警惕Agent Tesla商業鍵盤記錄器新型變種

1.概述

近日，安天CERT（安全研究與應急處理中心）發現了Agent Tesla商業鍵盤記錄器的新型變種。Agent Tesla原本只是個簡單的鍵盤記錄器，記錄用戶的每一次按鍵並回傳至攻擊者伺服器。自2014年發展至今，Agent Tesla的開發者為其添加了更多的功能，使其從一個簡單的鍵盤記錄器變成了一個具有多種功能的商業鍵盤記錄器。Agent Tesla會監控並收集受害者的鍵盤輸入、剪貼板內容、屏幕截圖信息以及受害主機上已安裝的各種軟體的憑據並採用HTTP POST的方式回傳數據。當前，Agent Tesla已在互聯網上販賣，有被濫用的風險和趨勢。

此次發現的Agent Tesla新型變種與之前的版本功能類似，只是回傳數據的方式有所改變，增加了另外兩種回傳數據的方式，一種是使用SMTP協議，將收集到的數據發送到攻擊者的電子郵箱；另外一種是將數據傳送到FTP伺服器上。但經分析後發現，雖然Agent Tesla新型變種提供了三種回傳數據的方式，但只使用了郵件來回傳數據，其他兩種通信方式則未曾使用。

Agent Tesla新型變種的主要攻擊形式為釣魚郵件，郵件附件中包含內嵌了惡意軟體的Word文檔。當用戶打開文件後，便會被誘導雙擊文檔中的藍色圖標，一旦用戶雙擊圖標，便釋放出了惡意軟體。Agent Tesla新型變種威脅著個人與企業的信息、財產安全，用戶應加強防範意識，減少被攻擊的概率。

經驗證，安天智甲終端防禦系統（英文簡稱IEP，以下簡稱安天智甲）可實現對Agent Tesla新型變種以及早期各種變種的有效防禦。

2.事件樣本分析

2.1

樣本關係

圖2-1 樣本關係

本次捕獲到的樣本為Word文檔，打開Word文檔後，顯示「DOUBLE CLICK TO ENABLE CLEAR VIEW」，提示用戶如果想要獲取更清晰的視圖就要雙擊這個圖標，以此來誘惑用戶雙擊運行惡意程序。

圖2-2 惡意文檔圖示

當用戶雙擊時，會調用UpdatedPO.exe文件，該文件為可執行程序，其執行便開始了惡意代碼的啟動，並導致最終執行具有核心功能的惡意代碼No-name2.exe（詳細過程見圖2-1）。本報告後續分析主要針對No-name2.exe進行。

圖2-3 雙擊藍色圖標後詢問是否運行程序

2.2

樣本標籤

表2-1 Word文檔

2.3

樣本功能

No-name2.exe是一個經過代碼混淆處理的.Net程序。其可以記錄受害主機的鍵盤輸入、竊取剪貼板數據，捕捉受害主機屏幕截圖，從受害主機攝像頭獲取文件，收集受害主機信息和收集已安裝軟體的憑據，並將以上信息全部發送給攻擊者。

No-name2.exe運行後會結束系統中與自身重複的進程，然後判斷受害主機系統是否為Windows7、Windows8、Windows10中的一個，以及UAC是否是開啟的。若符合上述條件，則設置EnableLUA的值為0，即禁用「administrator in Admin Approval Mode」。

圖2-4 判斷受害主機系統是否開啟了UAC

No-name2.exe向C2伺服器發送卸載命令，若伺服器響應的數據中包含「uninstall」字元串，則程序會刪除它在計算機上寫入的信息並退出。接著程序向C2伺服器發送更新命令。

圖2-5 發送卸載指令

圖2-6 發送更新指令

No-name2.exe會判斷當前程序是否為%appdata%DaVita IncDaVita Inc.exe，若該文件夾以及文件不存在，則創建該文件夾並將當前程序複製到DaVita Inc.exe，並將文件屬性設置為隱藏。設置DaVita Inc.exe為開機自啟動。

圖2-7 判斷當前運行文件是否為DaVita Inc.exe

No-name2.exe程序在記錄鍵盤輸入時，先獲取受害主機的Windows標題並將其放入一段html代碼中，然後捕捉受害者的按鍵，並將受害者的按鍵轉換為html代碼。

圖2-8 竊取鍵盤數據內容

受害者每次更改剪貼板內容時，No-name2.exe程序便捕獲剪貼板內容，然後將收集到的數據存入一段html代碼中。

圖2-9 竊取剪貼板內容

圖2-10 發送鍵盤記錄和剪貼板內容

No-name2.exe每隔20分鐘便會獲取受害主機的屏幕截圖並將其保存到指定的文件中（%appdata%ScreenShotscreen.jpeg），然後使用命令「screenshots」將其發送給C2伺服器。

圖2-11 發送受害主機屏幕截圖

No-name2.exe每隔20分鐘便會從受害主機的攝像頭獲取圖片並將其保存到指定的文件中（%appdata%CamCampturewebcam.jpeg），然後使用命令「webcam」將其發送給C2伺服器。

