|
|
ASEC 分析团队最近发现 AgentTesla 正在通过恶意 VBS 进行分发,脚本文件有多个代码被多次混淆。AgentTesla 已于去年 5 月被发现,通过 Windows 帮助文件 (*.chm) 进行分发,而且其分发方式似乎在不断变化。
VBS 脚本作为电子邮件附件分发,最近,还发现了冒充韩国公司的电子邮件。
压缩文件包含 VBS,常用的文件名包括发票和提案。确认的文件名如下:
确认的 VBS 文件包含多个注释和虚拟代码。
除了多个注释和伪代码之外,底部还有一个代码负责读取当前运行的 VBS 文件中的字符串,不包括每 2 个字符
执行此代码时,注释中的字符串将被解码并执行新的脚本代码。解码后的代码包括一个混淆的 shellcode 和一个额外的 PowerShell 命令。
执行上述脚本代码时,混淆后的 shellcode 的值 "Ch8" 被保存到 HKCU\Software\Basilicae17\Vegetates。
之后,通过 PowerShell 执行 "O9" 变量的值。 "O9" 变量包含一个 PowerShell 命令,执行的命令被混淆如下所示
- powershell.exe “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <ommited> Ind5Nin3Ree#Apo;”””;;
- Function Tammy159 { param([String]$HS); For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1); } $Statice;}
- $Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
- $Ambulancetjeneste1821= Tammy159 $Quegh;
- & ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;
PowerShell 代码通过排除每 3 个字符来解码保存在 "$Quegh" 变量中的混淆值。(例如 UnsIPujEFolXInt -> IEX)
解码后的命令也被混淆了,最终执行的代码如下
之前保存在 HKCU\Software\Basilicae17\Vegetates 中的混淆后的 shellcode 在 base64 中解码并执行,执行的 shellcode 将 AgentTesla 恶意软件注入正常进程 CasPol.exe 中。AgentTesla 是一个信息窃取器,它收集用户 PC 信息,将其压缩成 CO_[用户名]/[PC 名称].zip 并通过电子邮件泄露。
使用的电子邮件信息如下
AgentTesla 是在每周统计中也很流行的恶意软件,其分发方式也在不断变化。此外,建议谨慎,因为根据 shellcode,除了 AgentTesla 之外,还可以执行各种恶意软件。
IOC
- 7fe2ed92d9306c8f0843cbb4a38f88e0
- b06081daa9bc002cd750efb65e1e932e
- eccef74de61f20a212ecbb4ead636f73
- ea202427fbe14d9a6d808b9ee911f68c
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
窥视卡
雷达卡
发表于 2022-11-1 16:38:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