EmnaAllegui/Agent-Tesla-Malware-analysis-FTP-data-exfiltration-
GitHub: EmnaAllegui/Agent-Tesla-Malware-analysis-FTP-data-exfiltration-
该项目是一份 Agent Tesla 恶意软件的实战分析报告,通过 PCAP 流量分析还原完整攻击链并提供 Suricata 检测规则与防御建议。
Stars: 0 | Forks: 0
# Agent-Tesla-Malware-analysis-FTP-data-exfiltration-
# 执行摘要
在 **2023年11月22日 18:36 左右**,一台内部主机通过针对西班牙语用户的钓鱼活动遭到入侵。
该电子邮件包含一个带有恶意 **VBS 脚本**的 **RAR 压缩包**。脚本一旦执行,便会获取额外的 payload,其中包括**包含隐写编码数据的 PNG 图像**,该图像被用于组装并启动 **Agent Tesla 恶意软件**。
随后,该恶意软件与 **C2 服务器**建立通信,并使用 **FTP 协议**窃取了系统信息和用户凭证。
为防止进一步被入侵,建议采取以下措施:
- 隔离主机 **DESKTOP-USER1PC**
- 配置防火墙规则以阻止以下地址的所有传入和传出流量:
- 188.114.96.3
- 51.222.104.17
- 45.138.16.176
- 终止所有活动的 FTP 会话
- 禁用账户 **me@aol.com** 并重置凭证
- 在 **DESKTOP-USER1PC** 上执行全面的系统扫描
- 强制所有使用相同凭证的服务注销
- 检查其他 FTP 用户和管理员账户是否存在被入侵的可能
## 使用的工具
- Suricata
- Wireshark
## 目标
- 构建威胁行为者画像
- 分析 PCAP 流量,以追踪 payload 投递和数据外发
- 编写涵盖整个攻击链的 Suricata 规则
- 提供防御性建议,以降低未来被入侵的可能性
## 任务
### 1. 威胁行为者画像
#### 类别:
受经济利益驱动的网络犯罪团伙或个人
#### 目标:
西班牙语用户
#### 战术 (MITRE ATT&CK):
- T1566 初始访问
- T1027 防御规避
- T1048 数据外发
#### 技术:
- T1566.001 鱼叉式钓鱼附件
- T1027.003 隐写术
- T1027.009 嵌入式 Payload
- T1027.013 加密/编码文件
- T1048.003 通过非 C2 协议 (FTP) 进行数据外发
#### 程序:
- Agent Tesla
#### OPSEC 失误:
- 缺乏用户安全意识
- 薄弱的钓鱼防范意识
#### 为什么攻击者使用合法/受损的基础设施代替 C2:
该恶意软件使用了 paste.ee、一个巴西图像托管网站以及一个被攻陷的哥伦比亚 FTP 服务器。攻击者使用合法基础设施而非 C2 的目的在于:
- 绕过安全控制
- 将基础设施隐藏在受信任的服务背后
- 降低溯源可见性
- 提高钓鱼成功率
### 2. 完整的 PCAP 分析 (Wireshark)
#### 2.1 FTP 数据流分析
对 FTP 数据的 TCP 流分析表明,Agent Tesla 恶意软件会收集信息并以 .html 文件格式将其发送到 C2 服务器,其中包含以下信息:
##### 受害者系统信息:
- 用户名:user 1
- 主机名:DESKTOP-USER1PC
- 操作系统:Microsoft Windows 8 Pro
- CPU:Intel Core i5-8500 @ 4.10GHz
- 内存:8012.93 MB
##### 凭证收集:
- 主机:https://aol.com
- 用户名:me@aol.com
- 密码:y@s3
- User-Agent:Firefox
