AgentTesla最新变体剖析-通过Web Panel方式窃取终端隐私数据
字数 2738 2025-08-24 20:49:22

AgentTesla最新变体技术分析报告

1. 概述

Agent Tesla是一种高度可定制的远程访问木马(RAT),自2014年首次出现以来不断更新迭代。最新变体采用多层载荷释放和Web Panel方式进行数据窃取,具有以下特点:

  • 多阶段载荷释放机制
  • 复杂的内存加载技术
  • 多种反分析检测手段
  • 广泛的敏感信息窃取能力

2. AgentTesla发展历程

年份 主要更新
2014 首次作为键盘记录器在土耳其语网站出售
2017 采用HTTP协议传输数据
2018 开始使用SMTP进行数据传输
2020 新增WIFI密码窃取功能

3. 样本分析流程

3.1 初始样本(Zhrp.exe)

  • MD5: F8C9DFD7934FF3F3688E61D599A15424
  • 混淆处理:使用代码混淆技术,需用de4dot工具去混淆
  • 资源文件:包含加密的SimpleLogin.dll

解密SimpleLogin.dll

  1. 从资源中检索名为"off"的嵌入式资源
  2. 使用自定义算法解密:
    • 使用内置的first、second数组作为密钥
    • 解密后得到SimpleLogin.dll(PE文件)

3.2 SimpleLogin.dll分析

  • MD5: 9E4AEA62EE76EFB9013E6440AFD8FFE6
  • 主要功能:
    • 调用LoginForm类中的Justy方法(参数:6643416A、687077、AndroidSignTool)
    • 解密并加载Gamma.dll

解密Gamma.dll

  1. 从资源中检索"Key0"资源
  2. 使用GZIP算法解压缩
  3. 得到Gamma.dll(PE文件)

3.3 Gamma.dll分析

  • MD5: E4B5D57E9E46A4E76075B5B92F71577F
  • 关键函数:
    • CausalitySource: 十六进制转ASCII
    • SearchResult: 使用"hpw"密钥解密位图中的载荷

3.4 Tyrone.dll分析

  • MD5: DD277CD241B6D02B873DA7D0AFA6D2A4
  • 获取方式:
    1. 从Zhrp.exe资源中检索"fCAj"位图资源
    2. 提取加密载荷
    3. 调用Gamma.dll的SearchResult函数解密

主要功能

  • 解密配置信息:
    0||1||0||1||0||||||1||1||1||0||||||||||||||0||0||0||0||0||0||0||0||4.0||2||12640||0||0||||||0||0||1||3||3||auto||1||.exe||

  • 持久化技术:

    • 复制到%APPDATA%目录
    • 创建计划任务实现自启动

  • 解密最终载荷:

    • 从"PVrTN"资源解密bfb5da9f-48ba-40d7-85d4-7ec204e8e6d3.exe

3.5 最终载荷(Agent Tesla)

  • MD5: ABE56DDEE7C45D74EA2A4416DA6387A4
  • 进程保护:
    • 检查并关闭同名进程实例
    • 使用进程替换技术注入内存

反分析技术

  1. 调试检测:调用CheckRemoteDebuggerPresent
  2. 托管检测:访问ip-api.com检查是否托管服务
  3. 沙箱检测:多种反沙箱技术
  4. 虚拟机检测:反虚拟机技术
  5. 计时器检测:检测代码执行时间

数据窃取功能

  • 浏览器凭证:支持40+种浏览器
  • 键盘记录:记录所有键盘输入
  • 屏幕截图:定期截取屏幕
  • 剪贴板数据:窃取剪贴板内容
  • 网络信息:获取公网IP(通过api.ipify.org)

持久化技术

  1. 复制到%APPDATA%\Adobe\Adobe.exe
  2. 添加注册表自启动项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

