Análisis de Malware Agent Tesla: Dentro de las Capacidades de Robo de Datos del RAT .NET
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Agent Tesla es un troyano de acceso remoto basado en .NET ofrecido a través de un modelo de malware como servicio y dirigido a sistemas Windows. Está diseñado para robar credenciales, información almacenada en navegadores y comunicaciones de usuario mediante capacidades como la captura de teclas y capturas de pantalla. El malware admite varios canales de exfiltración, incluidos el tráfico SMTP, FTP y HTTP enrutado a través de la red Tor.
Investigación
El artículo explica cómo opera Agent Tesla desde la entrega inicial mediante spear-phishing hasta la persistencia y el eventual robo de datos. Resalta el uso de la API SetWindowsHookEx para la captura de teclas y describe el enfoque del malware en los datos del navegador y las ubicaciones de almacenamiento de clientes de correo electrónico. El análisis también muestra cómo el malware utiliza el navegador Tor para ayudar a ocultar el tráfico de exfiltración.
Mitigación
Las organizaciones deben implementar controles de seguridad de correo electrónico robustos para bloquear archivos adjuntos maliciosos como archivos .chm y documentos con macros habilitadas. También es importante monitorear cambios no autorizados en el registro en claves Run y valores WinlogonShell . Además, bloquear métodos conocidos de exfiltración y observar actividades inusuales relacionadas con Tor en la red puede ayudar a reducir el impacto del compromiso.
Respuesta
Si se detecta Agent Tesla, aísle inmediatamente el host de Windows afectado para detener la exfiltración. Realice un análisis forense para identificar la fuente original de infección, como un correo electrónico de phishing o un archivo adjunto armado. Revise ubicaciones del registro y carpetas de inicio en busca de mecanismos de persistencia, y elimine archivos temporales o artefactos asociados con el malware.
graph TB
%% Class Definitions Section
classDef technique fill:#99ccff %% Blue color for MITRE Techniques
classDef malware fill:#ff9999 %% Red color for Malware
classDef file fill:#cccccc %% Grey color for Files and Artifacts
classDef action fill:#ccffcc %% Green color for Actions/Processes
%% Initial Access Phase
action_phishing[«<b>Técnica</b> – <b class=’technique’>T1566.001 Phishing: Adjuntos de spearphishing</b><br/><b>Descripción</b>: Correos electrónicos que contienen adjuntos maliciosos<br/>como .gz, .chm, o documentos de Word con macros.<br/>»]
class action_phishing action
file_payloads[«<b class=’file’>Adjuntos Maliciosos</b><br/><b>Tipos</b>: Archivos .gz, .chm, o documentos de Word<br/>que contienen macros.»]
class file_payloads file
action_phishing –>|entrega| file_payloads
%% Execution and Loading Phase
technique_obfuscation[«<b class=’technique’>T1027.009 Archivos o Información Ofuscada: Cargas Útiles Embebidas</b><br/><b>Descripción</b>: Scripts ofuscados usados para descargar<br/>cargas útiles adicionales.»]
class technique_obfuscation technique
malware_agent_tesla[«<b class=’malware’>Malware</b> – <b class=’malware’>Agent Tesla</b><br/><b>Descripción</b>: Ladrón de información basado en .NET<br/>cargado directamente en la memoria del sistema.»]
class malware_agent_tesla malware
technique_reflective[«<b class=’technique’>T1620 Carga de Código Reflectante</b><br/><b>Descripción</b>: Carga la carga útil final<br/>directamente en la memoria del sistema para evitar la detección en disco.»]
class technique_reflective technique
file_payloads –>|desencadena| technique_obfuscation
technique_obfuscation –>|carga_via| technique_reflective
technique_reflective –>|instancia| malware_agent_tesla
%% Reconnaissance Phase
technique_sysinfo[«<b class=’technique’>T1082 Descubrimiento de Información del Sistema</b><br/><b>Descripción</b>: Recolecta nombre de usuario, nombre de computadora,<br/>y versión del sistema operativo.»]
class technique_sysinfo technique
technique_hostinfo[«<b class=’technique’>T1592 Recolectar Información del Host de la Víctima</b><br/><b>Descripción</b>: Recolecta datos específicos sobre<br/>el host de la víctima.»]
class technique_hostinfo technique
malware_agent_tesla –>|realiza| technique_sysinfo
malware_agent_tesla –>|realiza| technique_hostinfo
%% Persistence Phase
technique_registry[«<b class=’technique’>T1547.001 Ejecución de Autostart en Arranque o Inicio de Sesión: Claves de Registro Run / Carpeta de Inicio</b><br/><b>Descripción</b>: Modificación de claves de registro de Ejecución en Windows,
Winlogon Shell, y lanzado de binarios en la carpeta de inicio.»]
class technique_registry technique
file_startup_bin[«<b class=’file’>Binario de Persistencia</b><br/><b>Ubicación</b>: Dejados en la carpeta de inicio.»]
