恶意文件AgentTesla贼心不死，换壳之后卷土重来

　　恶意家族名称：AgentTesla
　　威胁类型：间谍软件
　　简单描述：2023年2月13日，捕获新型间谍软件。
　　恶意事件描述
　　2023年2月13日，捕获新型间谍软件，此次事件中的恶意程序通过钓鱼邮件传播，当受害者解压邮件附件并执行其中的恶意程序之后，该程序会通过PowerShell添加Defender扫描白名单并创建计划任务，之后执行窃密操作。
　　恶意事件分析
　　通过进程执行链可以发现该样本是通过钓鱼邮件投递，受害者解压之后执行。
　　该样本是一个。NET编写的窃密程序，通过对资源节区的数据进行解密还原出恶意模块，然后使用反射加载的方式执行该模块。
　　调试发现该恶意模块名为B4000。入口函数为Melvin。White。跟进函数，首先使用Sleep休眠了44s，在对一段硬编码的数据进行base64解码后再解压缩，还原出一个PE文件。
　　同样使用反射加载的方式加载还原出来的PE，名为Cruiser，在通过加载模块中的函数从图像中提取出另外一个模块HIVacSim，同样使用反射加载。找到模块入口函数如下：
　　进入模块之后会执行一系列恶意操作。
　　释放文件
　　从资源节区中释放文件至C：UsersUserNAmeAppDataRoamingNgsWWESFAPv。exe
　　，释放的文件与当前文件一致。
　　创建计划任务
　　通过schtasks。exe从XML文件中创建计划任务，二进制文件指向C：UsersUserNameAppDataingRomaingNgsWWSFAPv。exe。
　　添加Defender白名单
　　通过Powershell添加Defender白名单。
　　创建傀儡进程
　　创建傀儡进程步骤大致如下：
　　1。通过GetThreadContext获取线程内容
　　2。使用ReadProcessMemory读取进程内容
　　3。使用VirtualAllocEx在傀儡进程中分配空间
　　4。使用WriteProcessMemory往分配的内存中写入数据，
　　5。使用SetThreadContext设置执行入口。
　　6。使用ResumeThread恢复傀儡进程的主线程。
　　在SetThreadContext处下一个断点，找到傀儡进程入口点：
　　在写完数据并激活傀儡进程之后当前进程就会结束，导出写完数据的傀儡进程继续调试。
　　信息主机收集
　　通过Win32BaseBoard获取主板信息，之后获取主机和用户名信息等。
　　获取公网IP
　　收集软件信息
　　收集多种浏览器信息。
　　在多个trycatch中收集特定安装程序的数据：
　　包括discord、Clawsmail、eMClient、FileZilla、Foxmail、FTPNavigator、WinSCP、RealVNC、MySQL等程序、以及系统凭证等信息。
　　发送数据
　　将收集到的数据进行处理之后通过邮件发送到特定邮箱。
　　解决方案
　　处置建议
　　1。删除计划任务
　　2。取消Defender白名单
　　3。终结该进程及其子进程并删除对应文件。
　　fromhttps：www。secpulse。comarchives197248。html