#### 2.2 FTP 出站连接 在 FTP 会话期间,发送到 C2 服务器 51.222.104.17 的出站数据量为 1184 字节。 Agent Tesla 通常会收集以下相关信息: #### 受害者系统指纹识别 - 计算机名 - IP 信息 - Win32_BaseBoard - 序列号 - Win32_Processor - 内存 - CPU - 处理器 ID - Win32_NetworkAdapterConfiguration - MAC 地址 #### 凭证收集 - 用户名 - 密码 #### 键盘记录 #### 网页浏览 Agent Tesla 会收集敏感的浏览器信息,例如: - 浏览器登录凭证 - 浏览器历史记录 #### 电子邮件客户端数据窃取 该恶意软件会从被入侵设备的电子邮件中窃取敏感数据,包括: - 电子邮件凭证 - 邮件内容 - 联系人列表 - 邮件服务器设置 - 附件 - Cookies - 自动补全数据 - 邮件草稿
### 3.受害者详情: 受害者具有以下信息: - IP 地址:10.11.22.101 - MAC 地址:00:02:b3:6a:82:84 - 名称:DESKTOP-USER1PC - 用户账户:me@aol.com ### 4. 攻陷指标 (IOCs) #### 文件指标: - 名称:droidpedofilesbase64.txt - SHA-256:b396b8bdbcca4a62ff445c459e54f01dd87022f1d79de3471c98a95faa2b6168 - 大小:316.7 KiB #### IP 地址: - 188.114.97.3 → PNG payload 获取 - 45.138.16.176 → Base64 payload 下载 - 51.222.104.17 → FTP C2 服务器 #### URL: - http://45.138.16.176/droidpedofilesbase64.txt - https://paste.ee/ - https://uploaddeimagens.com.br/ #### 域名: - ftp.siscop.com.co - paste.ee - uploaddeimagens.com.br #### 端口: - 21 → FTP 控制通道 - 62742 → FTP 数据通道 - 80 → HTTP payload 投递 - 443 → HTTPS payload 获取
### 5. Suricata 检测规则(完整攻击链) 下方展示了一套涵盖完整攻击生命周期(初始获取、暂存和数据外发)的、可用于生产环境的完整 Suricata 规则集:
# 结论 为了缓解并加强针对 Agent Tesla 基于 FTP 数据外发的防御,需要采取以下安全措施: #### 1. 钓鱼 (T1566) #### 网络层防御控制 * 部署邮件安全网关,以检测并阻止钓鱼邮件、恶意软件和恶意附件 * 配置电子邮件身份验证协议(SPF、DKIM、DMARC),以减少电子邮件欺骗和冒充 * 使用沙箱解决方案,在执行前于隔离环境中安全地分析可疑附件 #### 主机层防御控制 * 部署端点检测与响应 (EDR) 以检测并阻止恶意文件 * 使用防病毒解决方案自动隔离可疑附件 * 开展用户意识培训,帮助用户识别钓鱼企图并避免恶意邮件 #### 2. Payload 获取 (HTTP/HTTPS) #### 网络层防御控制 * 实施带有白名单的防火墙策略,并阻止未知或可疑的 IP 地址 * 部署入侵检测与防御系统 (IDS/IPS) 以检测恶意的 HTTP/HTTPS 流量 * 使用代理过滤和 URL 过滤来阻止恶意域名,并限制 `.exe` 和 `.vbs` 文件的执行/下载 #### 主机层防御控制 * 部署 SIEM 解决方案,以关联来自多个来源的日志并检测恶意活动 * 实施端点检测与响应 (EDR) 以进行实时威胁检测 * 使用远程浏览器隔离 (RBI) 在安全环境中安全地渲染 Web 内容 #### 3. AgentTesla 执行 #### 主机层防御控制 * 使用基于行为的监控工具(如 Sysmon)来追踪进程创建、进程注入和可疑行为 * 启用攻击面减少 (ASR) 规则以阻止混淆或恶意 payload 的执行 * 部署端点检测与响应 (EDR) 以检测并阻止恶意可执行文件 #### 4. FTP 数据外发 (T1048) #### 网络层防御控制 * 实施数据丢失防御 (DLP) 以检测并阻止敏感数据外发 * 部署入侵检测与防御系统 (IDS/IPS) 以监控并阻止可疑流量 * 使用网络分段 (VLAN) 来限制横向移动并限制访问 #### 主机层防御控制 * 强制执行多因素身份验证 (MFA) 和强密码策略 * 对敏感数据进行加密并定期备份 * 使用安全替代方案(如 SFTP 或 FTPS)代替 FTP
#### 2.2 FTP 出站连接 在 FTP 会话期间,发送到 C2 服务器 51.222.104.17 的出站数据量为 1184 字节。 