恶意样本分析系列之最新版AgentTesla的迂回加载

 

0x00 前言

在之前的文章中,我们分别分析了传统c++编写的downloader、Dropper和一些非PE的恶意样本如office宏、VBS、powershell脚本等。在本小节中,将以恶意样本的另一大巨头:C#编写的恶意样本为主题进行分析。

本次样本来源换了一个共享的平台:MalwareBazaar

与app.any.run不同的是,MalwareBazaar 仅作为恶意样本的分享平台,而不提供沙箱功能。

样本下载地址:https://bazaar.abuse.ch/sample/9e5c166ae3b79e2a145b65a06eff8ba8281f16bc799e3850df5d3f3e06ff8e30/

样本md5:3c2bae9dae662563611107803c920674

样本上传到VT的文件名:ac.exe

样本创建时间:2020-07-11 08:44:24

样本上传到VT时间: 2020-07-11 10:40:27

样本下载到本地解压,国外论坛下载的样本默认解压密码为infected

本小节中用到了许多C#的调试技巧,如果读者之从来没有接触过C#样本调试和分析,那么建议读者从阅读完0x01之后,先看0x04 0x05小节的样本调试,再看0x02和0x03小节。

 

0x01 基本信息

通过exeinfo查看样本类型:

可知该样本是C#编写的恶意样本,C#样本是基于微软的.NET framework的 有着自定义的一个结构,和我们之前分析的C++的PE有所不同,此外,C#属于解释型语言,有着一个中间语言IL。这意味着我们不能通过IDA去反编译C#所编写的程序,此时我们可以通过一个名为dnspy的工具加载样本。

dnspy加载后样本窗口如下:

样本原始的项目名称为:PtUxV

我们在任意空白处单击右键,选择转到入口点

由入口点的Application.Run(new Form1()) 代码我们可以得知,该样本是C# WinForm的应用程序

在dnspy中调试主要使用

F5 运行程序 相当于在od中使用F9
F10 单步执行 相当于在od中使用F8
F11 单步执行,会进入函数 相当于在od中使用F7
F9 设置断点 相当于在od中使用F2

 

0x02 原始样本调试

我们直接在dnspy中点击这个Form1来到Form1的代码处

可以看到,程序在Form1的实例方法中调用了this.InitializeComponent();
于是我们继续单击InitializeComponent进入到InitializeComponent函数。

然后在InitializeComponent函数的第一行的地址按下F9,设置断点

然后我们在程序中直接按下F5运行,不出意外的话就会命中在61行这个断点。

按下F5开始调试,选择不要中断:

如果选择<不要中断> 那么程序就会命中在我们设置的断点处。

我们回到dnspy中,发现程序目前还处于<运行中>的状态,并没有停留在我们的断点处。

这说明我们断点应该下错位置了。我们停止本次调试,然后重新按F5,选择中断与入口点,然后单步往下走看看是什么原因。

来到入口点之后,我们首先是F10往下走,看看到底是哪行代码让程序跑起来了,按了两次F10之后,前面的两行代码都正常运行,但是在使用F10运行Application.Run(new Form1());这个代码的时候,程序就变成了运行状态。

于是我们重新运行程序,在Application.Run(new Form1());这个地方按F11.进入到这个函数。

F11进来之后,程序会停留在163这行代码处,163行的代码只是一个简单的赋值操作,看起来没问题,于是我们F10往下走,走到166这行代码之后发现程序就变成了运行状态,说明这里的代码是关键。
我们看166这行代码,是实例化了一个私有类EXPEDIA。于是我们点到后面的EXPEDIA()方法看看程序做了什么。

在EXPEDIA类的实例方法EXPEDIA()中,只有一行代码,是调用了this.Rate();
关于Rate()的具体实现就在下面

在Rate函数中,可以看到程序是实例化了C#的程序集类Assembly用于反射加载程序。
实例化时的参数是调用当前类的CorrectMarks方法解出来的。
我们看CorrectMarks的具体实现其实很简单,首先将传进来的字符串转换成char数组,然后调用Array类的.Reverse方法将其翻转,所以CorrectMarks的功能就是将参数进行翻转。

