Webinar’a Katılın | Siber Tehditlere Karşı Güçlü Koruma
Webinar'a Katıl
Webinar'a Katıl

AgentTesla Zararlısı

AgentTesla Zararlısı Microsoft Office Zafiyetlerini (CVE-2017-0199 – CVE-2017-11882) Kullanıyor

İçindekiler Gizle
1 Rapor Özeti
2 AgentTesla Zararlısı Hakkında Temel Bilgiler
3 Microsoft Office RCE (CVE-2017-0199)
4 Equation Editor Zafiyeti (CVE-2017-11882)
5 Teknik Analiz
6 AgentTesla Zararlısının CVE-2017-0199 Zafiyeti ile Hedef Sisteme İndirilmesi – (Invoice-Transfer Details.docx)
6.1 Invoice-Transfer Details.docx Zararlısının Çalışma Prensibi
7 Equation Editor (CVE-2017-11882) Zafiyeti ile AgentTesla Zararlısının Hedef Sistemde Çalıştırılması – (https.doc)
7.1 https.doc Dökümanı İçinden Çıkarılan Shellcode
7.2 Shellcode Verisinin Unpack Edilmesi ve Analizi
8 Microsoft Office Zafiyetleri ile Hedef Sisteme İndirilip Ardından Çalıştırılan AgentTesla Zararlısının CrowdStrike Analizi – (vbc.exe)
8.1 AgentTesla Zararlısının Temel Özellikleri
8.2 VBC.exe’nin Unpack Edilmesi ve Analizi
8.3 AgentTesla Zararlısının Telegram Üzerindeki Komuta Kontrol Sunucusu
8.4 AgentTesla Zararlısının Hedef Sistemde Çalıştıktan Sonra Gerçekleştirdiği Network İşlemleri
9 Indicator of Compromise (IOC)
10 MITRE ATT&CK

Rapor Özeti

  • Agent Tesla Zararlısı, hedef kullanıcıların kişisel verilerini çalmayı amaçlayan bir trojandir.
  • Analiz sonuçlarına göre AgentTesla Zararlısının hedef sisteme Phishing maili ile gelen bir word dokümanı içinde saklandığı ve Invoice-Transfer Details.docx dosyası çalıştırıldıktan sonra,CVE-2017-11882 zafiyetini kullanarak https.doc isimli ikinci aşama bir zararlıyı indirdiği ve hedef sistemde çalıştırdığı tespit edilmiştir.
  • Hedef sistemde arka planda indirilen, https.doc Word dosyası, CVE-2017-0199 zafiyetini kullanarak asıl zararlı yazılım olan vbc.exe’yi indirip Public klasörünün altına yazar.
  • Vbc.exe çalıştırıldıktan sonra hedef sistemdeki kullanıcı bilgilerini , cihazda yüklü olan yazılımların içinde kayıtlı olarak saklanan şifreleri okur ve daha sonra Komuta Kontrol Aracı olarak kullanılan Telegram BOT yardımı ile elde ettiği verileri karşı tarafa iletir.

AgentTesla Zararlısı Hakkında Temel Bilgiler

Agent Tesla, 2014 yılından beri gözlemlenen ve o zamandan beri son derece popüler bir casus yazılım Truva Atıdır. .NET ile yazılmıştır ve etkilenen makinelerden hassas bilgilerin çalınması konusunda sıkça kullanılan bir casus yazılımıdır. Agent Tesla, tarayıcılardan ve e-mail hesaplarından gelen kimlik bilgilerini çalabilmesinin yanı sıra keylogger virüsü olarak bir çok hesabın şifresini çalmak için siber saldırganlar tarafından kullanılmaktadır.

Microsoft Office RCE (CVE-2017-0199)

CVE-2017-0199 uzaktan kod yürütme zafiyetidir. Windows Object Linking and Embedding (OLE) nesnesine indirilecek zararlının adresi tanımlanır yani aslında bunu ilgili dosya içerisine bir nevi gömer. OLE nesnesini içeren doküman execute edildiğinde zararlı sisteme iner ve ilgili sistem üzerinde çalışır.