圖2-12 收集攝像頭圖片信息並發送

No-name2.exe會收集已安裝軟體的憑證並發送給C2伺服器。

圖2-13 軟體憑據

圖2-14 軟體憑據

No-name2.exe竊取以下軟體的憑證信息。

表2-2 No-name2.exe針對的軟體列表

2.4

加解密方式

在No-name.exe中，字元串進行了簡單的異或加密操作，資源文件的加密方式也是由異或加密構成的。資源文件解密函數如下。

圖2-15 資源解密

在No-name2.exe中，使用AES加密方式將所有字元串進行了加密，如：函數名、註冊表信息、參數等。字元串解密函數如下。

圖2-16 字元串解密

2.5

自保護機制

No-name2.exe會從自身的Player資源區提取一個守護程序，釋放到%temp%目錄中，防止UpdatedPO.exe結束運行。

圖2-17 生成保護程序

該守護程序也是一個.Net程序，每隔900ms檢查一次UpdatedPO.exe是否正在運行，一旦UpdatedPO.exe結束運行則再次啟動UpdatedPO.exe。

圖2-18 保護UpdatedPO.exe

2.6

網路通信方式

No-name2.exe有3種方式將從受害主機上獲取到的信息發送給攻擊者，分別是HTTP POST、郵件和FTP。分析後發現，數據回傳的方式被硬編碼成了「SMTP」，所以在Agent Tesla變種的通信過程中，實際上只使用了郵件來回傳數據。在此猜測使用郵件回傳數據的原因是C2伺服器的URL已經被檢測為「惡意網站」。為了更詳細的展現此變種，本文對以上三種通信方式均進行了分析。

1、HTTP POST通信方式

No-name2.exe會構建字元串及數據包，然後以HTTP POST方式向C2伺服器提交獲取到的信息。參數格式如下：

表2-3 命令欄位解釋

圖2-19 以HTTP POST方式提交信息

圖2-20 數據包頭

C2伺服器接收的命令如下所示。

表2-4 C2命令

2、郵件通信方式

No-name2.exe使用郵箱log****@lifftrade.com給攻擊者發送郵件，收件郵箱和發件郵箱均為log****@lifftrade.com，郵件中包含了從受害主機中竊取到的信息。

圖2-21 以郵件的方式發送信息

圖2-22 郵件信息

3、FTP通信方式

No-name2.exe還可以FTP的方式提交竊取到的信息。

圖2-23 以FTP方式發送信息

圖2-24 FTP格式

3.防護建議

3.1

預防

惡意代碼是因為用戶雙擊藍色圖標（如下圖所示）才啟動的，因此，若遇到類似文檔，請不要雙擊藍色圖標或可疑鏈接。

圖3-1 藍色圖標

3.2

手動清除

1、Agent Tesla新型變種在運行後會在臨時文件夾（C:Users用戶名AppDataLocalTemp）釋放UpdatedPO.exe和保護文件%s%s%s.exe（該保護文件的文件名是三個隨機的字元串）。手動清除首先需要結束這兩個進程。

圖3-2 UpdatedPO.exe和保護文件%s%s%s.exe進程

2、結束進程後，需要在C:Users用戶名AppDataLocalTemp文件夾下找到這兩個文件，然後將這兩個文件刪除。

圖3-3 臨時文件夾中的惡意文件

3、惡意代碼的某些設置會在重啟電腦後生效。因此重啟電腦後，DaVita Inc.exe才會出現在C:Users用戶名AppDataRoamingDaVita Inc目錄下，自啟動的註冊表項才能被找到。惡意代碼將DaVita Inc.exe設置成了開機自啟動，需要找到註冊表項HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunDaVita Inc，並刪除相關註冊表。

圖3-4 刪除此註冊表項

4、同時，因電腦重啟使DaVita Inc.exe啟動並在臨時文件夾下釋放保護程序%s.exe，這時需要結束這些程序然後再刪除DaVita Inc.exe和%s.exe。

圖3-5 自啟動的DaVita Inc.exe

5、將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem中EnableLUA的值修改為0x1，開啟被惡意代碼關閉的UAC。

圖3-6 開啟UAC

3.3

安天智甲有效防護

經驗證，安天智甲可實現對Agent Tesla變種的有效防禦。

圖3-7 安天智甲對Agent Tesla變種進行防禦

4.小結

通過分析發現，Agent Tesla新型變種在對抗殺軟、對抗分析部分進行了升級，使用了多層調用。在每一層的可執行程序中，使用不同的編譯語言進行編譯生成，該變種使用了VB，VC++，.Net三種編譯器，而且使用了多種加密方式，給分析增加了難度。

從樣本功能的演進來看，該家族樣本的變化並不大，其主要目的都是竊取屏幕截圖、鍵盤記錄、多款軟體的憑證和網路攝像頭截圖等，使用多種方式進行回傳。但是從與安全軟體的對抗來看，其進行了大量的改進升級，使用了多個可執行文件進行包裹，層層釋放，幾乎每層都進行了細緻的加密處理，由此也可以看出攻擊者的技術水平在進行不斷的升級。

註：

本分析報告由安天CERT（安全研究與應急處理中心）發布，歡迎無損轉發。

本分析報告錯漏缺點在所難免，敬請業內專家和研究者回帖指點批評指正。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！