“商业贸易信”类木马病毒袭来:运用系统漏洞文本文档散播AgentTesla偷取客户凭据-Betway官网登录_betway体育app_必威体育app

布景

账户暗码作为凭证信息的一个子集,一向都是用户最为注重当地,而从用户登陆机制呈现的那一刻起,凭证盗取类木马便连绵不断的呈现,就常见的Agentesla就是其间一种。

而近期,奇安信病毒呼应中心发现多个运用CVE-2017-11882缝隙文档下载盗取用户凭证的歹意文档,最后会开释Agentesla变种。

样本剖析 缝隙文档剖析

钓饵名为Request for Quotation.doc,为一向的商贸信称号,中文翻译为报价要求。

文档发动之后缝隙在地址0x00415A7函数中触发,EAX的方位指向ShellCode保“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app 存的地址:

ShellCode履行之后调用URLDownloadToFileA从bit.ly/33fuZgy(短链接经过解“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app 析之后地址为:hxxp://gessuae.ae/wp-includes/fonts/lav.jpg)下载payload到Local目录下,payLoad称号为X098765432198.exe。

放假了

调用WinExec履行该EXE,随后调用ExitProcess退出EQNEDT32.EXE公式编辑器。即可在用户无感知的情况下侵略用户体系。

眼舒宝

PayLoad剖析

该样本为C#编location写的可履行文件,该文件在进犯者服务器上称号为lav.jpg,下载到用户电脑之后的称号为X羊肉不能和什么一同吃098765432198.exe,参阅编译时刻为2019年10月10号。

该EXE发动之后会在Main函数中获取资源称号为“compressed”的资源,调用Decompress解密该资源并在内存中履行。

Compressed资源数据解密并Dump脱壳之后实践也是一个C#编写的PE文件。

该EXE发动之后在Main函数之前会获取体系详细信息,包括实践出口“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app IP地址、计算机称号、用户称号、体系版别信息、体系发动形式、物理内存大小、虚拟内存大小以及当时日期。

代码履行时运用的字符串均运用AES加密并进行Base64编码,每一个加密字符串对应一个不同的解密Key。解密算法如下:

经过ipconfig.me/ip获取出口IP地址:

随后还会设置多钟慧宁个定时器,可是木马作者并没有调用Timer.Start函数,所以实践中定时器并不会被触发。

Main函数中开端预备盗取受害者体系中保存的用户凭证:

获取Chrome用户凭证信息:

获取\.purple\accounts.xml” 即pidgin的密凭证信息:

获取Vivaldi的凭证信息:

获取FTP 凭证信息:

获取Oprea浏览器凭证信息:

获取OutLoo重型货车k凭证信息:

获取UC浏览器凭证信息:

360铁树开花浏览器凭证信息:

猎豹浏览器凭证信息:

获取Thundersppi测验bird凭证信息:

FireFox凭证信息:

获取完结并格式化之后经过SMTP发送到指定邮箱:

除掉运用的SMTP通讯方法,该PE中还集成了别的两种通讯方法。程序中硬编码的字符串来决议经过哪一种通讯方法:

FTP通讯:

Http通讯:当运用通讯时“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app 候运用”api.telegram.org/bot”接口,数据为:

经过样本中代码剖析发现该程序还包括键盘记录功用:

从传递的邮件内容来看十月三日到现在进犯者邮箱已连续收到三十五位受害者账号暗码的邮件,邮件内容包括受害者实在IP及用户保存在计算机中的凭证信息,现在受害者IP散布在全球十几个国家和地区。

总结

从进犯者方法上“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app 来看,从他运用盗奥古公主奥秘的一笑取的邮箱作为用户信息接收点,并运用侵略的网站作为C2,很明显的看出进行黑产木马职业的熟练程度,而相似这种进犯未来只会越来越多,只因追溯性难度大,常人霍邱气候不会消耗很多资源进行追捕。

奇安信病毒呼应中心发现多个同源样本,阐明该样本背面口袋妖怪日月的进犯者一向在改善样本功用,样本投递方法依靠nday缝隙,奇安信病毒呼应中心提示用户应及时装置体系补丁,防备此类歹意样本进犯。

现在奇安信全系产品已支撑对该进犯活动的检测。

IOCs C&C:

bit.ly/33fuZgy

hxxp://gessuae.ae/wp-includes/猪大肠怎样清洗fonts/lav.jpg

/wp-includes/fonts/yaa.exe

bit.ly/33fuZgy

hx杜旭东xp://gessuae.ae/wp-includes/fonts/lav.jpg

/wp-includes/fonts/yaa.exe

缝隙文档:

14F体系下载28BD8361AE90DBFABCB31767A356B

14脸F28BD8361AE90DBFABCB31767A356B

歹意样本:

FA94E348BABC6C9D0FEAF30F6808FA62

71EA6FE86188E0B487EFBC30678115D0

BF1D4F1808F9FFF09D11B8129D58D4C1

8EDA0309EE2D27408ADF1B**EBA14B82

灌篮高手主题曲

208F55B5AEC627FC100CAD0703CAF78B

E8EA6BC7445469D4983661AA9191“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app 313D

8D536592ACC6050087EE太孙悍妻8B70F7E79C64

B3B4CBEA2ACB120296A6C1EFA41864F5

840072E60195F3F593768B3DF42CF99D

CEBA49D659E272DCF60A9ACE17F6C521

35961988631D38424F0D43ACDC3D6040

C08304065BD1288863921A5B447946CC

FA94E348BABC6C9D0FEAF30F6808FA62

71EA6FE86188虹桥机场E0B48孕吐什么时候完毕7EFBC30678115D0

BF1D4F1808F9FFF09D11B8129D58D4“商业贸易信”类木马病毒袭来:运用体系缝隙文本文档散播AgentTesla盗取客户凭证-Betway官网登录_betway体育app_必威体育app C1

8EDA0309EE2D27408ADF1B**EBA14B82

208F55B5AEC627FC100CAD0703CAF78B

E8EA6BC7445469D4983661AA9191313D

8D536592ACC6050087EE8B70F7E79C64

B3B4CBEA2ACB120296A6C1EFA41864F5

840072E60195F3F593768B3DF42CF99D

CEBA49D659E272DCF60A9ACE17F6C521

35961988631D38424F0D43ACDC3D6040

C08304065BD1288863921A5B447946CC

*本文作者:奇安信要挟情报中心,转载请注明来自FreeBuf.COM

评论(0)