Agent Tesla Malware-Analyse: Einblick in die Datendiebstahlfähigkeiten des .NET RATS
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Agent Tesla ist ein auf .NET basierender Remote-Access-Trojaner, der als Malware-as-a-Service-Modell angeboten wird und auf Windows-Systeme abzielt. Er ist dafür ausgelegt, Anmeldedaten, im Browser gespeicherte Informationen und Benutzkommunikation durch Fähigkeiten wie Keylogging und Screenshot-Aufnahme zu stehlen. Die Malware unterstützt mehrere Exfiltrationskanäle, einschließlich SMTP-, FTP- und HTTP-Verkehr, der über das Tor-Netzwerk geleitet wird.
Untersuchung
Der Artikel erklärt, wie Agent Tesla vom anfänglichen Spear-Phishing-Versand über die Dauerhaftigkeit bis hin zum eventualem Datendiebstahl funktioniert. Er hebt die Nutzung der SetWindowsHookEx API für Keylogging hervor und beschreibt den Fokus der Malware auf Browser-Daten und Speicherorte von E-Mail-Clients. Die Analyse zeigt auch, wie die Malware den Tor-Browser verwendet, um Exfiltrationsverkehr zu verschleiern.
Minderung
Organisationen sollten starke E-Mail-Sicherheitskontrollen einführen, um bösartige Anhänge wie .chm Dateien und makrofähige Dokumente zu blockieren. Die Überwachung unautorisierter Registrierungsänderungen in Run-Schlüsseln und WinlogonShell Werte ist ebenfalls wichtig. Darüber hinaus kann das Blockieren bekannter Exfiltrationsmethoden und das Beobachten ungewöhnlicher Tor-bezogener Netzwerkaktivitäten helfen, die Auswirkungen einer Kompromittierung zu reduzieren.
Antwort
Wird Agent Tesla entdeckt, isolieren Sie sofort den betroffenen Windows-Host, um weitere Exfiltration zu verhindern. Führen Sie eine forensische Analyse durch, um die ursprüngliche Infektionsquelle zu identifizieren, z.B. eine Phishing-E-Mail oder einen präparierten Anhang. Überprüfen Sie Registrierungsorte und Startordner auf Persistenzmechanismen und entfernen Sie temporäre Dateien oder Artefakte, die mit der Malware in Verbindung stehen.
graph TB %% Class Definitions Section classDef technique fill:#99ccff %% Blue color for MITRE Techniques classDef malware fill:#ff9999 %% Red color for Malware classDef file fill:#cccccc %% Grey color for Files and Artifacts classDef action fill:#ccffcc %% Green color for Actions/Processes %% Initial Access Phase action_phishing[„<b>Technique</b> – <b class=’technique’>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Emails containing malicious attachments<br/>such as .gz, .chm, or macro-enabled Word docs.“] class action_phishing action file_payloads[„<b class=’file’>Malicious Attachments</b><br/><b>Types</b>: .gz archives, .chm files, or Word documents<br/>containing macros.“] class file_payloads file action_phishing –>|delivers| file_payloads %% Execution and Loading Phase technique_obfuscation[„<b class=’technique’>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/><b>Description</b>: Obfuscated scripts used to download<br/>additional payloads.“] class technique_obfuscation technique malware_agent_tesla[„<b class=’malware’>Malware</b> – <b class=’malware’>Agent Tesla</b><br/><b>Description</b>: .NET-based information stealer<br/>loaded directly into system memory.“] class malware_agent_tesla malware technique_reflective[„<b class=’technique’>T1620 Reflective Code Loading</b><br/><b>Description</b>: Loading the final payload<br/>directly into system memory to avoid disk detection.“] class technique_reflective technique file_payloads –>|triggers| technique_obfuscation technique_obfuscation –>|loads_via| technique_reflective technique_reflective –>|instantiates| malware_agent_tesla %% Reconnaissance Phase technique_sysinfo[„<b class=’technique’>T1082 System Information Discovery</b><br/><b>Description</b>: Collecting username, computer name,<br/>and OS version.“] class technique_sysinfo technique technique_hostinfo[„<b class=’technique’>T1592 Gather Victim Host Information</b><br/><b>Description</b>: Collecting specific data regarding<br/>the victim host.“] class technique_hostinfo technique malware_agent_tesla –>|performs| technique_sysinfo malware_agent_tesla –>|performs| technique_hostinfo %% Persistence Phase technique_registry[„<b class=’technique’>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/><b>Description</b>: Modifying Windows Run registry keys,<br/>Winlogon Shell, and dropping binaries in Startup folder.“] class technique_registry technique file_startup_bin[„<b class=’file’>Persistence Binary</b><br/><b>Location</b>: Dropped into the Startup folder.