金睛安全播报 NO.051

本周安全态势

一. 本周高级威胁攻击动态双尾蝎组织的GnatSpy变种样本关联分析

近日,国外厂商发布了双尾蝎组织的最新攻击情况,目标仍为巴基斯坦地区。下面将基于一个最新的木马进行关联分析。 【作者: 黑鸟】

此次使用的是伪装成ZEE 播放器的GnatSpy变种木马(2c30676af207b3bbb81af097cfd94e88),如下图所示。

从SharedPreference中的SPManager类可以看出,该木马企图执行大量恶意操作,如读取短信,读取邮件,获取密码等等操作。

同时,receivers和services类中与以往的变种功能不一致,函数名有所改变。

而该家族样本都会有一个特点,该样本会将字符串拼接成URL链接(https://zee-player.website/api/),访问后可获取真实C&C地址。

获取真实C&C地址(类似下列回传特征,目前已失效)。

样本中还有一个硬编码的混淆后的地址,与此前GnatSpy变种类似,解开后为https://kristy-milligan.website,但在样本中并未看见有调用行为。

下图为该家族此前的混淆方式:

而kristy-milligan这个域名实际为一个人名,目前暂不知该名称意义何在。 通过关联分析,可以获取到此域名的用途同样也为获取真实C&C地址功能。 https://kristy-milligan.website/api/get_dom/ 且通过该域名,可以获取到一些双尾蝎组织近期的样本,大致如下:

如下图的仿照facebook的GnatSpy变种

仿照meetme

鉴于该组织擅长进行钓鱼攻击,因此,在下载安装APP时候请注意是否为官方来源,避免中招。

二. 本周流行安全事件Agent Tesla近期变种通信方式的技术分析

Agent Tesla是一款窃密木马,该木马会收集受害者的键盘输入、系统剪贴板、屏幕截图等信息,还会收集受害主机已安装的各种软件的账号密码,例如浏览器和FTP软件的账号密码,该木马功能强大,危害不小。 近期,我们监控到Agent Tesla有重新活跃的趋势,样本投放量逐渐增多,大部分是通过邮件附件为rar的压缩文档进行投放,最终释放出核心负载Agent Tesla窃密木马。这批Agent Tesla有新的变化,其与C&C控制端的通信方式,不再采用之前惯用的SMTP邮件或HTTP POST传输,而是采用了FTP服务器接收上传的窃密信息文件。 【作者:香逢】

下面以一个典型样本分析为例,解析出Agent Tesla,以及详细分析下常用的三种通信方式。

先解压PO.pdf.gz,得到PO.exe,PO.exe是用VisualBasic语言编写,用OllyDbg调试,断在创建进程CreateProcessW函数下,在%Temp%\subfolder下创建两个文件,PO.vbs和PO.exe,PO.vbs的作用是将自身路径写入系统注册表中,以便于自启动运行。Subfolder文件夹中的PO.exe是原文件解压得到的PO.exe的复制品。

图1 PO.exe调用CreateProcessW

图2 PO.vbs实现自启动

我们再来用OllyDbg调试subfloder下的PO.exe,F9执行起来,又一次断在CreateProcessW函数上,此时是创建挂起状态的傀儡进程,然后将恶意程序写入傀儡进程运行起来。

图3 PO.exe创建傀儡进程

图4 向傀儡进程写入恶意代码

保存出来写入的恶意代码到磁盘,命名为PO-pe.exe,该PE是个.Net程序,用ILSpy工具打开入口函数,界面如下图5,可见很多字符串作为函数L.Y的参数,进入L.Y函数,利用已有的经验,看到L.Y函数中的特征字符串,可以断定该恶意程序是Agent Tesla。

图5 Agent Tesla 入口函数

图6 L.Y函数

Agent Tesla的配置界面(图7)中存在一个Send Options选项,包含 Web Panel、SMTP、FTP 三种。 通过查看Agent Tesla的源代码,也能发现其中包含三种通信方式: HTTP POST方式、SMTP邮件方式、FTP传输方式。对应的代码块如下图8和图9:

图7 Agent Tesla配置通信方式界面

图8 HTTP和SMTP通信方式代码块

图9 FTP通信方式代码块

通过调试样本,我们确认当前的Agent Tesla是采用FTP传输,进入FTP方式中调用的GW函数:

图10 FTP通信方式GW函数

我们将L.Y字符串解密函数单独编写成Tesla.exe程序,可以方便解密字符串:

图11解密FTP服务器账号密码

我们尝试访问该FTP并输入账号密码,看到了分析机MdOpLack上传的键盘记录和屏幕截图等信息。

图12 登录FTP服务器账号

图13 MdOpLack上传的键盘记录信息

图14 MdOpLack上传的屏幕截图

图15 窃取某主机的密码信息:

我们可以看到FTP服务器上存在一个测试文件:Testfile,修改日期为2018/7/23,可以猜测该Agent Tesla木马的最新版本是2018年7月23日开始测试并投入使用的。

图16 测试文件Testfile

图17 通过用wireshark抓取的网络通信报文信息如下:

HTTP POST传输的核心代码在WHS函数中,同时解密其字符串见图18,窃取的数据将上传到api.php文件中。

图18 HTTP通信函数及解密信息

SMTP传输的核心代码在TX函数中,同时解密其字符串见图19:

图19 SMTP通信函数及解密信息

之前的Agent Tesla大部分都是采用HTTP和SMTP传输方式,所以会解密出URL和邮箱信息,由于本样本采用的是FTP传输方式,所以解密出的HTTP和SMTP字符串没有实际值,而是配置参数的格式。

本周升级公告

本周更新事件特征:

HTTP_木马后门_webshell_JSP_疑似JSP木马上传

UDP_黑暗幽灵(DCM)木马_恶意通信

FTP_木马_AgentTesla_Keylogger_连接

HTTP_Realtek_SDK_miniigd_SOAP服务远程代码执行漏洞(CVE-2014-8361)

HTTP_Joomla_Component_Proclaim_Backup_File_Download[CVE-2018-7317]

HTTP_Joomla_CWTags_Searchtext_SQL_Injection[CVE-2018-7313]

HTTP_TrendNet_AUTHORIZED_GROUP_Information_Disclosure[CVE-2018-7034]

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180819G0SA9T00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券