DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3383|回复: 0

[样本分析] AgentTesla 正通过 VBS 分发

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-11-1 16:38:50 | 显示全部楼层 |阅读模式

ASEC 分析团队最近发现 AgentTesla 正在通过恶意 VBS 进行分发,脚本文件有多个代码被多次混淆。AgentTesla 已于去年 5 月被发现,通过 Windows 帮助文件 (*.chm) 进行分发,而且其分发方式似乎在不断变化。

VBS 脚本作为电子邮件附件分发,最近,还发现了冒充韩国公司的电子邮件。



压缩文件包含 VBS,常用的文件名包括发票和提案。确认的文件名如下:



确认的 VBS 文件包含多个注释和虚拟代码。



除了多个注释和伪代码之外,底部还有一个代码负责读取当前运行的 VBS 文件中的字符串,不包括每 2 个字符



执行此代码时,注释中的字符串将被解码并执行新的脚本代码。解码后的代码包括一个混淆的 shellcode 和一个额外的 PowerShell 命令。



执行上述脚本代码时,混淆后的 shellcode 的值 "Ch8" 被保存到 HKCU\Software\Basilicae17\Vegetates。



之后,通过 PowerShell 执行 "O9" 变量的值。 "O9" 变量包含一个 PowerShell 命令,执行的命令被混淆如下所示

  1. powershell.exe  “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <ommited> Ind5Nin3Ree#Apo;”””;;
  2. Function Tammy159 { param([String]$HS);  For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1);   }    $Statice;}
  3. $Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
  4. $Ambulancetjeneste1821= Tammy159 $Quegh;
  5. & ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;
复制代码

PowerShell 代码通过排除每 3 个字符来解码保存在 "$Quegh" 变量中的混淆值。(例如 UnsIPujEFolXInt -> IEX)

解码后的命令也被混淆了,最终执行的代码如下



之前保存在 HKCU\Software\Basilicae17\Vegetates 中的混淆后的 shellcode 在 base64 中解码并执行,执行的 shellcode 将 AgentTesla 恶意软件注入正常进程 CasPol.exe 中。AgentTesla 是一个信息窃取器,它收集用户 PC 信息,将其压缩成 CO_[用户名]/[PC 名称].zip 并通过电子邮件泄露。

使用的电子邮件信息如下




AgentTesla 是在每周统计中也很流行的恶意软件,其分发方式也在不断变化。此外,建议谨慎,因为根据 shellcode,除了 AgentTesla 之外,还可以执行各种恶意软件。

IOC

  • 7fe2ed92d9306c8f0843cbb4a38f88e0
  • b06081daa9bc002cd750efb65e1e932e
  • eccef74de61f20a212ecbb4ead636f73
  • ea202427fbe14d9a6d808b9ee911f68c

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 15:11 , Processed in 0.060097 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表