警惕利用Office漏洞传播商业间谍软件AgentTesla

栏目: 编程工具 · 发布时间: 5年前

内容简介:背景概述AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播AgentTesla窃取信息的恶意样本,并对其攻击过程进行了详细分析。

背景概述

AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。

AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播AgentTesla窃取信息的恶意样本,并对其攻击过程进行了详细分析。

详细分析

CVE-2017-11882

1.使用 工具 监控文件行为,查看到运行文档后系统拉起了eqnedt32.exe进程,并且通过抓包捕获到下载EXE文件的流量,由此判断是利用CVE-2017-11882执行恶意代码:

警惕利用Office漏洞传播商业间谍软件AgentTesla

2.通过附加调试器,在Kernel32!WinExec下断点,查看寄存器值,找到运行了"C:\Users\root\AppData\Roaming\Adobe.exe"的命令,与捕获到的流量信息相结合判断,恶意代码应是下载文件保存到本地然后运行,推断使用了URLDownloadToFile相关API:

警惕利用Office漏洞传播商业间谍软件AgentTesla

3.附加调试器对网络相关API下断调试,但程序并没有断下,于是在eqnedt32.exe造成溢出的函数处下断,单步调试到ret覆盖的返回地址,执行恶意代码:

警惕利用Office漏洞传播商业间谍软件AgentTesla

4.恶意代码先对内存进行解密操作,图中是解密前后对比,可以直观的看到所使用的字符串信息,通过动态获取API地址,调用URLDownloadToFileW下载文件,再通过WinExec运行:

警惕利用Office漏洞传播商业间谍软件AgentTesla

警惕利用Office漏洞传播商业间谍软件AgentTesla

AgentTesla

1. AgentTesla是用.Net框架编写的键盘记录器,使用反编译工具查看代码,自定义函数名都进行了混淆,但使用的API和关键字符串仍然是明文的,可以看到进行键击记录的代码:

警惕利用Office漏洞传播商业间谍软件AgentTesla

2.除了键盘记录以外,还会通过读取注册表键值来获取主机信息:

警惕利用Office漏洞传播商业间谍软件AgentTesla

3.使用DES算法加密所要发送的数据:

警惕利用Office漏洞传播商业间谍软件AgentTesla

4.有三种可选的方式将窃取到的数据上传至远程C&C端:

通过FTP上传:

警惕利用Office漏洞传播商业间谍软件AgentTesla

通过SMTP上传:

警惕利用Office漏洞传播商业间谍软件AgentTesla

通过HTTP上传:

警惕利用Office漏洞传播商业间谍软件AgentTesla

5. AgentTesla的资源中内嵌了一个DLL文件,名为IELibrary.dll,是一个用于实现浏览器操作的DLL文件,在AgentTesla中定义了需要窃取信息的浏览器及网络套件名称,这是在使用控制端生成恶意程序时的可选项:

警惕利用Office漏洞传播商业间谍软件AgentTesla

6. IELibrary.dll主要针对浏览器进行信息收集和操作,包括历史记录的增删查:

警惕利用Office漏洞传播商业间谍软件AgentTesla

窃取密码及cookie:

警惕利用Office漏洞传播商业间谍软件AgentTesla

解决方案

病毒防御

1、不从不明网站下载软件,不要点击来源不明的邮件附件,不随意启用宏;

2、下载补丁修补CVE-2017-11882:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

3、开启Windows Update功能,定期对系统进行自动更新;

4、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果;

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

分布式算法导论

分布式算法导论

特尔 (Gerard Tel) / 电子工业出版社 / 2003-7 / 59.00

《分布式算法导论(第2版)(英文版)》由电子工业出版社出版。一起来看看 《分布式算法导论》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

SHA 加密
SHA 加密

SHA 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试