thatboringbro/malware-analysis-agent-tesla

GitHub: thatboringbro/malware-analysis-agent-tesla

该报告记录了一次针对 Agent Tesla 变种恶意软件的完整取证分析,涵盖静态分析、行为分析和端点事件响应全过程。

Stars: 0 | Forks: 0

# 🦠 恶意软件分析报告:Agent Tesla 变种 ## 🏢 执行摘要 * Northbridge Financial Services 收到了一条紧急的 Endpoint Detection and Response (EDR) 警报,称在信贷部门的一台企业工作站上发现了一个未知的可执行文件。 * 主要目标是利用静态分析、行为分析和端点取证调查,确定该可疑文件的性质与影响。 * 该恶意软件被鉴定为 Agent Tesla 的一个变种,这是一种基于 .NET 的窃密器 和键盘记录器。 * 该威胁实现了对主机的完全控制、权限提升,并确认已将数据渗出到攻击者控制的基础设施。 ## 🔬 静态分析 ### 文件属性与哈希值 * **原始文件名:** `Emeka.exe`。 * **执行路径:** `C:\Users\admin\AppData\Local\Temp\Oabb52b3e0c08d5e3713747746b019692a05c5ab8783fd99b1300f11ea59b1c9.exe`。 * **MD5:** `059BB09924B0D8CB7A8CFFB72FD0BB03`。 * **SHA256:** `0ABB52B3E0C08D5E3713747746B019692A05C5AB8783FD99B1300F11EA59B1C9`。 * **架构:** 编译为 Intel 80386 架构的 PE32 可执行文件 (GUI),作为 32 位 Mono/.NET 程序集运行。 * **数字签名:** 该文件完全未签名,缺乏有效的数字证书。 ![Detect It Easy 文件类型](/images/detect-it-easy-malware-file-type.png) *图 1:Detect-It-Easy 确认了 PE32 文件架构和 .NET 依赖项。* ### 伪装与行为上下文 * 初始元数据被用作社会工程学诱饵,伪装成备份/恢复实用程序,其描述声称“减少备份恢复时间和成本,以降低对用户的影响”。 ![PEStudio 恶意软件描述](/images/pestudio-application-description-pretending-to-be-a-backup-tool.png) *图 2:PEStudio 揭示了嵌入的社会工程学元数据。* * 恶意软件释放了一个次要的持久化文件,通过模仿名为 `Oxford Health Plans Inc.exe` 的医疗保健行业软件,来逃避管理审查。 ## ⚙️ 行为分析 ### 进程执行与权限提升 * 样本最初由 Windows Explorer 进程(`explorer.exe`,PID 6484)启动。 * 恶意软件通过劫持 `eventvwr.msc` 注册表处理器(专门修改 `mscfile\shell\open\command`),成功执行了 User Account Control (UAC) 绕过。 ![ANY.RUN 权限提升](/images/anyrun-malware-priv-esc-via-event-viewer.png) *图 3:ANY.RUN 进程树显示恶意软件利用 eventvwr.exe 进行权限提升。* * 这使得生成的进程能够从 MEDIUM 提升到 HIGH 完整性级别。 * 它利用 "Run" 注册表项(`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`)建立持久化,以确保释放到 `AppData\Roaming` 中的二进制文件在每次用户登录时执行。 ![ANY.RUN 注册表持久化](/images/anyrun-malware-changing-value-of-registry-run-key.png) *图 4:恶意软件主动修改注册表中的 Run 键以在重启后存活。* ### 网络通信与数据渗出 * **IP 发现:** 恶意软件执行了初始 GET 请求,查询 `checkip.dyndns.org` (IP: 132.226.8[.]169) 以验证受害者的外部 IP 地址。 * **命令与控制 (C2):** DNS 请求解析了恶意 C2 域名 `tonishl.ml` (IP: 49.13.77[.]253)。 * **数据渗出:** 渗出是通过使用 .NET User Agent 向基于 PHP 的后端发送编码后的 HTTP POST payload 实现的。 ![Wireshark HTTP 渗出](/images/wireshark-malicious-encoded-exfil-to-a-php-based-c2.png) *图 5:Wireshark 数据包捕获显示了向攻击者 C2 发送恶意 HTTP POST 渗出的过程。* ## 🔍 事件响应 (端点分析) * 虚拟机被置于 Host-Only 模式,并从物理上断开了互联网连接,以安全地验证 payload 行为。 ![为 FakeNet 禁用 Windows Defender](/images/disabling-windows-defender-firewall-to-allow-fakenet-work,.png) *图 6:在隔离环境中安全地卸载主机防御,以允许 FakeNet 捕获路由。* * 使用 FireEye Redline 进行进程审计,观察到在 `unattended` 用户配置文件下 payload 的执行情况。 ![Redline 进程执行](/images/redline-malware-details.png) *图 7:FireEye Redline 捕获内存中的恶意软件执行情况。* * FakeNet 成功拦截了出站信标,确认了恶意软件尝试解析外部基础设施以进行动态 IP 检查和 C2 渗出。 ## 🗺️ MITRE ATT&CK 映射 | 战术 | 技术 | 检测 / 观察 | | :--- | :--- | :--- | | **Discovery** | T1012 - Query Registry | 从注册表中读取机器 GUID。 | | **Discovery** | T1016 - System Network Configuration Discovery | 检查外部 IP 地址。 | | **Credential Access** | T1056.001 - Keylogging | 检测到 AGENTTESLA 作为键盘记录器。 | | **Credential Access** | T1555.003 - Credentials from Web Browsers | 窃取 Web 浏览器凭据。 | | **Persistence** | T1547.001 - Registry Run Keys / Startup Folder | 更改注册表中的自动运行值。 | | **Defense Evasion** | T1562.001 - Impair Defenses | 禁用跟踪日志并修改 `Microsoft\Tracing` 注册表键。 | | **Execution** | T1059.001 - PowerShell | 观察到 Base64 编码的 PowerShell 执行指标。 | | **Command and Control** | T1071.001 - Application Layer Protocol: Web Protocols | 向可疑的 `*.ml` 域名发送 HTTP POST 请求。 | ## 📉 业务影响分析 * **机密性 (严重):** 恶意软件的主要功能是窃取数据,成功渗出了键盘击键记录、Web 浏览器凭据、邮件配置和 FTP 登录信息。 * **完整性 (高):** 恶意软件绕过了 UAC,提升至 HIGH 完整性,并修改了关键的系统注册表键,导致该主机完全不可信。 * **可用性 (低):** 系统可用性基本未受影响,因为该恶意软件旨在隐蔽运行,不具备破坏性的擦除功能。 ## 🛡️ 遏制、根除与修复 * **主机隔离:** 必须从物理和逻辑上将受影响的工作站与 Northbridge 企业网络隔离。 * **网络边界封锁:** SOC 必须在防火墙、Web 代理和 DNS sinkhole 中将恶意 IP (`49.13.77[.]253`) 和域名 (`tonishl[.]ml`) 加入黑名单。 * **强制重置凭据:** 必须立即强制重置 Active Directory、电子邮件、VPN 以及任何第三方门户的密码。 * **系统重镜像:** 必须彻底擦除主机,并从已知的良好基准配置进行重镜像。 ## 联系方式 如需提出有关此项目的问题与合作,请通过以下链接在 LinkedIn 或 X(原 Twitter)上联系我: * X(原 Twitter):[thatboringbro](www.x.com/thatboringbro) * LinkedIn:[Gbolahan Joel Adeoye](https://ng.linkedin.com/in/gbolahan-joel-adeoye-0551bb2a1)
标签:Agent Tesla, DAST, HTTP工具, 云资产清单, 多人体追踪, 威胁情报, 安全报告, 开发者工具, 恶意软件分析, 逆向工程