Equation Editor Zafiyeti (CVE-2017-11882)

Microsoft Office’in Denklem Düzenleyicisinde (Equation Editor) bulunan ve tetiklendiğinde Equation Editor (EQNEDT32.EXE) yazılımının bellekte verileri düzgün işleyemediğinden, Buffer Overflow sonucunda hedef sistemde zararlı komut çalıştırmaya yol açan kritik bir zafiyetidir.

Teknik Analiz

AgentTesla Zararlısının CVE-2017-0199 Zafiyeti ile Hedef Sisteme İndirilmesi – (Invoice-Transfer Details.docx)

Invoice-Transfer Details.docx Zararlısının Çalışma Prensibi

Burada kullandığı zaafiyet olan CVE-2017-0199 uzaktan kod yürütme zafiyet ile “Invoice-Transfer Details.docx” Office Word dosyası açıldığında içerisinde bulunan zararlı bağlantı linki sayesinde saldırganın sisteme download etmesini istediği bir dosya tespit edilmiştir.

‘Invoice-Transfer Details.docx’ dökümanını analiz ettiğimde içeriğinde bulunan “webSetting.xml.rels” dosyasını notepad ile açtığımızda görseldeki gibi zararlı URL ye rastlanmıştır.

(ne.fo/51ytu) Downloader

Equation Editor (CVE-2017-11882) Zafiyeti ile AgentTesla Zararlısının Hedef Sistemde Çalıştırılması – (https.doc)

https.doc Dökümanı İçinden Çıkarılan Shellcode

Zararlı dökümanı HxD ile açıp dikkatli bakıldığında zararlı hakkında ön bilgiler elde edilebilir. https.doc dökümanını HxD ile hex verisi olarak çıktı aldıktan sonra içindeki shellcode çıkarılmıştır.

https.doc dosyasını rtfobj aracını kullanarak, dosyanın içerisindeki shellcode’u çözümlemek için RTF dökümanı dump edilmiştir.

Dump edildikten sonra ortaya çıkan https.doc_object_00000C86.raw dosyasının VirusTotal sonuçları aşağıda paylaşılmıştır.

Shellcode Verisinin Unpack Edilmesi ve Analizi

Shellcode analiz edildiğinde 3.offset alanında entry point tespit edilmiştir, shellcode hedef sistemde çalıştığında AgentTesla Zararlısı olan vbc.exe’yi saldırgana ait uzak sunucudan (172.245.220.196) indirip Public klasörünün altına yazdığını görüyoruz.

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

urldowloadtofileW(kaynak adres, ve kayıt edileceği yeri gösteriyor)

Microsoft Office Zafiyetleri ile Hedef Sisteme İndirilip Ardından Çalıştırılan AgentTesla Zararlısının CrowdStrike Analizi – (vbc.exe)

AgentTesla Zararlısının Temel Özellikleri

Agent Tesla zararlısı, hedef sistemde erişim kazandıktan sonra kalıcılık sağlamak için Windows Registry üzerinde yazma işlemi gerçekleştirdiği ve çalıştıktan sonra hedef cihazdaki kişisel verilerimizi ele geçirdiğinde TLS ile şifreleyerek komuta kontrol sunucusuna gönderir.

AgentTesla Zararlısı tarafından, hedef sistemdeki Windows Registry üzerinde değişiklik yaparak kalıcılık sağlamaya çalıştığı gözlemlenmiştir..

https://lh6.googleusercontent.com/8H9NR4gtMKKOePt5sYDUmJT-E58SEY5rPS57DJo5WeGLL-aI7q8rblJC_NPOhpkVfYu8LLAA2yjf4_j-qN_Esgn2rb5hapf29fqVl2Y0uUuhluvhHEmjuUiUXJU82Lpcydbdy037HXU3kPo56uwNEWaqwl1RmzUUC_Jb1aIR6S4OLJVmveRa1b_CxA

AgentTesla Zararlısı tarafından gerçekleştirilen kalıcılık işlemi, CrowdStrike EDR tarafından yakalanmıştır ve test cihazını başarılı bir şekilde korumuştur.

