据传,一款名为Agent Tesla的恶意软件,在10年间(起源于2014年)征战无数,搜掠了不计其数的计算机凭据信息,利用合法企业邮箱进行敏感信息渗漏转发,一时间企业终端用户无不闻风丧胆,被各大情报中心标记为超级商业间谍软件。如今,10年后的今天,经过漫长又煎熬的96小时溯源关联,渐渐拨开了它的面纱,最终确认对手是一个高度体系化商业化的间谍软件服务组织时,足以告慰奋斗的几天几夜。以下网站仅作展示,严禁访问:
调查起源是高度相似的3个钓鱼邮件Phishing攻击事件,我们关注到了其关联属性(如邮件标题),猜想是否表征同一攻击者/组织,且其究竟使用怎样的攻击技术和手段,于是开展了详细的攻击痕迹追踪。【下表已做脱敏处理,不是真实钓鱼标题】
| Fw: FW: 20% payment copy |
| RE:RE:FW:RE:FW:Payment |
| RE: PaymentConfirmation Copy |
调查过程涉及分析邮件发件域名、smtp发件源IP、正文链接、附件文件等要素,摘取关键内容展示。
水坑网站,大部分payment恶意邮件采取链接钓鱼的方式,伪装标准163网易邮件的样式诱使用户点击,其外链域名为水坑网站,攻击者会选择与被钓企业具备一定关联属性的网站进行预攻击,即合法网站失陷后被攻击者挪用进行恶意目的应用,且以“西语/葡语”地区网站为主【如autoescolalargodabatalha这么一串我们不知道是啥的东西】。
WordPress,在水坑网站中我们发现以wordpress应用居多,大部分恶意软件的资源存储位置都在远端的wp应用路径下,为什么?似乎早期wp漏洞被攻击者利用相对广泛,且常被用于恶意软件投放和扩散。本文提到的agent tesla商业间谍软件通过wp应用进行投放也是一个极其普遍的现象。【以下为相关搜索引擎截图,无其他引导意图。】
JARM hash,在发件人SMTP 源IP端口探测过程中,我们发现其搭载的SSL加密服务与攻击者控制的水坑网站JARM hash是一致的,说明攻击者控制网站后有过重新配置应用或统一应用了开源加密模块的动作,这在一定程度上佐证了邮件的恶意属性和水坑网站的失陷情况。JARM hash是根据SSL网站的通信过程特征计算出的一串模块特征值,常被用作攻击指纹,唯一标记恶意组织/工具。
可执行程序加密隐藏,钓鱼邮件中的恶意文件,不管是通过远端链接下载还是附件直接下载,均采用了pdf伪装加密、PE三层加密隐藏真实执行程序段的方式进行检测逃避。针对这些恶意样本的分析和特征字段提取,我们发现该间谍软件通过受控合法邮箱,将计算机本地凭据最终外发给[email protected]。【所以这个邮箱是啥呢?结合前面的一些截图,这个攻击组织到底来自哪里呢?】
Agent tesla间谍软件,终于一层一层拨开隐藏在钓鱼邮件背后的恶意软件,通过情报信息及软件静态分析判断其为agent tesla家族。该恶意软件商业化发达,故版本更新和加密方式更新频繁。为避免过度展示真实遇到的恶意样本特征,选取样本网站(MalwareBazaar)公开的相对较新的v4版本,【v4版本采取xor异或字符串的方式进行信息存储和转换,提到了异或运算忍不住为前面一篇文章《数学之美》打个广告】,并推荐github解密程序进行微调检验【github.com/Viuleeenz/】,后将恶意软件解密后的真实程序段内敏感信息渗漏使用的smtp配置信息进行展示。
防护增强,相信很多企业组织也曾或正在遭遇相似的间谍软件攻击,发现和锁定恶意APT组织是我们势在必行的,明确其攻击方式后我们才能有的放矢地进行防护和预警增强。
原文始发于微信公众号(道哥的谜底):A(一款)P(古老神秘的)T(间谍软件)
