欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

警惕AGENTTESLA商业键盘记录器新型变种

来源:本站整理 作者:佚名 时间:2018-05-09 TAG: 我要投稿

一、概述
近日,安天CERT(安全研究与应急处理中心)发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器,记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今,Agent Tesla的开发者为其添加了更多的功能,使其从一个简单的键盘记录器变成了一个具有多种功能的商业键盘记录器。Agent Tesla会监控并收集受害者的键盘输入、剪贴板内容、屏幕截图信息以及受害主机上已安装的各种软件的凭据并采用HTTP POST的方式回传数据。当前,Agent Tesla已在互联网上贩卖,有被滥用的风险和趋势。
此次发现的Agent Tesla新型变种与之前的版本功能类似,只是回传数据的方式有所改变,增加了另外两种回传数据的方式,一种是使用SMTP协议,将收集到的数据发送到攻击者的电子邮箱;另外一种是将数据传送到FTP服务器上。但经分析后发现,虽然Agent Tesla新型变种提供了三种回传数据的方式,但只使用了邮件来回传数据,其他两种通信方式则未曾使用。
Agent Tesla新型变种的主要攻击形式为钓鱼邮件,邮件附件中包含内嵌了恶意软件的Word文档。当用户打开文件后,便会被诱导双击文档中的蓝色图标,一旦用户双击图标,便释放出了恶意软件。Agent Tesla新型变种威胁着个人与企业的信息、财产安全,用户应加强防范意识,减少被攻击的概率。
经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对Agent Tesla新型变种以及早期各种变种的有效防御。
二、事件样本分析
2.1 样本关系

图2- 1 样本关系
本次捕获到的样本为Word文档,打开Word文档后,显示“DOUBLE CLICK TO ENABLE CLEAR VIEW”,提示用户如果想要获取更清晰的视图就要双击这个图标,以此来诱惑用户双击运行恶意程序。

图2- 2 恶意文档图示
当用户双击时,会调用UpdatedPO.exe文件,该文件为可执行程序,其执行便开始了恶意代码的启动,并导致最终执行具有核心功能的恶意代码No-name2.exe(详细过程见图2-1)。本报告后续分析主要针对No-name2.exe进行。

图2- 3 双击蓝色图标后询问是否运行程序
2.2 样本标签

表 2 1 Word文档
2.3 样本功能
No-name2.exe是一个经过代码混淆处理的.Net程序。其可以记录受害主机的键盘输入、窃取剪贴板数据,捕捉受害主机屏幕截图,从受害主机摄像头获取文件,收集受害主机信息和收集已安装软件的凭据,并将以上信息全部发送给攻击者。
No-name2.exe运行后会结束系统中与自身重复的进程,然后判断受害主机系统是否为Windows7、Windows8、Windows10中的一个,以及UAC是否是开启的。若符合上述条件,则设置EnableLUA的值为0,即禁用“administrator in Admin Approval Mode”。

图2- 4判断受害主机系统是否开启了UAC
No-name2.exe向C2服务器发送卸载命令,若服务器响应的数据中包含“uninstall”字符串,则程序会删除它在计算机上写入的信息并退出。接着程序向C2服务器发送更新命令。

图2- 5发送卸载指令

图2- 6 发送更新指令
No-name2.exe会判断当前程序是否为%appdata%\DaVita Inc\DaVita Inc.exe,若该文件夹以及文件不存在,则创建该文件夹并将当前程序复制到DaVita Inc.exe,并将文件属性设置为隐藏。设置DaVita Inc.exe为开机自启动。

图2- 7 判断当前运行文件是否为DaVita Inc.exe
No-name2.exe程序在记录键盘输入时,先获取受害主机的Windows标题并将其放入一段html代码中,然后捕捉受害者的按键,并将受害者的按键转换为html代码。

图2- 8 窃取键盘数据内容
受害者每次更改剪贴板内容时,No-name2.exe程序便捕获剪贴板内容,然后将收集到的数据存入一段html代码中。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载