Vbc.exe çalıştırıldığında kendisini app.exe olarak “AppData\Roaming\app\app.exe” dizinine kopyalandığı tespit edilmiştir.

AgentTesla Zararlısı, CrowdStrike EDR yüklü olan test cihazında tespit edilmiş ve hedef sistemden veri alamadan CrowdStrike tarafından karantinaya alınmıştır.

Process Explorer Viewer:

VBC.exe’nin Unpack Edilmesi ve Analizi

Unpack için AgentTesla Zararlısı debugger ile çalıştırılır, WriteProcessMemory() fonksiyonu üzerinde yerleştirilen breakpoint ile açık bellek alanına unpack edilmiş şekilde yazılan verinin dump bilgisi elde edilmiştir.

Unpack edilen AgentTesla Zararlısı analiz edildiğinde, Browserların “user data” klasörü altında tutulan kayıtlı verileri (Şifre,Cookie,Kullanıcı adı, Email vb.) kullanıcıdan çaldığı tespit edilmiştir..

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

Farklı Browser yazılımları için özellikle yazılmış bir fonksiyonda, AgentTesla Zararlısının hedef sistemden cookie verilerini aldığı gözlemlenmiştir.

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

Aşağıda görülen bir fonksiyonda, hedef sistemde kalıcılığı sağlamak için “app” anahtarı ile Windows Registry içindeki CurrentVersion\Run bölümüne yerleştiren kod parçası tespit edilmiştir.

Hedef sistemde bulunan, Outlook Yazılımı içindeki kullanıcı verilerini (kayıtlı şifreler, Mailler vb.) okuyan kod parçası tespit edilmiştir.

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

Sistem bilgilerini toplayan kod tespit edilmiştir.

Sistem bilgilerini toplayan kod bu işlem bittikten sonra verileri HTML formatında tutarak, saldırgana ait Telegram botuna gönderilmesi için hazırlandığı tespit edilmiştir.

Toplanılan tüm verilerin ilgili komuta kontrol sunucu olan telegram linki tespit edilmiştir.

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

Komuta kontrol sunucusuna verilerin “Post metodu” ile gönderildiği tespit edilmiştir.

metin içeren bir resim Açıklama otomatik olarak oluşturuldu

AgentTesla Zararlısı çalışırken bellek alanından dump verilerini aldığımızda, hedef cihazdan toplanan verilerinin komuta kontrol sunucusuna gönderilmek üzere bir araya toplandığı tespit edilmiştir.

Toplanan veriler String dizisi olarak telegram botuna gönderiliyor

AgentTesla Zararlısının Telegram Üzerindeki Komuta Kontrol Sunucusu

Aşağıdaki resimde görüldüğü üzere,AgentTesla Zararlısı tarafından hedef cihazdan toplanan bilgiler Telegram Bot kullanılarak saldırgana ulaştırılıyor. HTTP isteğime dönen cevapta bazı bilgiler göze çarpıyor. Telegram Bot’u saldırgan tarafından doğru konfigüre edilmediği için, Infinitum IT Siber Tehdit İstihbarat ekipleri, saldırganın komuta kontrol sunucusuna erişim sağlamıştır.

File_id , chat_id parametrelerini gördükten sonra “bu dosyaya Telegram API kullanarak geri ulaşabilir miyiz ?“ sorusu doğuyor. Ve dokümantasyona bir süre göz attıktan sonra bu GET isteğini atarak dosyanın yerini öğrenebileceğimizi görüyoruz.

https://api.telegram.org/botXXXXXXXXXXXXXXXXXXXX/getFile?file_id=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Dosyanın yerini öğrendikten sonra ise yine GET isteği ile bu dosyayı yeniden indiriyoruz.

https://api.telegram.org/file/botXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/documents/file_130.html

Hedef cihazdan alınan verilerin komuta kontrol sunucusundan HTML formatında alınması:

Bu noktada göze çarpan ilk şey dosya adı olan “file_130.html” . IDOR zafiyetleri de olduğu gibi bu sayıyı değiştirerek farklı dosyalara ulaşabilecek miyiz diye Brute Force saldırısı yapıyoruz. Kullandığımız araç ise ffuf .