在本实例中,可以看到传给CorrectMarks函数的字符串分别是:
ylbmessA.noitcelfeR.metsyS
daoL

由于这里字符串比较短,我们可以直接手动翻转看看是什么,也可以他通过python、C#的代码来实现
这里看起来肉眼翻转是最快的:
System.Reflection.Assembly
load

我们可以对System.Reflection.Assembly进行查询:

通过查询可以得知该方法用于反射加载资源。

程序最后加载的内容是一个base64编码的字符:
Convert.FromBase64String(EXPEDIA.CorrectMarks(ч.String1.Replace(“Д”, “A”)))

我们在这个地方设置断点,看下具体的内容是什么:

这次断点成功命中:

命中之后继续按下F10运行,下面的窗口中就会成功出现一些变量的值

其中我们需要关注的值如下:

于是直接在最后需要解码的base64字符串这里,鼠标右键然后选择赋值:

赋值之后粘贴到文本编辑器中:

我们可以直接用python解码这个base64字符并写入到文件中
python代码很简单如下:

在powershell中运行python脚本之后,当前目录下就会出现我们需要的decodeFile.bin文件

使用010Editor或者winhex打开该文件看看具体的文件内容:

通过010Editor可以看到,这里通过base64解码出来的又是一个PE文件。
那么第一个文件的功能就很明显了,就是通过实例化EXPEDIA类然后反射加载执行一个通过base64解码的PE文件。

 

0x03 解码样本分析

我们将解码出来的这个文件拿到虚拟机中进行查壳。

这个解码出来的文件还是一个.NET框架的应用程序。

所以我们还是尝试使用dnspy加载该应用程序:
解码出来的这个文件项目名称叫做:AndroidStudio.dll
在左侧的导航窗口中可以看到该文件带了一定的混淆,dnspy没有正常的识别出函数名

于是我们可以尝试通过一个名为de4dot的工具对混淆的C#代码进行解密,de4dot是github上一个开源的C#去混淆工具:https://github.com/0xd4d/de4dot

de4dot使用方法很简单,直接在de4dot.exe 所在的命令行输入de4dot.exe “待去混淆文件路径” 即可

成功去混淆之后,会在待去混淆的当前路径释放一个跟目标文件同名,但是带了cleaned标志的文件。

现在我们通过dnspy加载这个文件看看情况:
现在可以看到程序的混淆已经去掉了,正常显示了函数名:

我们这里可以看到,该程序实际上是一个C#编写的dll文件,但是dnspy是不支持调试dll的,在这种情况下,我们就需要先分析dll文件的具体功能,然后可以自己尝试编写一个C#的exe去调用这个dll文件,然后去通过dnspy去加载我们自己写的exe,这样dll文件就成功加载起来了。

所以我们来先看看这个dll文件的内容:
dll中就包含了两个类,一个GClass1和一个GClass0(均由dnspy反混淆后自动生成)

GClass0类的代码只有106行

GClass1的代码更短,看起来像是一个解密函数

回到GClass0中,阅读代码我们可以发现,在smethod_4方法中,分别对smethod_1 smethod_2 smethod_3 方法进行了调用,所以很明显,在GClass0类中,smethod_4是作为入口点执行的。(或者说被指定调用的函数)

在程序最后,可以看到程序调用了我们刚才看到的解密函数 GClass1.smethod_0对一个字符串进行了解密

由于 GClass1.smethod_0函数没有依赖,我们可以直接编写C#代码实现 GClass1.smethod_0函数,然后进行解密。

这里可以看到,解密得到了There are only two forces that unite men – fear and interest.这个字符串。
Thereareonlytwoforcesthatunitemen-fearandinterest
团结男人的力量只有两种:恐惧和兴趣.

我们继续看看程序中还有没有其他地方调用了解密函数,一并解密了:

解密得到:.Properties.Resources

于是现在的问题,就是如何把这个dll文件加载到之前的文件中执行。
我们分别对调用的这几个函数进行观察,可以发现Smethod0中有 GZipStream(memoryStream, CompressionMode.Decompress))的解压操作

然后根据Smethod4中的:
byte[] rawAssembly = GClass0.smethod_0(GClass0.smethod_1(GClass0.smethod_2(GClass0.smethod_3(string_1, string_3)), string_2));
我们可以知道中间的那些函数调用完成之后会一个压缩包数据流。
smethod_1看起来像是字符串转换

smethod_2看起来像是在操作像素

Smethod3的ResourceManager resourceManager 看起来像是在操作资源数据

于是我们使用CFF查看一下该文件的资源:

可以看到资源为空,所以这里操作的应该是原始文件的资源:

具体操作的是哪个资源呢,还记得刚才我们解密了一个.Properties.Resources,这个字符串刚好出现在了资源表中:

这里说明

  1. 这个dll文件是在原始的exe中加载在dll中运行的,且运行之后会加载原始文件的资源进行操作
  2. dll操作的资源应该是名为ZARAGOZA.TRAM.Properties.Resources的资源

这里就有点难办了,因为如果我们自己写exe去调用这个dll,但我们自己写的exe中没有这个dll要加载的资源,所以无法正常运行。我看到这个dll的代码很少 所以考虑,是否可以直接将这部分代码复制过去试试。
我们在dll文件的GClass0中的空白处鼠标右键,选择编辑类

由于这两个串我们刚才已经通过代码解密出来了,所以可以直接进行替换。

替换之后,全选这部分代码,然后粘贴到文本编辑器中:

然后回到最开始加载的exe文件的EXPEDIA类中

鼠标右键,然后选择添加类:

然后把刚才拷出来的数据粘贴到新类中,但是这里需要注意,需要手动将namespace修改为EXPEDIA类所在的namespace:ZARAGOZA.TRAM

修改之后然后点击编译,成功编译之后左边就会出现GClass0这个类

这样这里的GClass0类就是我们在dll中看到的GClass0类。

首先将Smethod4中的Thread.Sleep(33000);给删除,方便调试。

此时鼠标单击到Smethod4的代码段中,然后鼠标右键,选择编辑方法:

删除之后编译保存。

接下来我们就该回到exe中对Smethod4进行调用,这样就可以成功执行dll的代码了。

首先我们需要知道,Smethod4的方法定义为:
(string string_1, string string_2, string string_3)
根据方法定义,我们可以得知Smethod4的参数应该是三个string变量。
回到EXPEDIA类的Rate方法(我们之前中断的地方),可以看到,这里程序声明了一个object变量c,然后分别给c变量赋值,赋值之后将c作为参数传递到了assembly.GetTypes()[0].GetMethods()[3].Invoke(null, c);中

于是我们点击C4,看看到底是赋值的是什么:

我们点击过来,可以看到程序赋值的三个字符串分别是:
“ZARAGOZA.TRAM”
“dznXS”
“wQyl”
而且这里的ZARAGOZA.TRAM 刚好就是我们刚才看到的资源名的前缀,说明思路应该是正确的。
于是我们编辑 Rate类,在 Rate类中调用Smethod4方法。

出了新增类的方法,这里其实还可以直接把GClass0中的几个方法复制到EXPEDIA类中进行简单快速调用。
拷贝GClass0类上面的using依赖,和下面的函数,然后回去编辑EXPEDIA类

首先是将using的依赖拷贝过来

拷贝方法过来的时候,发现Smethod4中的调用提示有错,这里由于我们所有的方法都在当前类中,我们之前把方法调用前面的GClass0删除即可。

没有报错之后,点击编译,即可完成对EXPEDIA类的修改:

现在我们编辑Rate方法就可以直接调用Smethod4了。

编辑后的Rate方法如下:

我这里是猜测,猜测在原程序中传递给Smethod4的参数就是这里的变量c的三个字符串。
我们保存并重新调试,看看程序能不能跑起来。

回到原本的程序,设置断点然后跑过来,在调用Smethod4的时候F11进入函数

代码成功执行过来,好消息

继续F11执行到Smethod3

然后F10尝试执行完Smethod3发现触发了异常

然后程序就停止运行了,说明我们之前的参数给错了,考虑把三个参数的顺序颠倒一下重新运行:

最后发现我们后面这种参数对了,程序一次执行完,会返回一个地址。

我们在此行右键,然后选择在内存窗口中查看数据:

发现是一个PE文件

右键,保存该文件:

保存为dump.exe

dump.exe 还是一个由C#编写的程序:

 

0x04 又是一个Dropper

dump出来的原始文件还是带了混淆,同样的通过de4dot将样本去除混淆之后继续分析。
去混淆之后使用dnspy加载该样本,然后在代码区域右键->转到入口点:

我们直接F5,运行到入口点然后F10单步往下走,首先程序是通过Assembly.GetEntryAssembly().Location;获取了当前的运行路径。

然后程序通过判断一个预定义的值是否为1决定是否进行sleep
这里应该是用来做环境校验的,第一次运行的时候不用sleep,可能后面会操作判断的值,从而让程序进行sleep。

单步往下走会发现 第一次运行的时候,这几个if是都不会执行的。

然后再这里可以看到,程序会尝试获取%appdata%环境变量,然后通过Class12.string_3拿到一个string与”.exe”拼接。然后判断拼接出的路径是否存在,如果不存在则将location(当前程序)拷贝到目标路径。所以我们可以得知该函数应该是移动自身并重命名的。

成功拷贝之后,程序会调用
Class12.smethod_4(Class12.string_3, text);
这个方法:

而且我们可以看到,smethod_4方法的两个参数分别是文件名和文件路径,于是我们可以点进smethod_4看看具体实现,这里很明显的可以看到,smethod_4是创建一个计划任务,计划任务的名称就是文件名。

该函数执行之后,我们可以通过控制面板查看具体的计划任务看看:

这里可以看到,计划任务已经成功串改技能,触发条件是只要用当前账户登录系统就会触发。
触发的动作是启动当前的exe:

计划任务设置完成之后,程序就会通过判断Class12.int_0的值是否等于4来决定执行smethod8还是smethod9

在第一次运行程序的时候,会执行smethod9,进入到smethod9函数之后,程序会先调用smethod10,然后将smethod10执行后得到的返回值作为参数传递到smethod6中。这里调用smethod10的时候传递了一个int_13的参数,该参数值可以决定后面switch case执行的语句。

第一次执行时该值为0:

此时程序会获取当前程序执行的完整路径

返回之后程序会将这个路径作为参数,传递到smethod6中,然后再smethod6中调用smethod7函数。

这里我们可以看到,程序会尝试重新通过CreatePorcess程序执行string_8,在这里string_8就是上面的参数,就是当前的路径。

然后通过VirtualAlloc分配一个内存,通过WriteProcessMemory写入数据,

写入的数据又是一个PE:

继续将这个PEdump出来然后保存为dump2.exe,发现还是C#编写的exe程序。

最后程序启动新线程执行。

如果成功启动新线程,则返回True,返回回去程序执行结束。
通过分析,我们发现这一段的校验值,没有任何赋值的地方,说明这些可能是该款木马的配置信息,攻击者可以自由配置决定启动什么功能。而在本样本中,功能就是在内存中解密一个新的PE然后转到新线程去执行。

 

0x05 最终窃密分析

现在我们来分析最后dump出来的这个远控样本,在该样本的Main函数入口点,程序首先是休眠配置文件中的Delay变量的秒数。

点击Delay来到配置文件,可以看到一些其他的配置信息,通过这些变量名也可以推测得到一些有用的信息,比如证书信息、可能使用AES加密等。

包括端口、服务器、版本、安装路径、安装文件名等等:

