特工特斯拉的新旅程:一种新型装载机的兴起

恶意软件加载器对于部署恶意软件至关重要，它使威胁行为者能够交付和执行恶意有效载荷，从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术，加载器绕过安全措施并利用各种分发渠道进行广泛的影响，威胁组织增强了他们下载和执行各种恶意软件类型的能力，如Smoke Loader和GuLoader所示，突出了他们在广泛的恶意软件分发中的作用。

最近，SpiderLabs在2024年3月8日发现了一封网络钓鱼电子邮件，附带了一个档案，其中包括伪装成欺诈性银行付款的Windows可执行文件。这一行动引发了感染链，最终导致了特工特斯拉的部署。

本博客对新发现的加载器进行了深入分析，重点介绍了攻击的闪避性以及加载器及其命令和控制(C2)框架中使用的高级战术、技术和程序(TTPs)。我们将深入讨论加载器的多态特性、特定用户代理字符串的使用、代理使用以及命令和控制服务器保护，这些都增强了加载器交付和执行负载的能力。虽然这些技术并不新颖或独特，但这种新型装载机的有效性源于这些方法的巧妙组合和集成，这可能会导致感染率增加，并为检测和缓解带来更大的挑战。

技术分析

感染链

以下是对感染链的简要概述。感染链从一封冒充银行付款通知的网络钓鱼电子邮件开始，其中附有一个伪装的加载程序作为存档文件。然后，这个加载器使用混淆来逃避检测，并利用多态行为和复杂的解密方法。加载器还展示了绕过反病毒防御的能力，并使用特定的url和利用代理进一步混淆流量的用户代理来检索其有效负载。有效载荷本身，Agent Tesla infostealer，然后完全在内存中执行，使用受损的电子邮件帐户通过SMTP捕获和泄露数据，以进行谨慎的通信。

图1所示。感染链:电子邮件发送加载程序，然后部署代理特斯拉infostealer。

电子邮件传递

威胁从伪造的银行付款电子邮件开始，旨在欺骗收件人。这封电子邮件中隐藏着一个名为“Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz”的附件，伪装成银行的合法付款收据。这个文件名暗示是一个无害的文档，但它实际上包含一个伪装在tar.gz归档文件中的恶意加载程序。这种策略通常用于网络钓鱼攻击，以诱骗收件人在不知不觉中激活恶意软件并发起恶意活动。

图2。MailMarshal从假冒产品邮件中拆包tar.gz附件。

加载程序

用。net编译的加载器可执行文件使用混淆和打包来隐藏其功能并逃避检测。

在执行时，加载器通过在其代码中的单独列表中存储加密字符串和解密密钥来初始化其配置。解密首先识别加密字符串的索引，并将其与另一个列表中的特定密钥进行匹配。这种基于索引的匹配是解密恶意软件需要操作的配置数据的关键步骤。

图3。变体1:加载器的加密配置和字符串

图4。变种2

加载器的多态行为特别有趣，我们观察到两个不同的变体，每个变体都使用不同的解密例程。这种多态性引入了额外的复杂性层，对传统的防病毒系统提出了重大挑战。

Taking a closer look at the decryption routines employed by each variant reveals the intricacies of their operations:

Variant 1 - ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadcc

第一种变体通过将十六进制密钥转换为字节数组来解密配置。然后，它生成加密字符串的SHA-256散列，确保散列的长度与密钥的字节数组的长度匹配。在此之后，它通过从SHA-256散列中的字节中减去密钥派生字节数组中的相应字节来进行解密。

图5。变体1:使用十六进制字符串转换、SHA-256哈希和减法进行解密。

变体 2 - a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6a

第二种变体的解密过程首先将密钥从base64和加密字符串转换为字节。然后，它对密钥和加密字符串的相应字节执行按位异或操作。生成的字节数组被重新编码为UTF-8，以生成解密的字符串。

图6。解密:base64密钥，字符串转换和异或操作。

加载器的配置隐藏了关键函数和库，特别是来自kernel32.dll的VirtualProtect，以修改代码注入的内存权限。它使用像amsiScanBuffer和AMSI .dll这样的编码引用来掩盖它绕过微软反恶意软件扫描接口(AMSI)检测的企图。

此外，Invoke、EntryPoint、Load、Assembly和GetType等术语指向反射加载，这允许在运行时动态执行代码。

此外，配置包括下载URL和User-Agent字符串，这对于检索有效负载至关重要。

反病毒逃避通过AMSI绕过

在启动有效载荷检索和反射加载过程之前，加载器准备目标系统以确保有效载荷的无缝执行。这种准备包括通过修补AmsiScanBuffer函数来绕过反恶意软件扫描接口(AMSI)，以避免恶意软件扫描内存中的内容。

图7。AMSIScanBuffer旁路通过内存补丁。

有效载荷检索和执行

在AMSI绕过之后，加载程序为传入的有效负载准备内存空间。它专门针对宿主在hxxps[://]artemis-rat[。. com，需要一个特定的用户代理字符串，Mozilla/5.0 (Windows NT 10.0;Win64;x64) AppleWebKit/537.36 (KHTML，杀手壁虎)Chrome/58.0.3029.110 Safari/537.3，以确保有效载荷的交付。

