瑞星卡卡安全论坛企业产品讨论区瑞星ESM(瑞星下一代网络版杀毒软件) 瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

1   1  /  1  页   跳转

[产品资讯] 瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

近日,瑞星威胁情报中心捕获到AgentTesla窃密木马病毒的新型变种,此次变种通过钓鱼邮件进行传播,诱导用户解压并运行附件中的木马病毒,从而收集用户浏览器、邮件、FTP、VPN、即时通讯等软件账号密码,以及屏幕截图、键盘击键等信息。瑞星公司发现已有国内金融企业被该病毒攻击,在此提醒广大用户需提高警惕,目前瑞星ESM防病毒终端安全防护系统等产品均可拦截并查杀AgentTesla最新变种,用户可通过该产品规避此类安全风险。


图:瑞星ESM防病毒终端安全防护系统可查杀AgentTesla最新变种


据瑞星安全专家介绍,AgentTesla的前身是一款商业键盘记录器,但在过去的数年里,该病毒早已从键盘记录器变成了彻头彻尾的窃密木马病毒, 到目前为止其包含的功能主要有屏幕截图、键盘记录、窃取软件凭证、剪贴板记录等多种功能,并且可以通过Tor匿名网络、电子邮件、FTP和HTTP等方式进行回传。此次AgentTesla最新变种除窃密行为外还主要包括对安全防护软件静态扫描的对抗,其通过代码混淆、数据加密等多种手段试图绕过静态扫描,阻碍安全人员对其样本的分析。

图:攻击流程图


经过分析发现,AgentTesla最新变种被攻击者通过钓鱼邮件投递至用户邮箱,隐藏在邮件附件的Zip中,并伪装成Word文档默认图标,以此诱惑用户解压运行,一旦该病毒被运行,就会自我复制,设置注册表自启动项,随后收集该用户浏览器、邮件客户端、屏幕截图、记录键盘击键等信息,最后还会通过邮件回传到攻击者邮箱。目前,已知AgentTesla最新变种窃取的浏览器、邮件客户端、FTP客户端、VNC客户端包括:



由于已有国内金融企业遭到了AgentTesla最新变种的威胁,在此瑞星公司提出以下几点防范建议:


1. 不打开可疑文件。
不打开未知来源的可疑文件和邮件,防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

4. 及时安装系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减小漏洞攻击带来的影响。
最后编辑麦青儿 最后编辑于 2021-10-21 11:05:20
分享到:
gototop
 

回复: 瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

技术分析

经分析邮件携带的Zip压缩包损坏无法正常解压,庆幸的是通过其他途径得到了压缩包内的恶意软件,该恶意软件伪装成 Word文档默认图标,以此迷惑用户双击运行。


图:左侧为不完全解压的样本,右侧为找到的样本


找到的样本与不完全解压后的样本二进制比较仅中间一小部分差异,所以确认找到的样本为附件原始样本。

图:二进制比较结果


该恶意软件为NSIS 安装包文件,通过解包得到 nsi 脚本文件,分析nsi脚本文件得知该恶意软件运行后会向Temp临时目录释放td7cwwhzin、zdblefxvp.dll 文件,随后加载zdblefxvp.dll并调用其导出函数sstoikowt。

图:部分nsi脚本代码


sstoikowt导出函数解密ShellCode 通过EnumSystemCodePagesW 回调执行ShellCode。

图:zdblefxvp.dll 导出函数sstoikowt 代码


ShellCode 主要功能为读取释放到临时目录的td7cwwhzin文件并在内存中对其进行解密,创建自身挂起进程,将上面解密出来的PE注入到该挂起进程并执行。

图:打开加密后的td7cwwhzin 文件


解密出的PE通过Load 资源,在内存中执行资源中的.Net 恶意程序(AgentTesla)。

图:加载资源部分代码


AgentTesla行为分析


病毒运行后根据硬编码的相关参数该样本可以实现如下功能。
1. 首先会检查并关闭自身重复进程。

图:保证只存在一个实例


2. 创建目录,自我复制,设置隐藏、系统属性。

图:创建目录自我复制


3. 添加注册表自启动项。

图:添加注册表


4. 定时截屏,并通过硬编码的参数选择SMTP回传。

图:屏幕截图并回传


5. 窃取软件凭据包括浏览器、邮件客户端、FTP客户端、VNC客户端等。

图:窃取软件凭证详细列表


图:收集信息Collection_info


6. 回传信息支持4种方式
通过Tor匿名网络回传:

图:Tor匿名网络回传

通过电子邮件回传:
回传邮箱地址:saleseuropoXXX@yandex.com
发件箱地址:trabaXXX@ergrafica.com.ar

图:SMTP回传

通过HTTP回传:

图:HTTP回传

通过FTP回传:

图:FTP回传

设置键盘钩子记录用户按键信息。

图:设置键盘钩子

最后编辑麦青儿 最后编辑于 2021-10-21 11:08:24
gototop
 

回复:瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

顶顶,支持!
gototop
 

回复:瑞星捕获最新窃密木马 国内已有金融企业遭受攻击

看这个语法,方法结构还有一些函数,好像是java编写的木马😂
最后编辑光明圣火 最后编辑于 2021-10-21 15:39:27
gototop
 

回复 4F 光明圣火 的帖子

c#.Net  恶意程序(AgentTesla)
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT