エージェント・テスラ・マルウェア分析：.NET RATのデータ窃盗能力に迫る

SOC Prime Team

フォローする

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

Agent Teslaは、.NETベースのリモートアクセス型トロイの木馬で、マルウェア・アズ・ア・サービスモデルを通じて提供され、Windowsシステムを対象としています。これは、キーロギングやスクリーンショット撮影などの機能を通じて、認証情報、ブラウザに保存された情報、およびユーザーの通信を盗むように設計されています。このマルウェアは、SMTP、FTP、およびTorネットワークを通じてルーティングされるHTTPトラフィックを含む、いくつかの情報流出チャネルをサポートしています。

調査

この記事は、Agent Teslaが最初のスピアフィッシング配信から持続性の確立、最終的なデータ窃盗にいたるまでどのように動作するかを説明します。 SetWindowsHookEx APIをキーログに使用し、マルウェアがブラウザデータやメールクライアントの保存場所に焦点を当てていることも述べています。この分析では、マルウェアがTorブラウザを利用して情報流出トラフィックを隠す方法も示しています。

緩和策

組織は、.chmファイルやマクロが有効なドキュメントといった悪意のある添付ファイルをブロックするための強力なメールセキュリティ対策を展開するべきです。 .chm ファイルやマクロが有効なドキュメントなどの悪意のある添付ファイルをブロックし、Runキーおよび WinlogonShell 値における無許可のレジストリ変更を監視することも重要です。さらに、既知の情報流出方法をブロックし、異常なTor関連ネットワーク活動を監視することで、侵害の影響を減らすことができます。

対応策

Agent Teslaが検出された場合、さらなる情報流出を防ぐために、影響を受けたWindowsホストを直ちに隔離します。フィッシングメールや武器化された添付ファイルなどの感染源を特定するためにフォレンジック分析を実行してください。持続性メカニズムのためにレジストリの場所とスタートアップフォルダーをレビューし、マルウェアに関連する一時ファイルやアーティファクトを削除します。

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef technique fill:#99ccff %% Blue color for MITRE Techniques classDef malware fill:#ff9999 %% Red color for Malware classDef file fill:#cccccc %% Grey color for Files and Artifacts classDef action fill:#ccffcc %% Green color for Actions/Processes %% Initial Access Phase action_phishing["Technique – T1566.001 Phishing: Spearphishing Attachment Description: Emails containing malicious attachments such as .gz, .chm, or macro-enabled Word docs."] class action_phishing action file_payloads["Malicious Attachments Types: .gz archives, .chm files, or Word documents containing macros."] class file_payloads file action_phishing –>|delivers| file_payloads %% Execution and Loading Phase technique_obfuscation["T1027.009 Obfuscated Files or Information: Embedded Payloads Description: Obfuscated scripts used to download additional payloads."] class technique_obfuscation technique malware_agent_tesla["Malware – Agent Tesla Description: .NET-based information stealer loaded directly into system memory."] class malware_agent_tesla malware technique_reflective["T1620 Reflective Code Loading Description: Loading the final payload directly into system memory to avoid disk detection."] class technique_reflective technique file_payloads –>|triggers| technique_obfuscation technique_obfuscation –>|loads_via| technique_reflective technique_reflective –>|instantiates| malware_agent_tesla %% Reconnaissance Phase technique_sysinfo["T1082 System Information Discovery Description: Collecting username, computer name, and OS version."] class technique_sysinfo technique technique_hostinfo["T1592 Gather Victim Host Information Description: Collecting specific data regarding the victim host."] class technique_hostinfo technique malware_agent_tesla –>|performs| technique_sysinfo malware_agent_tesla –>|performs| technique_hostinfo %% Persistence Phase technique_registry["T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Description: Modifying Windows Run registry keys, Winlogon Shell, and dropping binaries in Startup folder."] class technique_registry technique file_startup_bin["Persistence Binary Location: Dropped into the Startup folder."] class file_startup_bin file malware_agent_tesla –>|establishes| technique_registry technique_registry –>|drops| file_startup_bin %% Collection and Credential Access Phase technique_keylogging["T1056.001 Input Capture: Keylogging Description: Using SetWindowsHookEx API to log keystrokes."] class technique_keylogging technique file_log["Log File Path: %temp%log.tmp"] class file_log file technique_cookies["T1539 Steal Web Session Cookie Description: Parsing SQLite databases in browsers (Chrome, Firefox, Edge) to extract cookies."] class technique_cookies technique technique_forge["T1606.001 Forge Web Credentials: Web Cookies Description: Extracting passwords and session data."] class technique_forge technique technique_account_disc["T1087 Account Discovery Description: Extracting details from email clients (Outlook, Thunderbird) and FTP tools (FileZilla)."] class technique_account_disc technique malware_agent_tesla –>|executes| technique_keylogging technique_keylogging –>|writes_to| file_log malware_agent_tesla –>|targets| technique_cookies malware_agent_tesla –>|targets| technique_forge malware_agent_tesla –>|performs| technique_account_disc %% Exfiltration Phase technique_exfil_alt["T1048 Exfiltration Over Alternative Protocol Description: Sending stolen data via SMTP, FTP, or HTTP."] class technique_exfil_alt technique technique_auto_exfil["T1020 Automated Exfiltration Description: Using Tor to anonymize network traffic."] class technique_auto_exfil technique file_tor["Tor Browser Location