“] class file_startup_bin file malware_agent_tesla –>|establishes| technique_registry technique_registry –>|drops| file_startup_bin %% Collection and Credential Access Phase technique_keylogging[„<b class=’technique’>T1056.001 Input Capture: Keylogging</b><br/><b>Description</b>: Using SetWindowsHookEx API to log keystrokes.“] class technique_keylogging technique file_log[„<b class=’file’>Log File</b><br/><b>Path</b>: %temp%log.tmp“] class file_log file technique_cookies[„<b class=’technique’>T1539 Steal Web Session Cookie</b><br/><b>Description</b>: Parsing SQLite databases in browsers<br/>(Chrome, Firefox, Edge) to extract cookies.“] class technique_cookies technique technique_forge[„<b class=’technique’>T1606.001 Forge Web Credentials: Web Cookies</b><br/><b>Description</b>: Extracting passwords and session data.“] class technique_forge technique technique_account_disc[„<b class=’technique’>T1087 Account Discovery</b><br/><b>Description</b>: Extracting details from email clients<br/>(Outlook, Thunderbird) and FTP tools (FileZilla).“] class technique_account_disc technique malware_agent_tesla –>|executes| technique_keylogging technique_keylogging –>|writes_to| file_log malware_agent_tesla –>|targets| technique_cookies malware_agent_tesla –>|targets| technique_forge malware_agent_tesla –>|performs| technique_account_disc %% Exfiltration Phase technique_exfil_alt[„<b class=’technique’>T1048 Exfiltration Over Alternative Protocol</b><br/><b>Description</b>: Sending stolen data via SMTP, FTP, or HTTP.“] class technique_exfil_alt technique technique_auto_exfil[„<b class=’technique’>T1020 Automated Exfiltration</b><br/><b>Description</b>: Using Tor to anonymize network traffic.“] class technique_auto_exfil technique file_tor[„<b class=’file’>Tor Browser</b><br/><b>Location</b>: %appdata%tor.zip“] class file_tor file malware_agent_tesla –>|exfiltrates_via| technique_exfil_alt malware_agent_tesla –>|utilizes| technique_auto_exfil technique_auto_exfil –>|downloads| file_tor
Angriffsfluss
Erkennungen
Verdächtige Binärdateien/Skripte im Autostart-Ort (via file_event)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansicht
Agent Tesla Keylogging und Persistenzerkennung [Windows Prozesserstellung]
Ansicht
Agent Tesla Persistenz über Run Key und Winlogon Shell Modifikation [Windows Registrierungsereignis]
Ansicht
Simulationausführung
Voraussetzung: Der Telemetrie & Baseline Pre-flight Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung des gegnerischen Verfahrens (TTP), das zur Auslösung der Erkennungsregel entworfen wurde. Die Befehle und Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennung erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat anfänglichen Zugriff erlangt und sucht nach Wegen, um die Persistenz zu etablieren und den Zugriff auf die Maschine des Opfers aufrechtzuerhalten. Um Agent Tesla zu simulieren, führt der Angreifer zwei unterschiedliche Aktionen durch:
- Sie ändern den
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSchlüssel, um bei jedem Benutzerlogin ein bösartiges Payload auszuführen. - Sie versuchen eine aggressivere Technik, indem sie den
WinlogonShellRegistrierungswert ändern, um die Standardexplorer.exedurch eine bösartige ausführbare Datei zu ersetzen, um die gesamte Benutzerumgebung zu kapern. Diese Aktionen sind gewählt, um die Fähigkeit der Erkennung zu testen, sowohl Standard- als auch hochwirksame Registrierungspersistenz zu erkennen.
- Sie ändern den
-
Regressions-Testskript:
# Simulationsskript für Agent Tesla Persistenz TTPs $maliciousPath = "C:WindowsTempagent_tesla_sim.exe" Write-Host "[*] Erstelle Dummy-Payload bei $maliciousPath" New-Item -Path $maliciousPath -ItemType File -Force Write-Host "[*] Simuliere T1547.001: Run-Schlüssel modifizieren" $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "AgentTeslaPersistence" -Value $maliciousPath -PropertyType String -Force Write-Host "[*] Simuliere T1547.014: Winlogon-Shell modifizieren" $winlogonKey = "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" New-ItemProperty -Path $winlogonKey -Name "Shell" -Value "explorer.exe, $maliciousPath" -PropertyType String -Force Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnmeldungen." -
Bereinigungskommandos:
# Bereinigungsskript zum Entfernen von Persistenz und Dummy-Dateien Write-Host "[*] Säubere Registrierungsschlüssel..." Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -Name "AgentTeslaPersistence" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" -Name "Shell" -ErrorAction SilentlyContinue Write-Host "[*] Lösche Dummy-Payload..." Remove-Item -Path "C:WindowsTempagent_tesla_sim.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen."