Аналіз шкідливого ПЗ Agent Tesla: дослідження можливостей крадіжки даних .NET RAT

Резюме

Agent Tesla — це троян для віддаленого управління, заснований на .NET, який пропонується через модель шкідливого ПЗ як послуга і націлений на системи Windows. Він призначений для викрадення облікових даних, інформації, збереженої в браузерах, і користувацьких комунікацій через можливості, такі як кейлогінг і зняття знімків екрана. Шкідливе ПЗ підтримує кілька каналів ексфільтрації, включаючи SMTP, FTP і HTTP трафік, направлений через мережу Tor.

Дослідження

Стаття пояснює, як працює Agent Tesla від початкової доставки фішинговими атаками до стійкості та кінцевого викрадення даних. Вона підкреслює використання SetWindowsHookEx API для кейлогінгу та описує зосередженість шкідливого ПЗ на даних браузерів і зонах зберігання поштових клієнтів. Аналіз також показує, як шкідливе ПЗ використовує браузер Tor для маскування трафіку ексфільтрації.

Захист

Організації повинні розгорнути потужний контроль безпеки електронної пошти для блокування шкідливих вкладень, таких як .chm файли та документи з макросами. Важливо також здійснювати моніторинг несанкціонованих змін у реєстрі в ключах Run і WinlogonShell значеннях. Крім того, блокування відомих методів ексфільтрації та спостереження за нетиповою активністю в мережі Tor може зменшити значення компрометації.

Відповідь

Якщо Agent Tesla буде виявлено, негайно ізолюйте постраждалий хост Windows, щоб припинити подальшу ексфільтрацію. Проведіть судово-медичний аналіз для виявлення виходу початкової інфекції, наприклад, фішингового листа або атакованого вкладення. Перевірте розташування реєстру і папки автозавантаження на наявність механізмів стійкості і видаліть тимчасові файли або артефакти, пов’язані з шкідливим ПЗ.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef technique fill:#99ccff %% Blue color for MITRE Techniques classDef malware fill:#ff9999 %% Red color for Malware classDef file fill:#cccccc %% Grey color for Files and Artifacts classDef action fill:#ccffcc %% Green color for Actions/Processes %% Initial Access Phase action_phishing["<b>Technique</b> – <b class='technique'>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Emails containing malicious attachments<br/>such as .gz, .chm, or macro-enabled Word docs."] class action_phishing action file_payloads["<b class='file'>Malicious Attachments</b><br/><b>Types</b>: .gz archives, .chm files, or Word documents<br/>containing macros."] class file_payloads file action_phishing –>|delivers| file_payloads %% Execution and Loading Phase technique_obfuscation["<b class='technique'>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/><b>Description</b>: Obfuscated scripts used to download<br/>additional payloads."] class technique_obfuscation technique malware_agent_tesla["<b class='malware'>Malware</b> – <b class='malware'>Agent Tesla</b><br/><b>Description</b>: .NET-based information stealer<br/>loaded directly into system memory."] class malware_agent_tesla malware technique_reflective["<b class='technique'>T1620 Reflective Code Loading</b><br/><b>Description</b>: Loading the final payload<br/>directly into system memory to avoid disk detection."] class technique_reflective technique file_payloads –>|triggers| technique_obfuscation technique_obfuscation –>|loads_via| technique_reflective technique_reflective –>|instantiates| malware_agent_tesla %% Reconnaissance Phase technique_sysinfo["<b class='technique'>T1082 System Information Discovery</b><br/><b>Description</b>: Collecting username, computer name,<br/>and OS version."] class technique_sysinfo technique technique_hostinfo["<b class='technique'>T1592 Gather Victim Host Information</b><br/><b>Description</b>: Collecting specific data regarding<br/>the victim host."] class technique_hostinfo technique malware_agent_tesla –>|performs| technique_sysinfo malware_agent_tesla –>|performs| technique_hostinfo %% Persistence Phase technique_registry["<b class='technique'>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/><b>Description</b>: Modifying Windows Run registry keys,<br/>Winlogon Shell, and dropping binaries in Startup folder."] class technique_registry technique file_startup_bin["<b class='file'>Persistence Binary</b><br/><b>Location</b>: Dropped into the Startup folder."] class file_startup_bin file malware_agent_tesla –>|establishes| technique_registry technique_registry –>|drops| file_startup_bin %% Collection and Credential Access Phase technique_keylogging["<b class='technique'>T1056.001 Input Capture: Keylogging</b><br/><b>Description</b>: Using SetWindowsHookEx API to log keystrokes."] class technique_keylogging technique file_log["<b class='file'>Log File</b><br/><b>Path</b>: %temp%log.tmp"] class file_log file technique_cookies["<b class='technique'>T1539 Steal Web Session Cookie</b><br/><b>Description</b>: Parsing SQLite databases in browsers<br/>(Chrome, Firefox, Edge) to extract cookies."] class technique_cookies technique technique_forge["<b class='technique'>T1606.001 Forge Web Credentials: Web Cookies</b><br/><b>Description</b>: Extracting passwords and session data."] class technique_forge technique technique_account_disc["<b class='technique'>T1087 Account Discovery</b><br/><b>Description</b>: Extracting details from email clients<br/>(Outlook, Thunderbird) and FTP tools (FileZilla)."] class technique_account_disc technique malware_agent_tesla –>|executes| technique_keylogging technique_keylogging –>|writes_to| file_log malware_agent_tesla –>|targets| technique_cookies malware_agent_tesla –>|targets| technique_forge malware_agent_tesla –>|performs| technique_account_disc %% Exfiltration Phase technique_exfil_alt["<b class='technique'>T1048 Exfiltration Over Alternative Protocol</b><br/><b>Description</b>: Sending stolen data via SMTP, FTP, or HTTP."] class technique_exfil_alt technique technique_auto_exfil["<b class='technique'>T1020 Automated Exfiltration</b><br/><b>Description</b>: Using Tor to anonymize network traffic."] class technique_auto_exfil technique file_tor["<b class='file'>Tor Browser</b><br/><b>Location

