金睛安全播报 NO.051

本周安全态势

一. 本周高级威胁攻击动态双尾蝎组织的GnatSpy变种样本关联分析

近日，国外厂商发布了双尾蝎组织的最新攻击情况，目标仍为巴基斯坦地区。下面将基于一个最新的木马进行关联分析。 【作者: 黑鸟】

此次使用的是伪装成ZEE 播放器的GnatSpy变种木马（2c30676af207b3bbb81af097cfd94e88），如下图所示。

从SharedPreference中的SPManager类可以看出，该木马企图执行大量恶意操作，如读取短信，读取邮件，获取密码等等操作。

同时，receivers和services类中与以往的变种功能不一致，函数名有所改变。

而该家族样本都会有一个特点，该样本会将字符串拼接成URL链接(https://zee-player.website/api/)，访问后可获取真实C&C地址。

获取真实C&C地址(类似下列回传特征，目前已失效)。

样本中还有一个硬编码的混淆后的地址，与此前GnatSpy变种类似，解开后为https://kristy-milligan.website，但在样本中并未看见有调用行为。

下图为该家族此前的混淆方式：

而kristy-milligan这个域名实际为一个人名，目前暂不知该名称意义何在。 通过关联分析，可以获取到此域名的用途同样也为获取真实C&C地址功能。 https://kristy-milligan.website/api/get_dom/ 且通过该域名，可以获取到一些双尾蝎组织近期的样本，大致如下：

如下图的仿照facebook的GnatSpy变种

仿照meetme

鉴于该组织擅长进行钓鱼攻击，因此，在下载安装APP时候请注意是否为官方来源，避免中招。

二. 本周流行安全事件Agent Tesla近期变种通信方式的技术分析

Agent Tesla是一款窃密木马，该木马会收集受害者的键盘输入、系统剪贴板、屏幕截图等信息，还会收集受害主机已安装的各种软件的账号密码，例如浏览器和FTP软件的账号密码，该木马功能强大，危害不小。 近期，我们监控到Agent Tesla有重新活跃的趋势，样本投放量逐渐增多，大部分是通过邮件附件为rar的压缩文档进行投放，最终释放出核心负载Agent Tesla窃密木马。这批Agent Tesla有新的变化，其与C&C控制端的通信方式，不再采用之前惯用的SMTP邮件或HTTP POST传输，而是采用了FTP服务器接收上传的窃密信息文件。 【作者：香逢】

下面以一个典型样本分析为例，解析出Agent Tesla，以及详细分析下常用的三种通信方式。

先解压PO.pdf.gz，得到PO.exe，PO.exe是用VisualBasic语言编写，用OllyDbg调试，断在创建进程CreateProcessW函数下，在%Temp%\subfolder下创建两个文件，PO.vbs和PO.exe，PO.vbs的作用是将自身路径写入系统注册表中，以便于自启动运行。Subfolder文件夹中的PO.exe是原文件解压得到的PO.exe的复制品。

图1 PO.exe调用CreateProcessW

图2 PO.vbs实现自启动

我们再来用OllyDbg调试subfloder下的PO.exe，F9执行起来，又一次断在CreateProcessW函数上，此时是创建挂起状态的傀儡进程，然后将恶意程序写入傀儡进程运行起来。

图3 PO.exe创建傀儡进程

图4 向傀儡进程写入恶意代码

保存出来写入的恶意代码到磁盘，命名为PO-pe.exe，该PE是个.Net程序，用ILSpy工具打开入口函数，界面如下图5，可见很多字符串作为函数L.Y的参数，进入L.Y函数，利用已有的经验，看到L.Y函数中的特征字符串，可以断定该恶意程序是Agent Tesla。

图5 Agent Tesla 入口函数

图6 L.Y函数

Agent Tesla的配置界面(图7)中存在一个Send Options选项，包含 Web Panel、SMTP、FTP 三种。 通过查看Agent Tesla的源代码，也能发现其中包含三种通信方式： HTTP POST方式、SMTP邮件方式、FTP传输方式。对应的代码块如下图8和图9:

图7 Agent Tesla配置通信方式界面

图8 HTTP和SMTP通信方式代码块

图9 FTP通信方式代码块

通过调试样本，我们确认当前的Agent Tesla是采用FTP传输，进入FTP方式中调用的GW函数：

图10 FTP通信方式GW函数

我们将L.Y字符串解密函数单独编写成Tesla.exe程序，可以方便解密字符串：

图11解密FTP服务器账号密码

我们尝试访问该FTP并输入账号密码，看到了分析机MdOpLack上传的键盘记录和屏幕截图等信息。

图12 登录FTP服务器账号

图13 MdOpLack上传的键盘记录信息

图14 MdOpLack上传的屏幕截图

图15 窃取某主机的密码信息：

我们可以看到FTP服务器上存在一个测试文件：Testfile，修改日期为2018/7/23，可以猜测该Agent Tesla木马的最新版本是2018年7月23日开始测试并投入使用的。

图16 测试文件Testfile

图17 通过用wireshark抓取的网络通信报文信息如下:

HTTP POST传输的核心代码在WHS函数中，同时解密其字符串见图18，窃取的数据将上传到api.php文件中。

图18 HTTP通信函数及解密信息

SMTP传输的核心代码在TX函数中，同时解密其字符串见图19：

图19 SMTP通信函数及解密信息

之前的Agent Tesla大部分都是采用HTTP和SMTP传输方式，所以会解密出URL和邮箱信息，由于本样本采用的是FTP传输方式，所以解密出的HTTP和SMTP字符串没有实际值，而是配置参数的格式。

本周升级公告

本周更新事件特征：

HTTP_木马后门_webshell_JSP_疑似JSP木马上传

UDP_黑暗幽灵(DCM)木马_恶意通信

FTP_木马_AgentTesla_Keylogger_连接

HTTP_Realtek_SDK_miniigd_SOAP服务远程代码执行漏洞(CVE-2014-8361)

HTTP_Joomla_Component_Proclaim_Backup_File_Download[CVE-2018-7317]

HTTP_Joomla_CWTags_Searchtext_SQL_Injection[CVE-2018-7313]

HTTP_TrendNet_AUTHORIZED_GROUP_Information_Disclosure[CVE-2018-7034]