人妻少妇乱子伦精品_日韩人妻潮喷视频网站_日本最新最全无码不卡免费_日韩AV无码中文

大多數(shù)人都認為，自己在上網(wǎng)時是安全的。但實際上，任何一款在后臺運行的間諜軟件，都能夠抓取你的密碼，在線跟蹤你的上網(wǎng)習慣并竊取你的個人信息。

Agent Tesla就是間諜軟件家族中的一員，并且已經(jīng)存活了多年。一旦被感染，此間諜軟件就能夠從許多常用軟件（包括Google Chrome、Safari和Firefox瀏覽器）中竊取信息。

感染鏈

Agent Tesla感染鏈大多從一封釣魚電子郵件開始，而附件很有可能會是一個.arj格式的文件（Dropper）：

圖1.釣魚電子郵件示例

ARJ是90年代早期的一種壓縮文件格式，經(jīng)常出現(xiàn)在盜版軟件中，它可以將壓縮文件分割成多個小體積文件，以便于文件更容易通過撥號連接共享。

不過，在本文中分析的ARJ壓縮文件并沒有被分割成多個文件，而是僅包含一個名為“IMP_Arrival Noticedoc.exe”的可執(zhí)行文件。

Dropper

毫無意外，這個可執(zhí)行文件實際上是一個經(jīng)過UPX打包的AutoIt腳本，反編譯結(jié)果如下：

圖2. AutoIT腳本的反編譯結(jié)果

一開始，它會進行反虛擬機（VM）檢查，這是Agent Tesla的典型行為。

圖3.去混淆后的AutoIT腳本（開頭部分）

圖4.用于執(zhí)行反虛擬機（VM）檢查的代碼

如果檢查通過，那么它將對移交給DecodeDataFromPEResourceOrString函數(shù)的第一個參數(shù)($data)中的字符串進行資源字體類型（8）的解碼和提取。

在GetResourcesFromPE函數(shù)中，此參數(shù)會被轉(zhuǎn)換為一個字符串，并拆分為不同的字體資源名稱，結(jié)果如下：

SystemPropertiesDataExecutionPreventionMWindows.Media.BackgroundPlaybackKwindeployLLaunchWinAppXccaFCellularAPIQMuiUnattendERmClientEucsvcGrefsutilVSpeechRuntimeVDPTopologyAppv2_0N

然后，它將從PE資源中提取這些字體類型資源，并連接到一個二進制大文件。

圖5 .IMP_Arrival Noticedoc.exe的“資源”部分

圖6 .GetResourcesFromPE函數(shù)

結(jié)果同樣存儲在$data變量中（圖7中的第245行），第246行的StringReverse(BinaryToString($data))反轉(zhuǎn)了存儲字節(jié)的順序，這是RC4加密形式的最終惡意軟件Payload，RC4代碼的字節(jié)包含在變量$sopcode中。

在準備好shellcode和加密的Payload數(shù)據(jù)之后，在第262行執(zhí)行RC4函數(shù)并解密Payload。

圖7.DecodeDataFromPEResourceOrString RC4函數(shù)

反匯編的RC4 shell代碼如下：

圖8.RC4函數(shù)（$sopcode變量）

解密Payload后，腳本將調(diào)用最終的InjectPayloadIntoProcess函數(shù)，以將Payload注入另一個進程中。值得注意的是，腳本為注入提供了9種不同的合法注入選項，允許攻擊者通過向函數(shù)提供相應的編號來選擇具體使用哪一種。

圖9.注入進程選擇

圖10.注入代碼

Payload

Payload通常都是Agent Tesla，旨在從一些主流瀏覽器、電子郵箱客戶端、SSH/SFTP /FTP客戶端和其他軟件中竊取憑證。

圖11. Agent Tesla

執(zhí)行時， Agent Tesla會動態(tài)解析配置設(shè)置和字符串，并使用Rijndael算法解密某些大型數(shù)據(jù)。

圖12. Agent Tesla解碼例程

下圖展示了Agent Tesla運行時的情況，例如解碼某些參數(shù)以進行電子郵件滲透。

圖13.Agent Tesla字符串（經(jīng)過混淆處理）

該函數(shù)的去混淆版本如下圖所示：

圖14 . Agent Tesla email函數(shù)（去混淆后）

結(jié)論

通過本文中所描述的過程，攻擊者可以將原始惡意軟件隱藏在Dropper中。該惡意軟件僅在運行時解密并注入到內(nèi)存中，即永遠不會在硬盤驅(qū)動器上解密。

這一系列Agent Tesla活動中，攻擊者使用了相對復雜的Dropper，利用了多種不同的混淆技術(shù)來盡可能使防病毒程序難以檢測到惡意軟件。不僅如此，通過使用這些Dropper，攻擊者還可以很輕松且快速地切換最終的惡意軟件。