译者:知道创宇404实验室翻译组
原文链接:https://isc.sans.edu/diary/rss/28190

引言

Agent Tesla是一个基于 windows 的键盘记录程序和 RAT,通常使用 SMTP 或 FTP 来窃取数据。这个恶意软件自2014年就存在了,SMTP 是它最常用的数据泄露方法。

这段时间,我回顾了 Agent Tesla 最近的一个样本感染后的流量,揭示了 Agent Tesla 的 SMTP 数据外泄技术的变化。

直到2021年11月,Agent Tesla 的样本通过托管服务提供商建立的邮件服务器给被感染或可能上当的账户发送他们的电子邮件。自2021年12月以来,Agent Tesla 现在使用这些被感染的电子邮件帐户给发送 Gmail 地址发送被盗数据。

img

上图显示: Agent Tesla SMTP 数据外泄的最新变化流程图

技术变化前的 SMTP 泄露

Agent Tesla 通常通过电子邮件分发,下面的示例可能是2021-11-28发送的恶意垃圾邮件的附件。

SHA256 hash: bdae21952c4e6367fe534a9e5a3b3eb30d045dcb93129c6ce0435c3f0c8d90d3

  • 文件大小: 523,919字节
  • 文件名: Purchase Order Pending quantty.zip
  • 最早内容修改: 2021-11-28 19:55:50 UTC

SHA256 hash: aa4ea361f1f084b054f9871a9845c89d68cde259070ea286babeadc604d6658c

  • 文件大小: 557,056字节
  • 文件名: Purchase Order Pending Quantty.exe
  • 2021-11-29以来对any.run的分析: 链接

对 Any.Run 的分析显示了一个典型的 SMTP 数据外泄路径。受感染的 Windows 主机向一个电子邮件地址发送了一条带有被盗数据的消息,而该地址位于主机提供商建立的邮件服务器上。

img

上面显示的是来自 Wireshark 筛选的Any.Run分析的流量

img

如上所示: SMTP 流的 TCP 流显示被盗的数据发送到被攻击的电子邮件帐户

技术变更后的样本

下面的Agent Tesla样本可能是2021-12-01发送的恶意垃圾邮件的附件。

SHA256 hash: 6f85cd9df964afc56bd2aed7af28cbc965ea56e49ce84d4f4e91f4478d378f94

  • 文件大小: 375,734字节
  • 文件名: 未知
  • 最早内容修改: 2021-12-0105:02:06 UTC

SHA256 hash: ff34c1fd26b699489cb814f93a2801ea4c32cc33faf30f32165b23425b0780c7

  • 文件大小: 537,397字节
  • 文件名: Partial Shipment.exe
  • 2021-12-01以来Any.Run分析: 链接

Any.Run 对这个恶意软件样本分析的 pcap文件显示了一个新的数据外泄路径。受感染的 Windows 主机使用一个由主机提供商建立的邮件服务器的受感染电子邮件帐户向一个 Gmail 地址发送了一条包含被盗数据的邮件。

img](https://isc.sans.edu/diaryimages/images/2021-12-30-ISC-image-04.jpg)

上面显示的是来自 Wireshark 筛选的Any.Run分析的流量

img](https://isc.sans.edu/diaryimages/images/2021-12-30-ISC-image-05.jpg)

上面显示的是: TCP 流显示了被盗用的数据,这些数据通过被感染的电子邮件帐户发送到 Gmail 地址

写在最后的话

The basic tactics of Agent Tesla have not changed. However, post-infection traffic from samples since 2021-12-01 indicates Agent Tesla using STMP for data exfiltration now sends to Gmail addresses. Based on the names of these addresses, I believe they are fraudulent Gmail accounts, or they were specifically established to receive data from Agent Tesla.

Agent Tesla 的基本策略没有改变。然而,自2021-12-01年以来的样本感染后流量显示,Agent Tesla 使用 STMP 进行数据外泄,现在发送到 Gmail 地址。根据这些地址的名字,我认为它们是伪造的 Gmail 账户,或者它们是专门用来接收Agent Tesla的数据。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1805/