graph TB %% Class Definitions Section classDef technique fill:#99ccff %% MITREテクニック用ブルー classDef malware fill:#ff9999 %% マルウェア用レッド classDef file fill:#cccccc %% ファイルとアーティファクト用グレー classDef action fill:#ccffcc %% アクション/プロセス用グリーン %% 初期アクセスフェーズ action_phishing[“テクニック – T1566.001 フィッシング: スピアフィッシング添付ファイル 説明: .gz、.chm、またはマクロが有効なWordドキュメントなどの悪意のある添付ファイルを含むメール。”] class action_phishing action file_payloads[“悪意のある添付ファイル タイプ: .gzアーカイブ、.chmファイル、またはマクロを含んだWord文書。”] class file_payloads file action_phishing –>|配信する| file_payloads %% 実行とロードフェーズ technique_obfuscation[“T1027.009 隠蔽されたファイルまたは情報: 埋め込まれたペイロード 説明: 追加のペイロードをダウンロードするために使用される難読化されたスクリプト。”] class technique_obfuscation technique malware_agent_tesla[“マルウェア – Agent Tesla 説明: システムメモリに直接ロードされる.NETベースの情報窃盗マルウェア。”] class malware_agent_tesla malware technique_reflective[“T1620 反射的コードローディング 説明: ディスク検出を回避するために最終ペイロードを直接システムメモリにロード。”] class technique_reflective technique file_payloads –>|トリガーする| technique_obfuscation technique_obfuscation –>|経由でロードする| technique_reflective technique_reflective –>|インスタンス化する| malware_agent_tesla %% 偵察フェーズ technique_sysinfo[“T1082 システム情報の発見 説明: ユーザー名、コンピュータ名、OSバージョンの収集。”] class technique_sysinfo technique technique_hostinfo[“T1592 被害者ホスト情報収集 説明: 被害者ホストに関する特定のデータを収集。”] class technique_hostinfo technique malware_agent_tesla –>|実行する| technique_sysinfo malware_agent_tesla –>|実行する| technique_hostinfo %% 持続フェーズ technique_registry[“T1547.001 ブートまたはログオン自動開始実行: レジストリRunキー/スタートアップフォルダー 説明: Windows Runレジストリキーの変更、Winlogon Shell、およびスタートアップフォルダーにバイナリを配置。”] class technique_registry technique file_startup_bin[“持続性バイナリ 場所: スタートアップフォルダーに配置。”] class file_startup_bin file malware_agent_tesla –>|確立する| technique_registry technique_registry –>|ドロップする| file_startup_bin %% 収集と資格情報アクセスフェーズ technique_keylogging[“T1056.001 入力キャプチャ: キーロギング 説明: SetWindowsHookEx APIを使用してキー入力を記録。”] class technique_keylogging technique file_log[“ログファイル パス: %temp%log.tmp”] class file_log file technique_cookies[“T1539 ウェブセッションクッキーの盗難 説明: SQLiteデータベースを解析してクッキーを抽出。(Chrome, Firefox, Edge)”] class technique_cookies technique technique_forge[“T1606.001 ウェブ資格情報の偽造: ウェブクッキー 説明: パスワードとセッションデータの抽出。”] class technique_forge technique technique_account_disc[“T1087 アカウント発見 説明: メールクライアント(Outlook, Thunderbird)およびFTPツール(FileZilla)からの詳細の抽出。”] class technique_account_disc technique malware_agent_tesla –>|実行する| technique_keylogging technique_keylogging –>|書き込む| file_log malware_agent_tesla –>|ターゲットにする| technique_cookies malware_agent_tesla –>|ターゲットにする| technique_forge malware_agent_tesla –>|実行する| technique_account_disc %% 情報流出フェーズ technique_exfil_alt[“T1048 代替プロトコルによる情報流出 説明: SMTP、FTP、またはHTTPを介した盗まれたデータの送信。”] class technique_exfil_alt technique technique_auto_exfil[“T1020 自動情報流出 説明: Torを使用してネットワークトラフィックを匿名化。”] class technique_auto_exfil technique file_tor[“Torブラウザ 場所: %appdata%tor.zip”] class file_tor file malware_agent_tesla –>|経由で流出| technique_exfil_alt malware_agent_tesla –>|利用する| technique_auto_exfil technique_auto_exfil –>|ダウンロードする| file_tor

