Análise do Malware Agent Tesla: Dentro das Capacidades de Roubo de Dados do RAT .NET
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Agent Tesla é um trojan de acesso remoto baseado em .NET oferecido através de um modelo de malware-como-serviço e destinado a sistemas Windows. Ele é projetado para roubar credenciais, informações armazenadas no navegador e comunicações do usuário por meio de capacidades como keylogging e captura de tela. O malware suporta vários canais de exfiltração, incluindo tráfego SMTP, FTP e HTTP roteados através da rede Tor.
Investigação
O artigo explica como o Agent Tesla opera desde a entrega inicial através de spear-phishing até a persistência e eventual roubo de dados. Destaca o uso da SetWindowsHookEx API para keylogging e descreve o foco do malware em dados de navegadores e locais de armazenamento de clientes de email. A análise também mostra como o malware usa o navegador Tor para ajudar a ocultar o tráfego de exfiltração.
Mitigação
As organizações devem implementar controles de segurança de email fortes para bloquear anexos maliciosos, como arquivos .chm e documentos habilitados para macro. Monitorar alterações não autorizadas no registro nas chaves Run e valores WinlogonShell também é importante. Além disso, bloquear métodos conhecidos de exfiltração e observar atividades de rede incomuns relacionadas ao Tor pode ajudar a reduzir o impacto do comprometimento.
Resposta
Se o Agent Tesla for detectado, isole imediatamente o host Windows afetado para interromper mais exfiltrações. Realize uma análise forense para identificar a fonte original da infecção, como um e-mail de phishing ou anexo armadilhado. Revise locais do registro e pastas de inicialização em busca de mecanismos de persistência, e remova arquivos temporários ou artefatos associados ao malware.
graph TB %% Class Definitions Section classDef technique fill:#99ccff %% Blue color for MITRE Techniques classDef malware fill:#ff9999 %% Red color for Malware classDef file fill:#cccccc %% Grey color for Files and Artifacts classDef action fill:#ccffcc %% Green color for Actions/Processes %% Initial Access Phase action_phishing[“<b>Técnica</b> – <b class=’technique’>T1566.001 Phishing: Anexo de Spearphishing</b><br/><b>Descrição</b>: Emails contendo anexos maliciosos<br/>como .gz, .chm, ou documentos do Word habilitados para macro.”] class action_phishing action file_payloads[“<b class=’file’>Anexos Maliciosos</b><br/><b>Tipos</b>: Arquivos .gz, .chm ou documentos do Word<br/>contendo macros.”] class file_payloads file action_phishing –>|entrega| file_payloads %% Execution and Loading Phase technique_obfuscation[“<b class=’technique’>T1027.009 Arquivos ou Informações Ofuscadas: Cargas Embutidas</b><br/><b>Descrição</b>: Scripts ofuscados usados para baixar<br/>cargas adicionais.”] class technique_obfuscation technique malware_agent_tesla[“<b class=’malware’>Malware</b> – <b class=’malware’>Agent Tesla</b><br/><b>Descrição</b>: Ladrão de informações baseado em .NET<br/>carregado diretamente na memória do sistema.”] class malware_agent_tesla malware technique_reflective[“<b class=’technique’>T1620 Carregamento de Código Reflexivo</b><br/><b>Descrição</b>: Carregamento da carga final<br/>diretamente na memória do sistema para evitar detecção no disco.”] class technique_reflective technique file_payloads –>|aciona| technique_obfuscation technique_obfuscation –>|carrega_por| technique_reflective technique_reflective –>|instancia| malware_agent_tesla %% Reconnaissance Phase technique_sysinfo[“<b class=’technique’>T1082 Descoberta de Informações do Sistema</b><br/><b>Descrição</b>: Coletando nome de usuário, nome do computador,<br/>e versão do sistema operacional.”] class technique_sysinfo technique technique_hostinfo[“<b class=’technique’>T1592 Coleta de Informações do Host da Vítima</b><br/><b>Descrição</b>: Coletando dados específicos sobre<br/>o host da vítima.”] class technique_hostinfo technique malware_agent_tesla –>|executa| technique_sysinfo malware_agent_tesla –>|executa| technique_hostinfo %% Persistence Phase technique_registry[“<b class=’technique’>T1547.001 Execução de Boot ou Logon Autostart: Chaves de Execução do Registro / Pasta de Inicialização</b><br/><b>Descrição</b>: Modificação de chaves de execução do registro Windows,<br/>Winlogon Shell e drop de binários na pasta de Inicialização.”] class technique_registry technique file_startup_bin[“<b class=’file’>Binário de Persistência</b><br/><b>Localização</b>: Inserido na pasta de Inicialização.”] class file_startup_bin file malware_agent_tesla –>|estabelece| technique_registry technique_registry –>|insere| file_startup_bin %% Collection and Credential Access Phase technique_keylogging[“<b class=’technique’>T1056.001 Captura de Entrada: Keylogging</b><br/><b>Descrição</b>: Usando a API SetWindowsHookEx para registrar as teclas digitadas.”] class technique_keylogging technique file_log[“<b class=’file’>Arquivo de Log</b><br/><b>Caminho</b>: %temp%log.tmp”] class file_log file technique_cookies[“<b class=’technique’>T1539 Roubo de Cookie de Sessão Web</b><br/><b>Descrição</b>: Parsing de bancos de dados SQLite em navegadores<br/>(Chrome, Firefox, Edge) para extrair cookies.”] class technique_cookies technique technique_forge[“<b class=’technique’>T1606.001 Forjar Credenciais Web: Cookies Web</b><br/><b>Descrição</b>: Extraindo senhas e dados de sessão.”] class technique_forge technique technique_account_disc[“<b class=’technique’>T1087 Descoberta de Conta</b><br/><b>Descrição</b>: Extraindo detalhes de clientes de email<br/>(Outlook, Thunderbird) e ferramentas FTP (FileZilla).”] class technique_account_disc technique malware_agent_tesla –>|executa| technique_keylogging technique_keylogging –>|escreve_em| file_log malware_agent_tesla –>|alvo| technique_cookies malware_agent_tesla –>|alvo| technique_forge malware_agent_tesla –>|executa| technique_account_disc %% Exfiltration Phase technique_exfil_alt[“<b class=’technique’>T1048 Exfiltração via Protocolo Alternativo</b><br/><b>Descrição</b>: Envio de dados roubados via SMTP, FTP, ou HTTP.”] class technique_exfil_alt technique technique_auto_exfil[“<b class=’technique’>T1020 Exfiltração Automatizada</b><br/><b>Descrição</b>: Usando Tor para anonimizar o tráfego de rede.”] class technique_auto_exfil technique file_tor[“<b class=’file’>Navegador Tor</b><br/><b>Localização</b>: %appdata%tor.zip”] class file_tor file malware_agent_tesla –>|exfiltra_por| technique_exfil_alt malware_agent_tesla –>|utiliza| technique_auto_exfil technique_auto_exfil –>|baixar| file_tor
Fluxo de Ataque
Detecções
Binário / Scripts Suspeitos na Localização de Autostart (via file_event)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Detecção de Keylogging e Persistência do Agent Tesla [Criação de Processo no Windows]
Ver
Persistência do Agent Tesla via Modificação de Chave de Execução e Winlogon Shell [Evento de Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria & Baseline deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVE refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: O adversário ganhou acesso inicial e busca estabelecer a persistência para manter o acesso à máquina da vítima. Para simular o Agent Tesla, o atacante executa duas ações distintas:
- Eles modificam a chave
HKCUSoftwareMicrosoftWindowsCurrentVersionRunpara executar uma carga maliciosa toda vez que o usuário faz login. - Eles tentam uma técnica mais agressiva ao modificar o valor do registro
WinlogonShell, substituindo oexplorer.exepadrão por um executável malicioso para sequestrar todo o ambiente de shell do usuário. Essas ações são escolhidas para testar a capacidade de detecção de capturar tanto a persistência no registro padrão quanto a de alto impacto.
- Eles modificam a chave
-
Script de Teste de Regressão:
# Script de simulação para TTPs de Persistência do Agent Tesla $maliciousPath = "C:WindowsTempagent_tesla_sim.exe" Write-Host "[*] Criando carga falsa em $maliciousPath" New-Item -Path $maliciousPath -ItemType File -Force Write-Host "[*] Simulando T1547.001: Modificação de Chave de Execução" $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "AgentTeslaPersistence" -Value $maliciousPath -PropertyType String -Force Write-Host "[*] Simulando T1547.014: Modificação do Winlogon Shell" $winlogonKey = "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" New-ItemProperty -Path $winlogonKey -Name "Shell" -Value "explorer.exe, $maliciousPath" -PropertyType String -Force Write-Host "[+] Simulação completa. Verifique SIEM para alertas." -
Comandos de Limpeza:
# Script de limpeza para remover persistência e arquivos falsos Write-Host "[*] Limpando chaves de registro..." Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -Name "AgentTeslaPersistence" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" -Name "Shell" -ErrorAction SilentlyContinue Write-Host "[*] Excluindo carga falsa..." Remove-Item -Path "C:WindowsTempagent_tesla_sim.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa."