[Malware] Agent Tesla
Agent Tesla는 주로 메일의 첨부파일을 통해 유포되는 Infostealer형 악성코드이다. 해당 문서파일에 있는 매크로의 Auto_open을 통해 주로 트리거되며, 인코딩된 매크로가 많다. 매크로된 함수의 내용은 대부분 악성 URL에 mshta 프로세스를 통해 접근하게 유도하는 형태이다. 이 과정에서 공격자는 최대한 매크로를 숨기거나 에러 경고창을 띄워 사용자의 관심을 돌린다.
악성 URL에 접근하면, URL에 내장된 악성 스크립트가 실행된다. 예를 들어 VBSCRIPT가 실행된다고 하면, 굉장히 많은 것들을 할 수 있다. 레지스트리 RunKey에 PowerShell명령어를 저장후 해당 명령어를 실행할 수 있고, 해당 PowerShell 명령어를 통해 추가 악성행위도 가능하게 된다.
개인적으로 유심히 무엇을 하나 봐야할 부분은 다음과 같다.
1) 레지스트리 등록 및 변주 - AutoStart, Defender Off, 윈도우 보안 알림 메시지 창 Off 관련 이벤트가 있는지 분석
2) PowerShell 명령어 - URL이 있다면 해당 사이트가 C2인지 분석
3) 작업 스케줄러 등록 - schtasks
4) Anti-av
5) UAC Bypass
이 과정이 끝났으면, 결국 AgentTesla는 .NET파일이기 때문에 해당 PE 파일을 로딩하고 실행하는 과정이 존재한다. 대부분 인코딩되어있고, .NET안에 데이터를 디코딩해서 또 LOAD하고 INVOKE하는 일련의 과정을 반복하기에 이를 주목하는 것이 포인트라 생각한다. 4D 5A와 새로운 프로세스가 생기는 모니터링 과정을 유심히 지켜보는것이 중요하다. (무한 스냅샷)
결과적으로 주로 SMTP를 이용해 이용자의 정보들을 유출하는 인포스틸러행위를 한다.