1??????? 概述

近幾年，AgentTesla竊密木馬持續(xù)活躍，安天CERT多次監(jiān)測(cè)到針對(duì)國內(nèi)政企機(jī)構(gòu)、高等院校投遞該竊密木馬的攻擊活動(dòng)。自今年2月以來，安天CERT監(jiān)測(cè)到利用GuLoader加載器投遞AgentTesla竊密木馬的新一輪釣魚活動(dòng)。攻擊者以產(chǎn)品報(bào)價(jià)為主題，向歐洲、亞洲多個(gè)國家的制造、能源、互聯(lián)網(wǎng)等領(lǐng)域的企業(yè)發(fā)送釣魚郵件，并在其中發(fā)現(xiàn)一起針對(duì)國內(nèi)某企業(yè)的攻擊活動(dòng)。

GuLoader于2019年底出現(xiàn)，是一種惡意文件加載器，通過釣魚郵件分發(fā)并加載其他惡意文件。該加載器使用多種混淆手段試圖規(guī)避安全產(chǎn)品的檢測(cè)，并采用大量對(duì)抗逆向分析手段阻礙安全研究人員的分析。在此次釣魚郵件活動(dòng)中，攻擊者以項(xiàng)目報(bào)價(jià)邀請(qǐng)函為主題對(duì)我國汽車行業(yè)某企業(yè)發(fā)送釣魚郵件，將附件中的文件以項(xiàng)目名稱命名，誘導(dǎo)目標(biāo)執(zhí)行附件中的VBS腳本，從而執(zhí)行GuLoader加載器將Shellcode加載至內(nèi)存中，投遞的最終載荷為AgentTesla竊密木馬。

AgentTesla是一種使用.NET語言編寫的商業(yè)竊密木馬，具備鍵盤記錄、屏幕截屏、竊取指定軟件密碼等多種竊密功能，并且可以利用Tor匿名網(wǎng)絡(luò)、電子郵件、FTP和HTTP等方式進(jìn)行回傳，從而達(dá)到竊取受害者信息的目的。安天CERT曾于2018年5月7日發(fā)布《警惕AgentTesla商業(yè)鍵盤記錄器新型變種》[1]、2021年8月12日發(fā)布《商業(yè)竊密木馬AgentTesla新型變種分析》[2]，在這兩篇報(bào)告中對(duì)該竊密木馬進(jìn)行了詳細(xì)的分析。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)此類加載器、竊密木馬等惡意軟件的有效查殺。

2??????? 本次攻擊活動(dòng)對(duì)應(yīng)的ATT&CK映射圖譜

本次攻擊活動(dòng)對(duì)應(yīng)的ATT&CK技術(shù)特點(diǎn)分布圖：

具體ATT&CK技術(shù)行為描述表：

表 2?1事件對(duì)應(yīng)的ATT&CK技術(shù)行為描述表

3??????? 防護(hù)建議

3.1??????? 識(shí)別釣魚郵件

（1）??????? 查看郵件發(fā)件人：警惕發(fā)送“公務(wù)郵件”的非組織的發(fā)件人；

（2）??????? 看收件人地址：警惕群發(fā)郵件，可聯(lián)系發(fā)件人確認(rèn)；

（3）??????? 看發(fā)件時(shí)間：警惕非工作時(shí)間發(fā)送的郵件；

（4）??????? 看郵件標(biāo)題：警惕具備“訂單”、“票據(jù)”、“工資補(bǔ)貼”、“采購”等關(guān)鍵詞的標(biāo)題的郵件；

（5）??????? 看正文措辭：警惕以“親”、“親愛的用戶”、“親愛的同事”等較為泛化問候的郵件；

（6）??????? 看正文目的：警惕以“系統(tǒng)升級(jí)”、“系統(tǒng)維護(hù)”、“安全設(shè)置”等名義索取郵箱賬號(hào)密碼的郵件；

（7）??????? 看正文內(nèi)容：警惕其中附帶的網(wǎng)頁鏈接，特別是短鏈接；

（8）??????? 看附件內(nèi)容：查看前，須使用防毒軟件對(duì)附件進(jìn)行病毒掃描檢測(cè)。

3.2??????? 日常郵箱安全使用防護(hù)

（1）??????? 安裝終端防護(hù)軟件：安裝終端防護(hù)軟件，開啟防護(hù)軟件中對(duì)郵件附件的掃描檢測(cè)功能，定期對(duì)系統(tǒng)進(jìn)行安全檢測(cè)，修復(fù)系統(tǒng)漏洞。

（2）??????? 郵箱登錄口令：郵箱登錄口令設(shè)置時(shí)確保具備一定復(fù)雜性（包含三種字符元素），確?？诹畈挥涗浻谵k公區(qū)明顯位置，定期修改登錄口令。

（3）??????? 郵箱賬號(hào)要綁定手機(jī)：郵箱賬號(hào)綁定手機(jī)后，不僅可以找回密碼，還可以接收“異常登錄”的提示短信，即時(shí)處置。

（4）??????? 重要文件要做好防護(hù)：

a) 及時(shí)清空收件箱、發(fā)件箱和垃圾箱內(nèi)不再使用的重要郵件；

b) 備份重要文件，防止被攻擊后文件丟失；

c) 重要郵件或附件應(yīng)加密發(fā)送，且正文中不能附帶解密密碼。

（5）??????? 敏感信息要保護(hù)：不要將敏感信息發(fā)布到互聯(lián)網(wǎng)上，用戶發(fā)布到互聯(lián)網(wǎng)上的信息和數(shù)據(jù)會(huì)被攻擊者收集。攻擊者可以通過分析這些信息和數(shù)據(jù)，有針對(duì)性的向用戶發(fā)送釣魚郵件。