攻撃フロー

検出

自動開始の場所にある疑わしいバイナリ/スクリプト (file_event 経由)

SOC Primeチーム

2026年6月25日

表示

持続性の可能性のあるポイント [ASEPs – ソフトウェア/NTUSERハイブ] (registry_event 経由)

SOC Primeチーム

2026年6月25日

表示

Agent Teslaキーロギングと持続性検出 [Windowsプロセス作成]

SOC Prime AIルール

2026年6月25日

表示

Agent Tesla持続性のRunキーおよびWinlogon Shellの変更による検出 [Windowsレジストリエベント]

SOC Prime AIルール

2026年6月25日

表示

シミュレーション実行

前提条件: テレメトリとベースラインの事前確認が通過していること。

理由: このセクションは、検出ルールをトリガーするよう設計された敵対者のテクニック (TTP)の正確な実行を詳細に示しています。コマンドとナラティブはTTPに直接関連し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を招く可能性があります。

攻撃の説明とコマンド: 敵対者は初期アクセスを獲得し、被害者のマシンへのアクセスを維持するための持続性を確立しようとしています。Agent Teslaをシミュレートするために、攻撃者は2つの異なるアクションを行います。
1. 彼らは、以下を変更します HKCUSoftwareMicrosoftWindowsCurrentVersionRun キーを変更し、ユーザーがログインするたびに悪意のあるペイロードを実行するようにします。
2. 彼らは、標準の WinlogonShell レジストリ値を変更し、標準の explorer.exe を悪意のある実行可能ファイルに置き換えることで、ユーザーシェル環境全体をハイジャックします。これらのアクションは、標準と高影響の両方のレジストリ持続性を検出する能力をテストするために選ばれています。

リグレッションテストスクリプト:

# Agent Tesla持続性TTPsのシミュレーションスクリプト

$maliciousPath = "C:WindowsTempagent_tesla_sim.exe"
Write-Host "[*] ダミーペイロードを作成しています $maliciousPath"
New-Item -Path $maliciousPath -ItemType File -Force

Write-Host "[*] T1547.001をシミュレート: Runキーの変更"
$runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
New-ItemProperty -Path $runKey -Name "AgentTeslaPersistence" -Value $maliciousPath -PropertyType String -Force

Write-Host "[*] T1547.014をシミュレート: Winlogon Shellの変更"
$winlogonKey = "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon"
New-ItemProperty -Path $winlogonKey -Name "Shell" -Value "explorer.exe, $maliciousPath" -PropertyType String -Force

Write-Host "[+] シミュレーション完了. SIEMのアラートをチェックしてください。"

クリーンアップコマンド:

# 持続性とダミーファイルを削除するためのクリーンアップスクリプト
Write-Host "[*] レジストリキーをクリーンアップしています..."
Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -Name "AgentTeslaPersistence" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKCU:SoftwareMicrosoftWindows NTCurrentVersionWinlogon" -Name "Shell" -ErrorAction SilentlyContinue

Write-Host "[*] ダミーペイロードを削除しています..."
Remove-Item -Path "C:WindowsTempagent_tesla_sim.exe" -Force -ErrorAction SilentlyContinue

Write-Host "[+] クリーンアップ完了."

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加