今晚开什么生肖和特马

“商貿信”類木馬來襲:利用漏洞文檔傳播AgentTesla竊取用戶憑證

2019-10-26 39362人圍觀 ,發現 1 個不明物體 系統安全

背景

賬戶密碼作為憑證信息的一個子集,一直都是用戶最為重視地方,而從用戶登陸機制出現的那一刻起,憑證竊取類木馬便源源不斷的出現,就常見的Agentesla便是其中一種。

而近期,奇安信病毒響應中心發現多個利用CVE-2017-11882漏洞文檔下載竊取用戶憑證的惡意文檔,最后會釋放Agentesla變種。

樣本分析

漏洞文檔分析

誘餌名為Request for Quotation.doc,為一貫的商貿信名稱,中文翻譯為報價要求。

文檔啟動之后漏洞在地址0x00415A7函數中觸發,EAX的位置指向ShellCode保存的地址:

ShellCode執行之后調用URLDownloadToFileA從bit.ly/33fuZgy(短鏈接經過解析之后地址為:hxxp://gessuae.ae/wp-includes/fonts/lav.jpg)下載payload到Local目錄下,payLoad名稱為X098765432198.exe。

調用WinExec執行該EXE,隨后調用ExitProcess退出EQNEDT32.EXE公式編輯器。即可在用戶無感知的情況下入侵用戶系統。

PayLoad分析

該樣本為C#編寫的可執行文件,該文件在攻擊者服務器上名稱為lav.jpg,下載到用戶電腦之后的名稱為X098765432198.exe,參考編譯時間為2019年10月10號。

該EXE啟動之后會在Main函數中獲取資源名稱為“compressed”的資源,調用Decompress解密該資源并在內存中執行。

Compressed資源數據解密并Dump脫殼之后實際也是一個C#編寫的PE文件。

該EXE啟動之后在Main函數之前會獲取系統詳細信息,包括實際出口IP地址、計算機名稱、用戶名稱、系統版本信息、系統啟動模式、物理內存大小、虛擬內存大小以及當前日期。

代碼執行時使用的字符串均使用AES加密并進行Base64編碼,每一個加密字符串對應一個不同的解密Key。解密算法如下:

通過ipconfig.me/ip獲取出口IP地址:

隨后還會設置多個定時器,但是木馬作者并沒有調用Timer.Start()函數,所以實際中定時器并不會被觸發。

Main函數中開始準備竊取受害者系統中保存的用戶憑證:

獲取Chrome用戶憑證信息:

獲取\.purple\accounts.xml” 即pidgin的密憑證信息:

獲取Vivaldi的憑證信息:

獲取FTP 憑證信息:

獲取Oprea瀏覽器憑證信息:

獲取OutLook憑證信息:

獲取UC瀏覽器憑證信息:

360瀏覽器憑證信息:

獵豹瀏覽器憑證信息:

獲取Thunderbird憑證信息:

FireFox憑證信息:

獲取完成并格式化之后通過SMTP發送到指定郵箱:

除去使用的SMTP通信方式,該PE中還集成了另外兩種通信方式。程序中硬編碼的字符串來決定通過哪一種通信方式:

FTP通信:

Http通信:當使用通信時候使用”api.telegram.org/bot”接口,數據為:

通過樣本中代碼分析發現該程序還包括鍵盤記錄功能:

從傳遞的郵件內容來看十月三日截至目前攻擊者郵箱已陸續收到三十五位受害者賬號密碼的郵件,郵件內容包含受害者真實IP及用戶保存在計算機中的憑證信息,目前受害者IP分布在全球十幾個國家和地區。

總結

從攻擊者手法上來看,從他使用盜取的郵箱作為用戶信息接收點,并使用入侵的網站作為C2,很明顯的看出進行黑產木馬行業的嫻熟程度,而類似這種攻擊未來只會越來越多,只因追溯性難度大,常人不會耗費大量資源進行追捕。

奇安信病毒響應中心發現多個同源樣本,說明該樣本背后的攻擊者一直在改進樣本功能,樣本投遞方式依賴nday漏洞,奇安信病毒響應中心提醒用戶應及時安裝系統補丁,預防此類惡意樣本攻擊。

目前奇安信全系產品已支持對該攻擊活動的檢測。

IOCs

C&C:

bit.ly/33fuZgy

hxxp://gessuae.ae/wp-includes/fonts/lav.jpg

/wp-includes/fonts/yaa.exe

MD5:

漏洞文檔:

14F28BD8361AE90DBFABCB31767A356B

惡意樣本:

FA94E348BABC6C9D0FEAF30F6808FA62

71EA6FE86188E0B487EFBC30678115D0

BF1D4F1808F9FFF09D11B8129D58D4C1

8EDA0309EE2D27408ADF1B**EBA14B82

208F55B5AEC627FC100CAD0703CAF78B

E8EA6BC7445469D4983661AA9191313D

8D536592ACC6050087EE8B70F7E79C64

B3B4CBEA2ACB120296A6C1EFA41864F5

840072E60195F3F593768B3DF42CF99D

CEBA49D659E272DCF60A9ACE17F6C521

35961988631D38424F0D43ACDC3D6040

C08304065BD1288863921A5B447946CC

*本文作者:奇安信威脅情報中心,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 1 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 今晚开什么生肖和特马 24500皇冠比分走地赔入 广西牌9怎么玩 单机麻将免费东北版 世界蓝球即时比分 2012英格兰对法国比分 江苏时时彩 福建体彩网22开奖公告 大唐河北麻将玩法 安徽闲来麻将官方网站 生肖时时彩 广东快乐十分走势图表分析 杭州麻将app官方下载 美知广子最后10分钟 湖北麻将258玩法 cba比分记录 安徽十一选五遗漏号