class file_startup_bin file
malware_agent_tesla –>|establece| technique_registry
technique_registry –>|deja| file_startup_bin
%% Collection and Credential Access Phase
technique_keylogging[«<b class=’technique’>T1056.001 Captura de Entrada: Keylogging</b><br/><b>Descripción</b>: Uso de la API SetWindowsHookEx para registrar pulsaciones de teclas.»]
class technique_keylogging technique
file_log[«<b class=’file’>Archivo de Registro</b><br/><b>Ruta</b>: %temp%log.tmp»]
class file_log file
technique_cookies[«<b class=’technique’>T1539 Robo de Cookies de Sesión Web</b><br/><b>Descripción</b>: Analiza bases de datos SQLite en navegadores<br/>(Chrome, Firefox, Edge) para extraer cookies.»]
class technique_cookies technique
technique_forge[«<b class=’technique’>T1606.001 Falsificación de Credenciales Web: Cookies Web</b><br/><b>Descripción</b>: Extracción de contraseñas y datos de sesión.»]
class technique_forge technique
technique_account_disc[«<b class=’technique’>T1087 Descubrimiento de Cuentas</b><br/><b>Descripción</b>: Extracción de detalles de clientes de correo electrónico<br/>(Outlook, Thunderbird) y herramientas FTP (FileZilla).»]
class technique_account_disc technique
malware_agent_tesla –>|ejecuta| technique_keylogging
technique_keylogging –>|escribe_a| file_log
malware_agent_tesla –>|apunta_a| technique_cookies
malware_agent_tesla –>|apunta_a| technique_forge
malware_agent_tesla –>|realiza| technique_account_disc
%% Exfiltration Phase
technique_exfil_alt[«<b class=’technique’>T1048 Exfiltración a través de Protocolo Alternativo</b><br/><b>Descripción</b>: Envío de datos robados a través de SMTP, FTP, o HTTP.»]
class technique_exfil_alt technique
technique_auto_exfil[«<b class=’technique’>T1020 Exfiltración Automatizada</b><br/><b>Descripción</b>: Uso de Tor para anonimizar el tráfico de red.»]
class technique_auto_exfil technique
file_tor[«<b class=’file’>Navegador Tor</b><br/><b>Ubicación</b>: %appdata%tor.zip»]
class file_tor file
malware_agent_tesla –>|exfiltra_vía| technique_exfil_alt
malware_agent_tesla –>|utiliza| technique_auto_exfil
technique_auto_exfil –>|descarga| file_tor
Flujo de Ataque
Detecciones
Binarios/Scripts sospechosos en ubicación de autoarranque (vía evento de archivo)
Ver
Puntos de Persistencia Posibles [ASEPs – Hive de Software/NTUSER] (vía evento de registro)
Ver
Detección de Keylogging y Persistencia de Agent Tesla [Creación de Procesos de Windows]
Ver
Persistencia de Agent Tesla vía Modificación de Run Key y Winlogon Shell [Evento de Registro de Windows]
Ver
Ejecución de Simulación
Requisito previo: El Chequeo Preliminar de Línea de Base y Telemetría debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica de adversarios (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario ha ganado acceso inicial y busca establecer persistencia para mantener el acceso a la máquina de la víctima. Para simular Agent Tesla, el atacante realiza dos acciones distintas:
- Modifican la
clave HKCUSoftwareMicrosoftWindowsCurrentVersionRunpara ejecutar una carga útil maliciosa cada vez que el usuario inicie sesión. - Intentan una técnica más agresiva al modificar el
valor de registro WinlogonShell, reemplazando elexplorer.exeestándar con un ejecutable malicioso para secuestrar todo el entorno de shell del usuario. Estas acciones se eligen para probar la capacidad de detección de capturar tanto la persistencia estándar como la de alto impacto del registro.
- Modifican la
-
Script de Prueba de Regresión:
# Script de simulación para TTPs de Persistencia de Agent Tesla $maliciousPath = "C:WindowsTempagent_tesla_sim.exe" Write-Host "[*] Creando carga útil de prueba en $maliciousPath" New-Item -Path $maliciousPath -ItemType File -Force Write-Host "[*] Simulando T1547.001: Modificación de clave de ejecución" $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" New-ItemProperty -Path $runKey -Name "AgentTeslaPersistence" -Value $maliciousPath -PropertyType String -Force Write-Host "[*] Simulando T1547.014: Modificación del Shell de Winlogon" $winlogonKey = "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" New-ItemProperty -Path $winlogonKey -Name "Shell" -Value "explorer.exe, $maliciousPath" -PropertyType String -Force Write-Host "[+] Simulación completa. Revise SIEM para alertas." -
Comandos de Limpieza:
# Script de limpieza para eliminar persistencia y archivos de prueba Write-Host "[*] Limpieza de claves de registro..." Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -Name "AgentTeslaPersistence" -ErrorAction SilentlyContinue Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" -Name "Shell" -ErrorAction SilentlyContinue Write-Host "[*] Eliminando carga útil de prueba..." Remove-Item -Path "C:WindowsTempagent_tesla_sim.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa."