网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

无线安全团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > 无线安全 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

Agent Tesla(Negasteal):AutoIt和.NET编译的间谍木马

文章来源:重庆网络安全 发布时间:2020-01-14 13:03:55 围观次数:
分享到:

摘要:AutoIt:实际的恶意软件二进制文件被混淆为AutoIt脚本( au3),然后使用Autout编译器(例如Aut2Exe)将脚本编译为可执行文件。 NET:至少需要3层解密和模糊处理才能看到实际的恶意代码。

   对于Agent Tesla间谍木马,AutoIt混淆技术分为两层:实际的恶意软件二进制文件被混淆为AutoIt脚本(.au3),然后使用Autout编译器(例如Aut2Exe)将脚本编译为可执行文件。 通过使用.NET模糊处理技术,至少需要3层解密和模糊处理才能看到实际的恶意代码。


最近拦截的攻击活动:


攻击时间            2019年10月                    2019年11月至12月

编译方法             AutoIT编译                    .NET编译

传输方式             垃圾邮件                     垃圾邮件

恶意行为           间谍木马窃取信息                间谍木马窃取信息

检测信息         TrojanSpy.Win32.NEGASTEAL.DOCGC    TrojanSpy.MSIL.NEGASTEAL.KBE


相关垃圾邮件示例的示例如下:

blob.png

Agent Tesla间谍木马攻击过程

blob.png

此电子邮件攻击已生成并分批分发, 我们收到了大量带有ISO图像附件的相关垃圾邮件,可以通过直接解压缩ISO映像文件来获得木马文件。

blob.png

blob.png

母体文件由.NET编译,并且需要多层解密和反混淆。 其中使用BASE64加密和自定义XOR加密等方法:

blob.png

blob.png

blob.png

然后从资源文件中获取相关数据并解密:

blob.png

blob.png

通过判断相关的注册表和文件,检查虚拟机是否正在运行:

blob.png

blob.png

该木马的主要恶意行为是记录用户的击键信息,并获取存储在浏览器中的用户名和密码,以窃取敏感的用户信息。

blob.png

blob.png

被盗的主要浏览器应用程序是:Google Chrome,Firefox,QQ浏览器和Apple的Safari浏览器。


  谷歌浏览器:

blob.png

Firefox:

blob.png

Safari浏览器:

blob.png

QQ浏览器:

blob.png

添加启动项并自我删除:

blob.png

blob.png

本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:Agent Tesla Negasteal AutoIt NET 间谍木马

上一篇:企业网站建设安全之如何提升自身勒索病毒防范能力
下一篇:揭露电信诈骗涉及的仿冒APP,谨慎下载来路不明的APP,避免资金损失

热门资讯

鼠标向下滚动