【お友達の特徴】Agent tesla-2020/4/14

本記事の説明

お友達の特徴をメモするシリーズです。

Agent Teslaとは

ブラウザとかメーラーとかの認証情報を盗む.NET製malwareです。

このmalwareは”正規のsoftware”として普通に販売されているのが特徴。

アクセスしてみたけど、誰かがドメイン買ってるだけ疑惑もある・・w

なので、多少のカスタマイズはGUIポチポチで、簡単にできるのかな?

動作も複数のパターンがあったと思う。特に自動実行とか複数パターンがあったはず。

なので、パターンの1つはこうだったよ〜程度に参考にしていただければ・・

Agent Teslaの特徴

通信

smtpでCall backするのが特徴的!

振る舞い

file作成。これは正規ファイルで、RegAsm.exe

C:\Users\user\AppData\Local\Temp\UoOfbM\UoOfbM.exe

injection

C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe

VBSのドロップと実行

'C:\Windows\System32\WScript.exe' 'C:\Users\user\ActionQueue\ActionQueue.vbs' 

# VBSの中身はこんな感じ
Set WshShell = WScript.CreateObject("WScript.Shell")..WScript.Sleep(14867)..WshShell.Run """C:\Users\user\ActionQueue\wksprt.exe"""

自身のコピー作成

C:\Users\user\ActionQueue\wksprt.exe

自動実行はなるほどって感じ。

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActionQueue.url

# 中身は以下
[InternetShortcut].URL=file:///C:/Users/user/ActionQueue/ActionQueue.vbs

レジストリも。

# Key
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
# Data
UoOfbM
# Value
C:\Users\user\AppData\Local\Temp\UoOfbM\UoOfbM.exe

標準コマンド

'netsh' wlan show profile

データ収集による一時ファイル?

C:\Users\user\AppData\Roaming\lhwcn0ls.a0t\Firefox\Profiles\bljuv18w.default\cookies.sqlite
C:\Users\user\AppData\Roaming\uirth44w.ra1\Firefox\Profiles\bljuv18w.default\cookies.sqlite

収集したデータ

C:\Users\user\AppData\Roaming\spj1l5v0.x1b.zip

# 中身はこんな感じ
PK.........u.N............#...spj1l5v0.x1b/Chrome/Default/Cookies..`.I.%&/m.{.J.J..t...`.$.@........iG#).*..eVe]f.@....{...{...;.N'...?\fd.l..J..!....?~|.?"^......^dmz....~._...5~.4.5~._.......{~-......kz..=..1......7..~._.7>.5~..._...........G...=?

設定情報かな?

{
  "Username: ": "=0A0qxyaAR",
  "URL: ": "http://OysMCylj1pBryKTY7.org",
  "To: ": "nwekeboxs@fiscalitate.eu",
  "ByHost: ": "mail.fiscalitate.eu:587",
  "Password: ": "=0A5lnyIHiWBl6W",
  "From: ": ""
}

IOC

  • mail.fiscalitate.eu
  • a7ea6c620d633cba246c2a527910e54e
  • e48ecd4f2474aa87b6a7675949532620219344b0
  • 5de0fa0f1519db06a699f201349ba211042abfeb913923245526119eb9e8a64c

外部情報

https://www.joesandbox.com/analysis/340199

https://www.virustotal.com/gui/file/5de0fa0f1519db06a699f201349ba211042abfeb913923245526119eb9e8a64c/behavior/Lastline