3.3??????? 政企機(jī)構(gòu)防護(hù)

（1）??????? 安裝終端防護(hù)軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

（2）??????? 加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

（3）??????? 部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

（4）??????? 安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)該惡意文件的有效查殺和對(duì)用戶終端的切實(shí)防護(hù)。

4??????? 郵件分析

4.1??????? 郵件信息

攻擊者針對(duì)目標(biāo)用戶投放釣魚郵件，郵件的主題為某項(xiàng)目報(bào)價(jià)邀請(qǐng)函，并在郵件的正文中給出了關(guān)于投標(biāo)該項(xiàng)目的說明。

該郵件存在兩個(gè)附件：一個(gè)html文件和一個(gè)壓縮包文件。其中html文件是一個(gè)釣魚網(wǎng)頁，偽裝成在線表單，用于竊取用戶的郵箱密碼；同時(shí)壓縮包中含有一個(gè)VBS腳本，用于執(zhí)行GuLoader加載器并向目標(biāo)系統(tǒng)投遞AgentTesla竊密木馬。

圖 4?2釣魚網(wǎng)頁

對(duì)郵件信息進(jìn)行分析后發(fā)現(xiàn)，發(fā)件人的郵箱及IP地址匹配，未經(jīng)過偽造。推測(cè)攻擊者可能先前使用相似的釣魚手法竊取了目標(biāo)公司員工的郵箱，并利用竊取郵箱針對(duì)其他員工實(shí)施進(jìn)一步的釣魚攻擊。

4.2??????? 關(guān)聯(lián)分析

對(duì)郵件進(jìn)行進(jìn)一步的關(guān)聯(lián)分析后，發(fā)現(xiàn)自2月8日出現(xiàn)多起利用GuLoader加載器投遞AgentTesla竊密木馬的釣魚活動(dòng)，郵件主題大多與產(chǎn)品報(bào)價(jià)相關(guān)，目標(biāo)涉及歐洲、亞洲多個(gè)國家的制造、能源、互聯(lián)網(wǎng)等領(lǐng)域的企業(yè)。對(duì)相關(guān)樣本進(jìn)行分析后，發(fā)現(xiàn)其中的攻擊載荷存在高度的相似性，推測(cè)由同一攻擊組織所發(fā)起。

5??????? 樣本分析

郵件中含有兩個(gè)附件，其中html文件是一個(gè)釣魚頁面，用于竊取用戶的郵箱密碼；壓縮包中含有一個(gè)VBS腳本，用于執(zhí)行GuLoader加載器。

5.1??????? 釣魚頁面

html文件中的代碼經(jīng)過混淆處理，并設(shè)置反調(diào)試以阻礙分析。

攻擊者將其偽裝成在線表單，用于竊取用戶的郵箱密碼。

5.2??????? GuLoader加載器

5.2.1???????? 樣本標(biāo)簽

表 5?1樣本標(biāo)簽

5.2.2???????? VBS腳本

VBS腳本文件經(jīng)過混淆處理，并添加大量無關(guān)注釋及一些無用代碼以干擾安全研究人員的分析。腳本執(zhí)行后將數(shù)據(jù)寫入指定注冊(cè)表項(xiàng)“HKCU\Unroast\Coleoptile\Pederasts”中。

執(zhí)行經(jīng)過字符串替換處理的PowerShell指令。

5.2.3???????? 第一階段PowerShell

第一階段PowerShell指令使用自定義的編碼方式對(duì)字符串進(jìn)行解碼，判斷當(dāng)前操作系統(tǒng)的位數(shù)，并選擇相應(yīng)的方式執(zhí)行下一階段指令。

5.2.4???????? 第二階段PowerShell

第二階段的PowerShell代碼利用兩種自定義的編碼方式對(duì)關(guān)鍵字符串進(jìn)行解碼。

獲取API函數(shù)地址，以此調(diào)用指定函數(shù)。

利用反射在內(nèi)存中執(zhí)行代碼塊，以進(jìn)行“無文件攻擊”。

申請(qǐng)兩段內(nèi)存空間，從指定的注冊(cè)表項(xiàng)中讀取已經(jīng)存入的數(shù)據(jù)進(jìn)行Base64解碼，并將解碼后的數(shù)據(jù)劃分為兩段Shellcode分別寫入申請(qǐng)的內(nèi)存空間中執(zhí)行，最終載荷為AgentTesla竊密木馬。安天CERT曾于2018年5月7日發(fā)布《警惕AgentTesla商業(yè)鍵盤記錄器新型變種》[1]、2021年8月12日發(fā)布《商業(yè)竊密木馬AgentTesla新型變種分析》[2]，在這兩篇報(bào)告中對(duì)該竊密木馬進(jìn)行了詳細(xì)的分析，您可依據(jù)參考鏈接前往閱讀，此處不再贅述。

6??????? IoCs

參考鏈接

[1] 警惕AgentTesla商業(yè)鍵盤記錄器新型變種

https://www.antiy.cn/research/notice&report/research_report/20180507.html

[2] 商業(yè)竊密木馬AgentTesla新型變種分析

https://www.antiy.cn/research/notice&report/research_report/20210812.html