Analisi del Malware Agent Tesla: Esplorando le Capacità di Furto di Dati del RAT .NET
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Agent Tesla è un trojan di accesso remoto basato su .NET offerto tramite un modello malware-as-a-service e mirato ai sistemi Windows. È progettato per rubare credenziali, informazioni memorizzate nel browser e comunicazioni degli utenti tramite funzionalità come keylogging e cattura di schermate. Il malware supporta diversi canali di esfiltrazione, inclusi traffico SMTP, FTP e HTTP instradato attraverso la rete Tor.
Indagine
L’articolo spiega come Agent Tesla operi dalla consegna iniziale tramite spear-phishing fino alla persistenza e al furto di dati finale. Sottolinea l’uso dell’ API SetWindowsHookEx per il keylogging e descrive il focus del malware sui dati del browser e sulle posizioni di archiviazione del client di posta elettronica. L’analisi mostra anche come il malware utilizzi il browser Tor per aiutare a nascondere il traffico di esfiltrazione.
Mitigazione
Le organizzazioni dovrebbero implementare controlli di sicurezza delle email efficaci per bloccare allegati malevoli come i file .chm e documenti abilitati per le macro. Monitorare eventuali modifiche non autorizzate nel registro delle chiavi Run e nei valori WinlogonShell è anche importante. Inoltre, bloccare metodi di esfiltrazione noti e osservare attività di rete insolite legate a Tor può aiutare a ridurre l’impatto del compromesso.
Risposta
Se viene rilevato Agent Tesla, isolare immediatamente l’host Windows infetto per interrompere ulteriori esfiltrazioni. Eseguire un’analisi forense per identificare la fonte dell’infezione originale, come un’email di phishing o un allegato armato. Controllare le posizioni del registro e le cartelle di avvio alla ricerca di meccanismi di persistenza e rimuovere i file temporanei o gli artefatti associati al malware.
graph TB %% Class Definitions Section classDef technique fill:#99ccff %% Blue color for MITRE Techniques classDef malware fill:#ff9999 %% Red color for Malware classDef file fill:#cccccc %% Grey color for Files and Artifacts classDef action fill:#ccffcc %% Green color for Actions/Processes %% Initial Access Phase action_phishing[“<b>Tecnica</b> – <b class=’technique’>T1566.001 Phishing: Allegato Spearphishing</b><br/><b>Descrizione</b>: Email contenenti allegati malevoli<br/>come .gz, .chm, o documenti Word abilitati per le macro.”] class action_phishing action file_payloads[“<b class=’file’>Allegati Malevoli</b><br/><b>Tipi</b>: Archivi .gz, file .chm, o documenti Word<br/>contenenti macro.”] class file_payloads file action_phishing –>|consegna| file_payloads %% Execution and Loading Phase technique_obfuscation[“<b class=’technique’>T1027.009 File o Informazioni Offuscate: Payloads Incorporati</b><br/><b>Descrizione</b>: Script offuscati utilizzati per scaricare<br/>payload aggiuntivi.”] class technique_obfuscation technique malware_agent_tesla[“<b class=’malware’>Malware</b> – <b class=’malware’>Agent Tesla</b><br/><b>Descrizione</b>: Raccoglitore di informazioni basato su .NET<br/>caricato direttamente nella memoria di sistema.”] class malware_agent_tesla malware technique_reflective[“<b class=’technique’>T1620 Caricamento Riflessivo del Codice</b><br/><b>Descrizione</b>: Caricare il payload finale<br/>direttamente nella memoria di sistema per evitare il rilevamento su disco.”] class technique_reflective technique file_payloads –>|innesca| technique_obfuscation technique_obfuscation –>|carica_via| technique_reflective technique_reflective –>|instanzia| malware_agent_tesla %% Reconnaissance Phase technique_sysinfo[“<b class=’technique’>T1082 Scoperta di Informazioni di Sistema</b><br/><b>Descrizione</b>: Raccogliere nome utente, nome del computer,<br/>e versione del sistema operativo.”] class technique_sysinfo technique technique_hostinfo[“<b class=’technique’>T1592 Raccogliere Informazioni sull’Host della Vittima</b><br/><b>Descrizione</b>: Raccogliere dati specifici riguardanti<br/>l’host della vittima.”] class technique_hostinfo technique malware_agent_tesla –>|esegue| technique_sysinfo malware_agent_tesla –>|esegue| technique_hostinfo %% Persistence Phase technique_registry[“<b class=’technique’>T1547.001 Esecuzione All’Avvio o Logon: Chiavi di Run del Registro / Cartella di Avvio</b><br/><b>Descrizione</b>: Modificare le chiavi di Run del registro di Windows,<br/>Shell di Winlogon, e lasciare binari nella cartella di avvio.”] class technique_registry technique file_startup_bin[“<b class=’file’>Binario di Persistenza</b><br/><b>Località</b>: Lasciato nella cartella di avvio.”] class file_startup_bin file