数据外传

  • C2服务器:https://dancingtutorial.com.ng/blackmarket/inc/ed02af730792a8.php
  • 下载模块:https://mzcomedy.com.ng/wp/wp-content/uploads/calc.exe

4. 相关IOC

4.1 文件哈希

文件名 MD5哈希
Zhrp.exe F8C9DFD7934FF3F3688E61D599A15424
SimpleLogin.dll 9E4AEA62EE76EFB9013E6440AFD8FFE6
Gamma.dll E4B5D57E9E46A4E76075B5B92F71577F
Tyrone.dll DD277CD241B6D02B873DA7D0AFA6D2A4
bfb5da9f-48ba-40d7-85d4-7ec204e8e6d3.exe ABE56DDEE7C45D74EA2A4416DA6387A4

4.2 网络IOC

  • C2服务器:
    • https://dancingtutorial.com.ng/blackmarket/inc/ed02af730792a8.php
    • https://mailx.org.ng/original/inc/812961c72ca62b.php
  • 下载地址:
    • https://mzcomedy.com.ng/wp/wp-content/uploads/calc.exe

5. 检测与防护建议

5.1 检测指标

  1. 进程行为:
    • 进程替换技术(CreateProcessA+WriteProcessMemory)
    • 同名进程互斥
  2. 文件行为:
    • %APPDATA%目录下可疑PE文件
    • 计划任务创建
  3. 网络行为:
    • 访问api.ipify.org获取IP
    • 连接可疑域名(dancingtutorial.com.ng等)

5.2 防护措施

  1. 应用白名单:限制未知程序执行
  2. 网络监控:阻断可疑域名连接
  3. 行为分析:检测进程注入行为
  4. 定期更新:保持杀毒软件最新
  5. 安全意识:不打开可疑附件

6. 技术总结

AgentTesla最新变体展现了高度模块化和复杂化的恶意软件发展趋势:

  1. 多层加密:使用多种加密算法保护核心组件
  2. 内存加载:避免文件落地,规避传统检测
  3. 广泛窃取:覆盖浏览器、键盘、剪贴板等多维度数据
  4. 强对抗性:集成多种反分析、反调试技术
  5. 灵活C2:采用Web Panel方式接收数据,便于更换控制端