图8。变体1利用特定用户代理通过代理获取有效负载。

一种变体使用来自GitHub上的开源列表的HTTP代理服务器，特别是来自https://github.com/TheSpeedX/PROXY-List/blob/master/http.txt的代理服务器，以方便有效负载的下载。这种方法会产生大量的网络数据包和显著的噪声，可能会使网络流量分析和检测工作复杂化。

检索之后，负载不会立即执行。相反，加载器使用":::"作为分隔符来分隔恶意代码，从HTML内容中识别和提取有效负载。此操作段强调了加载器在处理有效负载时的隐身方法，确保恶意代码在看起来无害的流量中仍然未被检测到。提取之后，将负载加载到内存中。

图9。嵌入在HTML响应正文中的编码有效负载。

加载程序使用异或加密解密负载，解密密钥嵌入到加载程序本身中。它首先将十六进制字符串转换为字节序列，然后遍历每个字节，对键中的相应字节应用异或操作。我们观察到的两个变体遵循类似的解密例程来处理有效负载，不同之处在于所使用的解密密钥。

图10。有效载荷解密程序

一旦有效载荷被解码并存储在内存中，加载器利用。net的反射和汇编加载能力，定位并调用有效载荷的主要入口点，触发Agent Tesla infostealer的操作。加载和执行过程完全在系统的内存空间内进行，最大限度地减少了检测，并且不会在磁盘上留下任何痕迹，从而增强了恶意活动的隐蔽性和可规避性。

特斯拉探员

Agent Tesla完全从内存中执行，执行诸如击键记录、凭证盗窃和数据泄露等恶意活动。这种变体使用KoiVM保护器，这是一种基于虚拟化的打包器，它将。net CIL代码转换为虚拟指令，由虚拟机在运行时解释，使静态和动态分析变得复杂。

在从网络浏览器中收集用户名和密码等有价值的信息后，Agent Tesla使用简单邮件传输协议(SMTP)(一种通常用于发送电子邮件的方法)泄露这些数据。

图11。Agent Tesla infostealer的嵌入式配置

威胁行为者经常劫持受损的电子邮件帐户来执行泄露过程。这种方法有几个战略上的好处。首先，它利用了人们在日常电子邮件通信中的信任，使其不太可能引起怀疑。其次，它提供了匿名性，使得追踪攻击追溯到威胁参与者变得更加困难。最后，使用现有的电子邮件系统意味着他们不必建立新的沟通渠道，节省时间和资源。

总结

与Agent Tesla一起观察到的新加载程序利用欺骗性电子邮件附件(如伪装的银行付款收据)渗透系统。它使用。net编译，使用混淆和打包技术来隐藏其功能并逃避检测。加载器显示具有不同解密例程的多态行为。它采用修补等方法绕过反恶意软件扫描接口(AMSI)检测并动态加载有效载荷，确保隐形执行并最大限度地减少磁盘上的痕迹。这个加载器标志着特工特斯拉部署策略的显著演变。

此外，考虑到它的多功能性，这个加载程序很可能在未来被用来部署除Agent Tesla之外的其他类型的恶意软件。

妥协指标

装载机(变种1)

MD5b69f65b999db695b27910689b7ed5cf0

SHA256 编号：ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadcc

装载机(变种2)

编号：MD538d6ebb40197248bc9149adeec8bd0e7

SHA256a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6a

包装代理特斯拉

MD52bd452c46a861e59ac151a749047863f， 63f802e47b78ec3d52fe6b403bad823f

SHA256 e3cb3a5608f9a8baf9c1da86324474739d6c33f8369cc3bb2fd8c79e919089c4、f74e1a37a218dc6fcfabeb1435537f709d742505505a11e4757fc7417e5eb96 2

特斯拉代理

MD53637aa1332b312fe77cc40b3f7adb8dc, 37b38ae2d99dd5beb08377d6cbd1bccd

SHA256 3a1fe17d53a198f64051a449c388f54002e57995b529635758248dc4da7f5080， a3645f81079b19ff60386cb244696ea56f5418ae556fba4fd0afe77cfcb29211

SMTP漏出

发件人电子邮件：merve@temikan[.]com[.]TR公司

接收邮箱:frevillon[.]acsitec@proton[.]me

下载网址

hxxps[://]artemis-rat[.]com/get/65f0e7dd5b705f429be16c65

hxxps[://]artemis-rat[.]com/get/65eb0afe3a680a9851f23712

用户代理

Mozilla/5.0 (Windows NT 10.0;Win64;x64) AppleWebKit/537.36 (KHTML，杀手壁虎)Chrome/58.0.3029.110 Safari/537.3

hxxps [: / /] github(。)com/TheSpeedX/PROXY-List/blob/master/hxxp。txt

表1。第一个加载器变体的解密字符串

表2。第二个加载器变体的解密字符串