AhnLab 安全紧急响应中心 (ASEC) 发现 AgentTesla 信息窃取恶意软件通过电子邮件以恶意 BAT 文件形式传播。执行 BAT 文件时,会使用无文件技术执行 AgentTesla (EXE),而无需在用户 PC 上创建它。本博客解释了从垃圾邮件到最终二进制文件(AgentTesla)分发的操作流程和相关技术。
[图1] 是传播 AgentTesla 恶意软件的垃圾邮件的文本。收件人被诱骗执行恶意文件 (.BAT),其标题称该文件是从另一个电子邮件帐户发送的。在随附的 zip 压缩文件中,包含一个批处理脚本文件 (.BAT),如图 2 所示。BAT 文件是一种脚本文件,在执行时由 Windows 应用程序 cmd.exe 驱动。
[图1]. 钓鱼邮件正文
[图2]. 所附zip文件中的恶意脚本(.bat)
[图3]是用BAT文件脚本进行混淆的。执行 BAT 文件时,使用 xcopy 命令复制 BAT 文件,如 [图4] 中的 EDR 跟踪屏幕所示,并通过使用 png 扩展名伪装来复制正常的 powershell.exe。
[图3]. 恶意BAT文件
[图4]. cmd.exe执行的xcopy命令(复制bat文件,复制伪装成png扩展名的powershell.exe)(EDR)
然后,通过伪装成 png 扩展名的 powershell.exe (Lynfe.png) 执行 PowerShell 命令。如图5中的EDR日志屏幕所示,Powershell进程名称显示为带有png扩展名的进程(Lynfe.png),并且该进程执行Powershell命令。
[图5]. 从cmd.exe执行的Powershell脚本(EDR)
[图6]是解码后的Powershell命令。PowerShell 命令通过解密(gzip、反向)BAT 文件内编码的数据来创建 DLL 有效负载,然后将其加载到 PowerShell 进程中。加载的DLL执行解码后的shellcode,如图7所示,在执行额外的解码例程后,shellcode最终在内存中执行AgentTesla恶意软件。
[图6]. 解码的Powershell命令(加载BAT文件内编码的.NET DLL)
[图7]. Net DLL函数(执行解码后的shellcode)
[图8]最终展示了在Powershell进程(Lynfe.png)中执行的AgentTesla恶意软件的功能,该功能对应于从特定浏览器(Edge)窃取帐户信息的功能。这样,账户信息相关的数据就通过各种路径被盗取,[表1]是被盗信息收集路径的一部分。
[图8]. 最终payload AgentTesla函数(窃取账户信息)
与账户信息相关的部分数据收集路径。
SputnikSputnikUser Data
Elements BrowserUser Data
NETGATE TechnologiesBlackHawk
BraveSoftwareBrave-BrowserUser Data
Waterfox
uCozMediaUranUser Data
Opera SoftwareOpera Stable
MicrosoftEdgeUser Data
ComodoIceDragon
CatalinaGroupCitrioUser Data
7Star7StarUser Data
Fenrir IncSleipnir5settingmodulesChromiumViewer
YandexYandexBrowserUser Data
Thunderbird
ChedotUser Data
IridiumUser Data
KometaUser Data
ChromiumUser Data
QIP SurfUser Data
MozillaFirefox
MozillaSeaMonkey
K-Meleon
liebaoUser Data
CocCocBrowserUser Data
Mozillaicecat
AmigoUser Data
VivaldiUser Data
OrbitumUser Data
MapleStudioChromePlusUser Data
360ChromeChromeUser Data
GoogleChromeUser Data
ComodoDragonUser Data
Epic Privacy BrowserUser Data
FlockBrowser
Postbox
CoowonCoowonUser Data
Moonchild ProductionsPale Moon
8pecxstudiosCyberfox
TorchUser Data
CentBrowserUser Data[图9]为信息盗窃行为的EDR证据画面,通过证据可以看出,有一个Powershell进程伪装成png文件访问浏览器账户信息。
[图9]. AgentTesla(EDR)账户信息被盗的证据
执行信息窃取行为后,运行在Powershell进程(Lynfe.png)中的AgentTesla将收集到的数据传输到攻击者控制的FTP服务器,如图10所示。
[图10]. 最终payload AgentTesla功能(通过FTP将窃取的信息传输至C2)
这样,利用 EDR 跟踪数据就可以解释通过垃圾邮件分发的 AgentTesla 信息窃取恶意软件的感染流程。攻击者使用了复杂的无文件技术,不会创建 EXE 文件,并且分发电子邮件还巧妙地伪装成从另一个电子邮件帐户发送的标题。在打开附件时,必须时刻注意是否存在可以执行恶意代码的扩展程序,并且需要通过安全产品的监控来识别和控制攻击者的访问。
[行为诊断]
CredentialAccess/EDR.Event.M11362【文件诊断】
Trojan/BAT.Agent.SC192347[IOCs]
6d9821bc1ca643a6f75057a97975db0e转载来源:https://asec.ahnlab.com/ko/57256/
图片来源网络侵权可联系删除