安全研究人员应持续关注此类恶意软件的演化,及时更新检测规则和防护策略。

AgentTesla最新变体技术分析报告 1. 概述 Agent Tesla是一种高度可定制的远程访问木马(RAT),自2014年首次出现以来不断更新迭代。最新变体采用多层载荷释放和Web Panel方式进行数据窃取,具有以下特点: 多阶段载荷释放机制 复杂的内存加载技术 多种反分析检测手段 广泛的敏感信息窃取能力 2. AgentTesla发展历程 | 年份 | 主要更新 | |------|----------| | 2014 | 首次作为键盘记录器在土耳其语网站出售 | | 2017 | 采用HTTP协议传输数据 | | 2018 | 开始使用SMTP进行数据传输 | | 2020 | 新增WIFI密码窃取功能 | 3. 样本分析流程 3.1 初始样本(Zhrp.exe) MD5 : F8C9DFD7934FF3F3688E61D599A15424 混淆处理:使用代码混淆技术,需用de4dot工具去混淆 资源文件:包含加密的SimpleLogin.dll 解密SimpleLogin.dll 从资源中检索名为"off"的嵌入式资源 使用自定义算法解密: 使用内置的first、second数组作为密钥 解密后得到SimpleLogin.dll(PE文件) 3.2 SimpleLogin.dll分析 MD5 : 9E4AEA62EE76EFB9013E6440AFD8FFE6 主要功能: 调用LoginForm类中的Justy方法(参数:6643416A、687077、AndroidSignTool) 解密并加载Gamma.dll 解密Gamma.dll 从资源中检索"Key0"资源 使用GZIP算法解压缩 得到Gamma.dll(PE文件) 3.3 Gamma.dll分析 MD5 : E4B5D57E9E46A4E76075B5B92F71577F 关键函数: CausalitySource : 十六进制转ASCII SearchResult : 使用"hpw"密钥解密位图中的载荷 3.4 Tyrone.dll分析 MD5 : DD277CD241B6D02B873DA7D0AFA6D2A4 获取方式: 从Zhrp.exe资源中检索"fCAj"位图资源 提取加密载荷 调用Gamma.dll的SearchResult函数解密 主要功能 解密配置信息: 0||1||0||1||0||||||1||1||1||0||||||||||||||0||0||0||0||0||0||0||0||4.0||2||12640||0||0||||||0||0||1||3||3||auto||1||.exe|| 持久化技术: 复制到%APPDATA%目录 创建计划任务实现自启动 解密最终载荷: 从"PVrTN"资源解密bfb5da9f-48ba-40d7-85d4-7ec204e8e6d3.exe 3.5 最终载荷(Agent Tesla) MD5 : ABE56DDEE7C45D74EA2A4416DA6387A4 进程保护: 检查并关闭同名进程实例 使用进程替换技术注入内存 反分析技术 调试检测 :调用CheckRemoteDebuggerPresent 托管检测 :访问ip-api.com检查是否托管服务 沙箱检测 :多种反沙箱技术 虚拟机检测 :反虚拟机技术 计时器检测 :检测代码执行时间 数据窃取功能 浏览器凭证 :支持40+种浏览器 键盘记录 :记录所有键盘输入 屏幕截图 :定期截取屏幕 剪贴板数据 :窃取剪贴板内容 网络信息 :获取公网IP(通过api.ipify.org) 持久化技术 复制到%APPDATA%\Adobe\Adobe.exe 添加注册表自启动项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 数据外传 C2服务器 :https://dancingtutorial.com.ng/blackmarket/inc/ed02af730792a8.php 下载模块 :https://mzcomedy.com.ng/wp/wp-content/uploads/calc.exe 4. 相关IOC 4.1 文件哈希 | 文件名 | MD5哈希 | |--------|---------| | Zhrp.exe | F8C9DFD7934FF3F3688E61D599A15424 | | SimpleLogin.dll | 9E4AEA62EE76EFB9013E6440AFD8FFE6 | | Gamma.dll | E4B5D57E9E46A4E76075B5B92F71577F | | Tyrone.dll | DD277CD241B6D02B873DA7D0AFA6D2A4 | | bfb5da9f-48ba-40d7-85d4-7ec204e8e6d3.exe | ABE56DDEE7C45D74EA2A4416DA6387A4 | 4.2 网络IOC C2服务器: https://dancingtutorial.com.ng/blackmarket/inc/ed02af730792a8.php https://mailx.org.ng/original/inc/812961c72ca62b.php 下载地址: https://mzcomedy.com.ng/wp/wp-content/uploads/calc.exe 5. 检测与防护建议 5.1 检测指标 进程行为: 进程替换技术(CreateProcessA+WriteProcessMemory) 同名进程互斥 文件行为: %APPDATA%目录下可疑PE文件 计划任务创建 网络行为: 访问api.ipify.org获取IP 连接可疑域名(dancingtutorial.com.ng等) 5.2 防护措施 应用白名单:限制未知程序执行 网络监控:阻断可疑域名连接 行为分析:检测进程注入行为 定期更新:保持杀毒软件最新 安全意识:不打开可疑附件 6. 技术总结 AgentTesla最新变体展现了高度模块化和复杂化的恶意软件发展趋势: 多层加密 :使用多种加密算法保护核心组件 内存加载 :避免文件落地,规避传统检测 广泛窃取 :覆盖浏览器、键盘、剪贴板等多维度数据 强对抗性 :集成多种反分析、反调试技术 灵活C2 :采用Web Panel方式接收数据,便于更换控制端 安全研究人员应持续关注此类恶意软件的演化,及时更新检测规则和防护策略。