信方式,不再采用之前惯用的SMTP邮件或HTTP POST传输,而是采用了FTP服务器接收上传的窃密信息文件。 【作者:香逢】
下面以一个典型样本分析为例,解析出Agent Tesla,以及详细分析下常用的三种通信方式。
先解压PO.pdf.gz,得到PO.exe,PO.exe是用VisualBasic语言编写,用OllyDbg调试,断在创建进程CreateProcessW函数下,在%Temp%\subfolder下创建两个文件,PO.vbs和PO.exe,PO.vbs的作用是将自身路径写入系统注册表中,以便于自启动运行。Subfolder文件夹中的PO.exe是原文件解压得到的PO.exe的复制品。
图1 PO.exe调用CreateProcessW
图2 PO.vbs实现自启动
我们再来用OllyDbg调试subfloder下的PO.exe,F9执行起来,又一次断在CreateProcessW函数上,此时是创建挂起状态的傀儡进程,然后将恶意程序写入傀儡进程运行起来。
图3 PO.exe创建傀儡进程
图4 向傀儡进程写入恶意代码
保存出来写入的恶意代码到磁盘,命名为PO-pe.exe,该PE是个.Net程序,用ILSpy工具打开入口函数,界面如下图5,可见很多字符串作为函数L.Y的参数,进入L.Y函数,利用已有的经验,看到L.Y函数中的特征字符串,可以断定该恶意程序是Agent Tesla。
图5 Agent Tesla 入口函数
图6 L.Y函数
Agent Tesla的配置界面(图7)中存在一个Send Options选项,包含 Web Panel、SMTP、FTP 三种。 通过查看Agent Tesla的源代码,也能发现其中包含三种通信方式: HTTP POST方式、SMTP邮件方式、FTP传输方式。对应的代码块如下图8和图9:
图7 Agent Tesla配置通信方式界面
图8 HTTP和SMTP通信方式代码块
图9 FTP通信方式代码块
通过调试样本,我们确认当前的Agent Tesla是采用FTP传输,进入FTP方式中调用的GW函数:
图10 FTP通信方式GW函数
我们将L.Y字符串解密函数单独编写成Tesla.exe程序,可以方便解密字符串:
图11解密FTP服务器账号密码
我们尝试访问该FTP并输入账号密码,看到了分析机MdOpLack上传的键盘记录和屏幕截图等信息。
图12 登录FTP服务器账号
图13 MdOpLack上传的键盘记录信息
图14 MdOpLack上传的屏幕截图
图15 窃取某主机的密码信息:
我们可以看到FTP服务器上存在一个测试文件:Testfile,修改日期为2018/7/23,可以猜测该Agent Tesla木马的最新版本是2018年7月23日开始测试并投入使用的。
图16 测试文件Testfile
图17 通过用wireshark抓取的网络通信报文信息如下:
HTTP POST传输的核心代码在WHS函数中,同时解密其字符串见图18,窃取的数据将上传到api.php文件中。
图18 HTTP通信函数及解密信息
SMTP传输的核心代码在TX函数中,同时解密其字符串见图19:
图19 SMTP通信函数及解密信息
之前的Agent Tesla大部分都是采用HTTP和SMTP传输方式,所以会解密出URL和邮箱信息,由于本样本采用的是FTP传输方式,所以解密出的HTTP和SMTP字符串没有实际值,而是配置参数的格式。
本周升级公告
本周更新事件特征:
HTTP_木马后门_webshell_JSP_疑似JSP木马上传
UDP_黑暗幽灵(DCM)木马_恶意通信
FTP_木马_AgentTesla_Keylogger_连接
HTTP_Realtek_SDK_miniigd_SOAP服务远程代码执行漏洞(CVE-2014-8361)
HTTP_Joomla_Component_Proclaim_Backup_File_Download[CVE-2018-7317]
HTTP_Joomla_CWTags_Searchtext_SQL_Injection[CVE-2018-7313]
HTTP_TrendNet_AUTHORIZED_GROUP_Information_Disclosure[CVE-2018-7034]
领取专属 10元无门槛券
私享最新 技术干货