Bizim messageID’miz 935 idi. Yani eğer bir mesajı alıp kendi chatID’mize yönlendirebilirsek bizden önce buraya atılan 934 mesaja ulaşabiliriz. Denemelere başlıyoruz. Önce kendi chatID’mizi almadan saldırganın chatID’si ile deneme yapıyoruz.

https://api.telegram.org/botXXXXXXXXXXXXXXXXXXXXXX/forwardmessage?chat_id=XXXXXXXX&from_chat_id=XXXXXXXXX&message_id=5

Kendi chatID’mizi almakla uğraşmadan mesajı geri saldırganın chatine yönlendirdiğimizde bile HTTP Response’unda mesaj içeriğini görebiliyoruz. Yine ffuf aracını kullanarak message_id’sini 0’dan 935’e kadar Bruteforceluyoruz ve 200 OK dönen tüm Responseları ayrı ayrı dosya haline getiriyoruz. Daha sonrasında ise grep ile bunları filtreliyoruz.

Toplam 458 adet HTTP Response’undan çıkan kullanıcı verilerini elde etmiş oluyoruz.

AgentTesla Zararlısının Hedef Sistemde Çalıştıktan Sonra Gerçekleştirdiği Network İşlemleri

“Invoice-Transfer Details.docx” dosyası office word ile açıldığında saldırganın indirmek istediği sunucunun ip adresine yönlendirildiği ve wireshark ile dinleme yaptığımızda 172[.]245[.]220[.]196 /https/https.doc dosyasını indirdiği tespit edilmiştir.

tablo içeren bir resim Açıklama otomatik olarak oluşturuldu

https.doc açılınca 172[.]245[.]220[.]196/235/vbc.exe çalıştırılabilir bir dosya indirdiği tespit edilmiştir.

“Vbc.exe” çalışınca Telegrama TLS üzerinden şifreli istek gönderildiği tespit edilmiştir.

Indicator of Compromise (IOC)

SHA – 256
ebf0015629c3f5e55256e1e613bc7c80b1a1f3badd5aa45261e7258dbb7bc16f
830c26941f23aadfc91ee662e71a53d6d55c4434318fd2aa19f6d8cb935e1d4b
11291730451790d28b936bd60eec223ab8e690367402e5c5ab746b2adeb858fa
URL / IP
ne[.]fo /51ytu
172[.]245[.]220[.]196 /235/vbc.exe
172[.]245[.]220[.]196 /https/ https.doc

MITRE ATT&CK

Teknik AdıID
Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderT1547.001
Credentials from Password StoresT1555
Deobfuscate/Decode Files or InformationT1140
Process HollowingT1055.012
Modify RegistryT1112
Obfuscated Files or InformationT1027
Browser Session HijackingT1185
Account Discovery: Local AccountT1087.001
Application Layer Protocol: Web Protocols
Application Layer Protocol: Mail Protocols		T1071.001

T1071.003

Clipboard DataT1115
Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 ProtocolT1048.003
Kategoriler Makaleler

2017 yılında bilgi güvenliği konusunda danışmanlık, servis ve destek hizmetleri vermek amacıyla kurulan InfinitumIT, siber olaylara müdahale hizmetleri, güvenli kod geliştirme/analizi, sızma testleri, mavi/kırmızı ekip çalışmaları çerçevesinde çalışmalar yürütmektedir.

Hizmetler

Ürünler

Kurumsal

Kaynaklar

Copyright © 2023 InfinitumIT– All Rights Reserved.