графік TB %% Розділ визначення класів classDef technique fill:#99ccff %% Синій колір для MITRE Технік classDef malware fill:#ff9999 %% Червоний колір для Шкідливого ПЗ classDef file fill:#cccccc %% Сірий колір для Файлів та Артефактів classDef action fill:#ccffcc %% Зелений колір для Дій/Процесів %% Фаза початкового доступу action_phishing[“<b>Техніка</b> – <b class=’technique’>T1566.001 Фішинг: Фішинг з вкладенням</b><br/><b>Опис</b>: Листи, що містять шкідливі вкладення<br/>такі як .gz, .chm або документи Word з макросами.”] class action_phishing action file_payloads[“<b class=’file’>Шкідливі Вкладення</b><br/><b>Типи</b>: .gz архіви, .chm файли, або документи Word<br/>що містять макроси.”] class file_payloads file action_phishing –>|доставляє| file_payloads %% Фаза виконання та завантаження technique_obfuscation[“<b class=’technique’>T1027.009 Обфусцьовані файли чи інформація: Вбудовані завантаження</b><br/><b>Опис</b>: Обфусцьовані скрипти, що використовуються для завантаження<br/>додаткових завантажень.”] class technique_obfuscation technique malware_agent_tesla[“<b class=’malware’>Шкідливе ПЗ</b> – <b class=’malware’>Agent Tesla</b><br/><b>Опис</b>: Інформаційний крадій на основі .NET<br/>завантажений безпосередньо в оперативну пам’ять системи.”] class malware_agent_tesla malware technique_reflective[“<b class=’technique’>T1620 Рефлективне завантаження коду</b><br/><b>Опис</b>: Завантаження кінцевого завантажувача<br/>безпосередньо в оперативну пам’ять, щоб уникнути виявлення на диску.”] class technique_reflective technique file_payloads –>|тригерує| technique_obfuscation technique_obfuscation –>|завантажує через| technique_reflective technique_reflective –>|івантажує| malware_agent_tesla %% Фаза розвідки technique_sysinfo[“<b class=’technique’>T1082 Виявлення системної інформації</b><br/><b>Опис</b>: Збір імені користувача, імені комп’ютера,<br/>та версії ОС.”] class technique_sysinfo technique technique_hostinfo[“<b class=’technique’>T1592 Збір інформації про хост жертви</b><br/><b>Опис</b>: Збір конкретних даних про<br/>хост жертви.”] class technique_hostinfo technique malware_agent_tesla –>|виконує| technique_sysinfo malware_agent_tesla –>|виконує| technique_hostinfo %% Фаза стійкості technique_registry[“<b class=’technique’>T1547.001 Запуск в автозавантаженні: Ключі Реєстру та Папка Автозавантаження</b><br/><b>Опис</b>: Зміна ключів реєстру Windows Run,<br/>Winlogon Shell та збереження бінарних файлів у папці Автозавантаження.”] class technique_registry technique file_startup_bin[“<b class=’file’>Бінарний файл для стійкості</b><br/><b>Розташування</b>: Збережено у папці Автозавантаження.”] class file_startup_bin file malware_agent_tesla –>|встановлює| technique_registry technique_registry –>|зберігає| file_startup_bin %% Фаза збору та доступу до облікових даних technique_keylogging[“<b class=’technique’>T1056.001 Захоплення вводу: Кейлогінг</b><br/><b>Опис</b>: Використання API SetWindowsHookEx для фіксації натискань клавіш.”] class technique_keylogging technique file_log[“<b class=’file’>Файл журналу</b><br/><b>Шлях</b>: %temp%log.tmp”] class file_log file technique_cookies[“<b class=’technique’>T1539 Викрадення файлів cookie веб-сеансів</b><br/><b>Опис</b>: Парсинг баз даних SQLite у браузерах<br/>(Chrome, Firefox, Edge) для вилучення cookie.”] class technique_cookies technique technique_forge[“<b class=’technique’>T1606.001 Підробка веб-облікових даних: Веб-файли cookie</b><br/><b>Опис</b>: Вилучення паролів та даних сесії.”] class technique_forge technique technique_account_disc[“<b class=’technique’>T1087 Виявлення облікових записів</b><br/><b>Опис</b>: Вилучення деталей з поштових клієнтів<br/>(Outlook, Thunderbird) та FTP-інструментів (FileZilla).”] class technique_account_disc technique malware_agent_tesla –>|виконує| technique_keylogging technique_keylogging –>|пише у| file_log malware_agent_tesla –>|цілить у| technique_cookies malware_agent_tesla –>|цілить у| technique_forge malware_agent_tesla –>|виконує| technique_account_disc %% Фаза ексфільтрації technique_exfil_alt[“<b class=’technique’>T1048 Ексфільтрація через альтернативний протокол</b><br/><b>Опис</b>: Надсилання вкрадених даних через SMTP, FTP або HTTP.”] class technique_exfil_alt technique technique_auto_exfil[“<b class=’technique’>T1020 Автоматизована ексфільтрація</b><br/><b>Опис</b>: Використання Tor для анонімізації мережевого трафіку.”] class technique_auto_exfil technique file_tor[“<b class=’file’>Tor Браузер</b><br/><b>Розташування</b>: %appdata%tor.zip”] class file_tor file malware_agent_tesla –>|ексфільтрує через| technique_exfil_alt malware_agent_tesla –>|використовує| technique_auto_exfil technique_auto_exfil –>|завантажує| file_tor

Потік Атак