malware_agent_tesla –>|stabilisce| technique_registry technique_registry –>|lascia| file_startup_bin %% Collection and Credential Access Phase technique_keylogging[“<b class=’technique’>T1056.001 Cattura Input: Keylogging</b><br/><b>Descrizione</b>: Utilizzo dell’API SetWindowsHookEx per registrare le pressioni dei tasti.”] class technique_keylogging technique file_log[“<b class=’file’>File di Log</b><br/><b>Percorso</b>: %temp%log.tmp”] class file_log file technique_cookies[“<b class=’technique’>T1539 Rubare Cookie di Sessione Web</b><br/><b>Descrizione</b>: Analizzare i database SQLite nei browser<br/>(Chrome, Firefox, Edge) per estrarre cookies.”] class technique_cookies technique technique_forge[“<b class=’technique’>T1606.001 Falsificazione di Credenziali Web: Cookies Web</b><br/><b>Descrizione</b>: Estrarre password e dati di sessione.”] class technique_forge technique technique_account_disc[“<b class=’technique’>T1087 Scoperta degli Account</b><br/><b>Descrizione</b>: Estrarre dettagli dai client di posta elettronica<br/>(Outlook, Thunderbird) e strumenti FTP (FileZilla).”] class technique_account_disc technique malware_agent_tesla –>|esegue| technique_keylogging technique_keylogging –>|scrive_su| file_log malware_agent_tesla –>|prende_di_mira| technique_cookies malware_agent_tesla –>|prende_di_mira| technique_forge malware_agent_tesla –>|esegue| technique_account_disc %% Exfiltration Phase technique_exfil_alt[“<b class=’technique’>T1048 Esfiltrazione tramite Protocollo Alternativo</b><br/><b>Descrizione</b>: Inviare dati rubati via SMTP, FTP, o HTTP.”] class technique_exfil_alt technique technique_auto_exfil[“<b class=’technique’>T1020 Esfiltrazione Automatica</b><br/><b>Descrizione</b>: Utilizzare Tor per anonimizzare il traffico di rete.”] class technique_auto_exfil technique file_tor[“<b class=’file’>Tor Browser</b><br/><b>Località</b>: %appdata%tor.zip”] class file_tor file malware_agent_tesla –>|esfiltra_via| technique_exfil_alt malware_agent_tesla –>|utilizza| technique_auto_exfil technique_auto_exfil –>|scarica| file_tor
Flusso d’Attacco
Rilevamenti
Binari o Script Sospetti nell’Autostart (via file_event)
Visualizza
Punti di Persistenza Possibili [ASEPs – Hive Software/NTUSER] (via registry_event)
Visualizza
Rilevamento di Agent Tesla Keylogging e Persistenza [Creazione Processo Windows]
Visualizza
Persistenza di Agent Tesla tramite Modifica di Run Key e Shell di Winlogon [Evento di Registro di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il controllo pre-volo Telemetria e Linea Base deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO rispecchiare direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.
-
Narrazione & Comandi dell’Attacco: L’avversario ha ottenuto l’accesso iniziale e cerca di stabilire la persistenza per mantenere l’accesso alla macchina della vittima. Per simulare Agent Tesla, l’attaccante esegue due azioni distinte:
- Modificano il
HKCUSoftwareMicrosoftWindowsCurrentVersionRunchiave per eseguire un payload malevolo ogni volta che l’utente accede. - Tentano una tecnica più aggressiva modificando il valore del registro
WinlogonShell, sostituendo ilexplorer.exestandard con un eseguibile malevolo per dirottare l’intero ambiente shell utente. Queste azioni sono scelte per testare la capacità del rilevamento di catturare sia persistenza standard che ad alto impatto nel registro.
- Modificano il
-
Script di Test di Regressione:
# Script di simulazione per le TTP di Persistenza di Agent Tesla $maliciousPath = "C:WindowsTempagent_tesla_sim.exe" Write-Host "[*] Creazione di un payload fittizio in $maliciousPath" New-Item -Path $maliciousPath -ItemType File -Force Write-Host "[*] Simulazione T1547.001: Modifica Key Run" $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "AgentTeslaPersistence" -Value $maliciousPath -PropertyType String -Force Write-Host "[*] Simulazione T1547.014: Modifica Shell Winlogon" $winlogonKey = "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" New-ItemProperty -Path $winlogonKey -Name "Shell" -Value "explorer.exe, $maliciousPath" -PropertyType String -Force Write-Host "[+] Simulazione completa. Controllare SIEM per avvisi." -
Comandi di Pulizia:
# Script di pulizia per rimuovere persistenza e file fittizi Write-Host "[*] Pulizia delle chiavi di registro..." Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -Name "AgentTeslaPersistence" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" -Name "Shell" -ErrorAction SilentlyContinue Write-Host "[*] Eliminazione del payload fittizio..." Remove-Item -Path "C:WindowsTempagent_tesla_sim.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."