本記事の説明
お友達の特徴をメモするシリーズです。
Agent Teslaとは
ブラウザとかメーラーとかの認証情報を盗む.NET製malwareです。
このmalwareは”正規のsoftware”として普通に販売されているのが特徴。
なので、多少のカスタマイズはGUIポチポチで、簡単にできるのかな?
動作も複数のパターンがあったと思う。特に自動実行とか複数パターンがあったはず。
なので、パターンの1つはこうだったよ〜程度に参考にしていただければ・・
Agent Teslaの特徴
通信
smtpでCall backするのが特徴的!
振る舞い
file作成。これは正規ファイルで、RegAsm.exe
C:\Users\user\AppData\Local\Temp\UoOfbM\UoOfbM.exe
injection
C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
VBSのドロップと実行
'C:\Windows\System32\WScript.exe' 'C:\Users\user\ActionQueue\ActionQueue.vbs'
# VBSの中身はこんな感じ
Set WshShell = WScript.CreateObject("WScript.Shell")..WScript.Sleep(14867)..WshShell.Run """C:\Users\user\ActionQueue\wksprt.exe"""
自身のコピー作成
C:\Users\user\ActionQueue\wksprt.exe
自動実行はなるほどって感じ。
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActionQueue.url # 中身は以下 [InternetShortcut].URL=file:///C:/Users/user/ActionQueue/ActionQueue.vbs
レジストリも。
# Key HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN # Data UoOfbM # Value C:\Users\user\AppData\Local\Temp\UoOfbM\UoOfbM.exe
標準コマンド
'netsh' wlan show profile
データ収集による一時ファイル?
C:\Users\user\AppData\Roaming\lhwcn0ls.a0t\Firefox\Profiles\bljuv18w.default\cookies.sqlite C:\Users\user\AppData\Roaming\uirth44w.ra1\Firefox\Profiles\bljuv18w.default\cookies.sqlite
収集したデータ
C:\Users\user\AppData\Roaming\spj1l5v0.x1b.zip
# 中身はこんな感じ
PK.........u.N............#...spj1l5v0.x1b/Chrome/Default/Cookies..`.I.%&/m.{.J.J..t...`.$.@........iG#).*..eVe]f.@....{...{...;.N'...?\fd.l..J..!....?~|.?"^......^dmz....~._...5~.4.5~._.......{~-......kz..=..1......7..~._.7>.5~..._...........G...=?
設定情報かな?
{
"Username: ": "=0A0qxyaAR",
"URL: ": "http://OysMCylj1pBryKTY7.org",
"To: ": "nwekeboxs@fiscalitate.eu",
"ByHost: ": "mail.fiscalitate.eu:587",
"Password: ": "=0A5lnyIHiWBl6W",
"From: ": ""
}
IOC
- mail.fiscalitate.eu
- a7ea6c620d633cba246c2a527910e54e
- e48ecd4f2474aa87b6a7675949532620219344b0
- 5de0fa0f1519db06a699f201349ba211042abfeb913923245526119eb9e8a64c