警惕利用Office漏洞傳播商業間諜軟件AgentTesla

2019-06-03 46952人圍觀 系統安全

背景概述

AgentTesla原本是一款在2014年發布的簡單的鍵盤記錄器,近年來其開發團隊為其不斷增加了許多新功能,并進行出售。AgentTesla現已成為一個商業化的間諜軟件,可通過控制端生成滿足功能需求的木馬程序。

AgentTesla最常見的傳播方式是釣魚郵件,郵件附件中通常會攜帶惡意文檔,通過宏或漏洞利用下載運行惡意程序。近日,深信服安全團隊采集到利用CVE-2017-11882傳播AgentTesla竊取信息的惡意樣本,并對其攻擊過程進行了詳細分析。

詳細分析

CVE-2017-11882

1.使用工具監控文件行為,查看到運行文檔后系統拉起了eqnedt32.exe進程,并且通過抓包捕獲到下載EXE文件的流量,由此判斷是利用CVE-2017-11882執行惡意代碼:

01.png

2.通過附加調試器,在Kernel32!WinExec下斷點,查看寄存器值,找到運行了”C:\Users\root\AppData\Roaming\Adobe.exe”的命令,與捕獲到的流量信息相結合判斷,惡意代碼應是下載文件保存到本地然后運行,推斷使用了URLDownloadToFile相關API:

02.png

3.附加調試器對網絡相關API下斷調試,但程序并沒有斷下,于是在eqnedt32.exe造成溢出的函數處下斷,單步調試到ret覆蓋的返回地址,執行惡意代碼:

03.png

4.惡意代碼先對內存進行解密操作,圖中是解密前后對比,可以直觀的看到所使用的字符串信息,通過動態獲取API地址,調用URLDownloadToFileW下載文件,再通過WinExec運行:

04.png

05.png

AgentTesla

1.AgentTesla是用.Net框架編寫的鍵盤記錄器,使用反編譯工具查看代碼,自定義函數名都進行了混淆,但使用的API和關鍵字符串仍然是明文的,可以看到進行鍵擊記錄的代碼:

06.png

2.除了鍵盤記錄以外,還會通過讀取注冊表鍵值來獲取主機信息:

07.png

3.使用DES算法加密所要發送的數據:

08.png

4.有三種可選的方式將竊取到的數據上傳至遠程C&C端:

通過FTP上傳:

通過SMTP上傳:

10.png

通過HTTP上傳:

11.png

5.AgentTesla的資源中內嵌了一個DLL文件,名為IELibrary.dll,是一個用于實現瀏覽器操作的DLL文件,在AgentTesla中定義了需要竊取信息的瀏覽器及網絡套件名稱,這是在使用控制端生成惡意程序時的可選項:

12.png

6. IELibrary.dll主要針對瀏覽器進行信息收集和操作,包括歷史記錄的增刪查:

13.png

竊取密碼及cookie:

14.png

解決方案

病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

1、不從不明網站下載軟件,不要點擊來源不明的郵件附件,不隨意啟用宏;

2、下載補丁修補CVE-2017-11882:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

3、開啟Windows Update功能,定期對系統進行自動更新

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

*本文作者:深信服千里目安全實驗室,轉載請注明來自FreeBuf.COM。

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php jizzz