Agent Tesla 通常会收集以下相关信息: #### 受害者系统指纹识别 - 计算机名 - IP 信息 - Win32_BaseBoard - 序列号 - Win32_Processor - 内存 - CPU - 处理器 ID - Win32_NetworkAdapterConfiguration - MAC 地址 #### 凭证收集 - 用户名 - 密码 #### 键盘记录 #### 网页浏览 Agent Tesla 会收集敏感的浏览器信息,例如: - 浏览器登录凭证 - 浏览器历史记录 #### 电子邮件客户端数据窃取 该恶意软件会从被入侵设备的电子邮件中窃取敏感数据,包括: - 电子邮件凭证 - 邮件内容 - 联系人列表 - 邮件服务器设置 - 附件 - Cookies - 自动补全数据 - 邮件草稿
### 3.受害者详情: 受害者具有以下信息: - IP 地址:10.11.22.101 - MAC 地址:00:02:b3:6a:82:84 - 名称:DESKTOP-USER1PC - 用户账户:me@aol.com ### 4. 攻陷指标 (IOCs) #### 文件指标: - 名称:droidpedofilesbase64.txt - SHA-256:b396b8bdbcca4a62ff445c459e54f01dd87022f1d79de3471c98a95faa2b6168 - 大小:316.7 KiB #### IP 地址: - 188.114.97.3 → PNG payload 获取 - 45.138.16.176 → Base64 payload 下载 - 51.222.104.17 → FTP C2 服务器 #### URL: - http://45.138.16.176/droidpedofilesbase64.txt - https://paste.ee/ - https://uploaddeimagens.com.br/ #### 域名: - ftp.siscop.com.co - paste.ee - uploaddeimagens.com.br #### 端口: - 21 → FTP 控制通道 - 62742 → FTP 数据通道 - 80 → HTTP payload 投递 - 443 → HTTPS payload 获取
### 5. Suricata 检测规则(完整攻击链) 下方展示了一套涵盖完整攻击生命周期(初始获取、暂存和数据外发)的、可用于生产环境的完整 Suricata 规则集:
# 结论 为了缓解并加强针对 Agent Tesla 基于 FTP 数据外发的防御,需要采取以下安全措施: #### 1. 钓鱼 (T1566) #### 网络层防御控制 * 部署邮件安全网关,以检测并阻止钓鱼邮件、恶意软件和恶意附件 * 配置电子邮件身份验证协议(SPF、DKIM、DMARC),以减少电子邮件欺骗和冒充 * 使用沙箱解决方案,在执行前于隔离环境中安全地分析可疑附件 #### 主机层防御控制 * 部署端点检测与响应 (EDR) 以检测并阻止恶意文件 * 使用防病毒解决方案自动隔离可疑附件 * 开展用户意识培训,帮助用户识别钓鱼企图并避免恶意邮件 #### 2. Payload 获取 (HTTP/HTTPS) #### 网络层防御控制 * 实施带有白名单的防火墙策略,并阻止未知或可疑的 IP 地址 * 部署入侵检测与防御系统 (IDS/IPS) 以检测恶意的 HTTP/HTTPS 流量 * 使用代理过滤和 URL 过滤来阻止恶意域名,并限制 `.exe` 和 `.vbs` 文件的执行/下载 #### 主机层防御控制 * 部署 SIEM 解决方案,以关联来自多个来源的日志并检测恶意活动 * 实施端点检测与响应 (EDR) 以进行实时威胁检测 * 使用远程浏览器隔离 (RBI) 在安全环境中安全地渲染 Web 内容 #### 3. AgentTesla 执行 #### 主机层防御控制 * 使用基于行为的监控工具(如 Sysmon)来追踪进程创建、进程注入和可疑行为 * 启用攻击面减少 (ASR) 规则以阻止混淆或恶意 payload 的执行 * 部署端点检测与响应 (EDR) 以检测并阻止恶意可执行文件 #### 4. FTP 数据外发 (T1048) #### 网络层防御控制 * 实施数据丢失防御 (DLP) 以检测并阻止敏感数据外发 * 部署入侵检测与防御系统 (IDS/IPS) 以监控并阻止可疑流量 * 使用网络分段 (VLAN) 来限制横向移动并限制访问 #### 主机层防御控制 * 强制执行多因素身份验证 (MFA) 和强密码策略 * 对敏感数据进行加密并定期备份 * 使用安全替代方案(如 SFTP 或 FTPS)代替 FTP
标签:Agent Tesla, DAST, DNS 反向解析, Metaprompt, 威胁情报, 安全, 开发者工具, 恶意软件分析, 超时处理