这里虽然看起来是base64编码,但是尝试解码之后发现并不是,我们可以等下找找解密函数,批量解密这些信息。

回到Main入口点,三次1秒的sleep完成之后,程序会判断InitializeSettings是否执行成功,如果执行失败,则调用EXIT退出进程。

InitializeSettings函数内容如下:

我们可以看到,在InitializeSettings函数中,是调用了aes256类的Decrypt方法去尝试解密我们之前看到的那些值,如果解密成功则返回result,一旦有一个字符串解密失败则返回false。

这里既然是程序直接解密,我们只需要F10单步往下走即可,不需要自己再调用解密函数了。
解密之后的值如下:
Ports 6907
Hosts “giuseppe.ug,asdxcvxdfgdnbvrwe.ru”
Version 0.5.7B
Install false
MTX “AsyncMutex_6SI8OkPnk”
Pasebin null
Anti false
BDOS false
Group Default
Settings.Hwid = HwidGen.HWID(); “7B2A9DED2BB320A7B076”
Serversignature “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”
ServerCertificate:”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”

最后是进行一个hash计算,如果计算通过,则返回TRUE

函数返回之后,程序会分别去根据刚才解密出的值进行操作,比如创建一个互斥体防止多开。

创建的互斥体名就是刚才我们解密出来的MTX:”AsyncMutex_6SI8OkPnk”

互斥体创建成功之后程序会通过RunAntiAnalysis()检测是否运行在自动化的环境中

检测环境如下:

其中 DetectManufacturer是用于检测VM虚拟机

DetectDebugger是用于检测调试器
DetectSandboxie应用于检测另外一个沙盒环境。
IsSmallDisk用于检测当前的硬盘大小
IsXP用于检测是否在XP操作系统中

自动化分析环境检测完成之后,程序尝试检查安装状态

这里的安装状态应该就是是否实现了本地持久化,可以看到如果检测到未安装,则重新创建计划任务或者写入到开启自动项。

在后面还会写入一个用于删除自身的bat脚本:

最后程序会判断当前进程的执行权限:

一切检查完成之后,程序会在PreventSleep函数中调用非托管方法SetThreadExecutionState()
使得当前线程一直处于执行状态。

然后程序就会在后面设置一个永真循环,不断的调用Reconnect函数和InitalizeClient函数。从着来年各个函数所述的类名ClientSocket中我们可以得知,这里是在尝试与远程服务器建立连接。不容易呀,终于看到网络请求了。

请求的时候首先是通过,分隔符去尝试取之前解密出来的Hosts变量的值
我们查看之前解码的值可以发现,逗号分隔后有两个域名:
giuseppe.ug
asdxcvxdfgdnbvrwe.ru

我们对截取出来的域名进行查询,也可以看到一已经被打上了对应的标签信息。

这种域名的获取方式是Pastebin == “null”的情况,如果攻击者在配置文件中设置了Pastebin的值,那么程序将会以webClient.DownloadString的方式去获取请求地址:

成功获取到请求的地址之后,程序就开始配置请求信息,配置成功。程序则通过Send函数发送本机的一些基本信息

收集的信息如下

最后程序通过msgPack.Encode2Bytes();函数将收集到的信息转换成字节流方便传输。

此外,程序还有许多的功能,可在左侧的树状结构中查看,由于篇幅原因,这里就不全部产开分析啦,有兴趣的小伙伴可以尝试分析分析。

 

0x06 总结

本次分析的是AgentTesla的一个新样本,AgentTesla是一个老牌的商业窃密马。在本次的样本分析中,也可以看到他们使用了非常多的嵌套加载的技术,并且在分析后面两个木马的时候,可以发现该款木马可以通过配置文件灵活的更改自身的功能。
最后,希望有读者可以从本文中学习到一些C#样本的调试方法,有对威胁情报、样本分析感兴趣的朋友欢迎留言或者添加我的微信交流: -yousaysayyou-

(完)