Agent Tesla. Учимся реверсить боевую малварь в Ghidra

Кро­ме того, мы стол­кнем­ся:

• с рас­паков­кой инстал­лятора NSIS и ана­лизом получен­ного инстал­ляци­онно­го скрип­та, который нам поможет в рас­паков­ке;
• по­иском фун­кции main при ее обвязке в CRT (мож­но будет уди­вить­ся, сколь­ко кода неяв­но закиды­вает ком­пилятор в .exe);
• рас­шифров­кой и дам­пингом шелл‑кода и пред­варитель­ным поис­ком его по фун­кции выделе­ния памяти;
• пра­виль­ной заг­рузкой получен­ного шелл‑кода в дизас­сем­блер.

В этот раз я отой­ду от сво­ей тра­диции исполь­зовать IDA Pro для ревер­синга: вмес­то это­го возь­мем Ghidra. С момен­та ее выпус­ка прош­ло уже нес­коль­ко лет, она обза­велась вну­шитель­ным спис­ком баг­фиксов и новых фич, к тому же она бес­плат­на и пос­тоян­но обновля­ется.

Подготовительные работы

На­чина­ем этап пред­варитель­ной раз­ведки: закиды­ваем семпл в детек­тор пакеров и про­тек­торов DiE. Выяс­няем, что мал­варь пос­тавля­ется в виде инстал­лятора NSIS.

Из­вле­каем содер­жимое инстал­лятора и получа­ем нес­коль­ко фай­лов. Обра­ти вни­мание, что сре­ди рас­пакован­ных фай­лов дол­жен быть скрипт NSIS, который содер­жит полез­ную информа­цию. Для рас­паков­ки я исполь­зовал уста­рев­шую вер­сию 7-Zip (под­дер­жка извле­чения скрип­тов начина­ется с вер­сии 4.42 и прек­раща­ется в вер­сии 15.06).

В этой час­ти скрип­та мы видим спи­сок фай­лов в инстал­ляторе и парамет­ры запус­ка единс­твен­ного .exe (это инте­рес­но и при­годит­ся нам в даль­нейшем). Сре­ди про­чих дан­ных скрип­та есть путь уста­нов­ки InstallDir $TEMP. Теперь пос­мотрим на PE-файл в DiE.

Вид­но, что файл написан на C/C++, ском­пилиро­ван для 32-бит­ных сис­тем и, судя по не осо­бен­но высокой энтро­пии, не запако­ван. Приш­ло вре­мя заг­рузить его в Ghidra.

Реверсим

Сре­ди фун­кций, перечис­ленных в таб­лице импорта, есть упо­мина­ние VirtualAlloc. Она‑то нас и инте­ресу­ет, потому что мал­варь час­то исполь­зует ее для выделе­ния памяти под рас­паков­ку. Вос­ста­нав­лива­ем перек­рес­тную ссыл­ку и видим фун­кцию, в которой она вызыва­ется.

Мы мог­ли бы поп­робовать пой­ти «быс­трым» путем: заг­рузить вре­донос в отладчик, пос­тавить бряк на VirtualAlloc и... обло­мать­ся, потому что Agent Tesla завер­шится рань­ше бря­ка. Поэто­му всег­да советую в пер­вую оче­редь осмотреть инте­рес­ные вызовы и при­лега­ющий к ним код в ста­тике.

Фун­кция неболь­шая, при­веду лис­тинг деком­пилято­ра Ghidra пол­ностью. Тем более что она нам инте­рес­на поч­ти вся.

Здесь сра­зу бро­сают­ся в гла­за стро­ки кода, содер­жащие прос­тую анти­отладку:

Это извес­тный анти­отла­доч­ный при­ем, который про­веря­ет ско­рость выпол­нения кода. Если код выпол­няет­ся слиш­ком мед­ленно (замеря­ем вре­мя выпол­нения в мил­лисекун­дах при помощи двух вызовов GetTickCount), перемен­ная BVar3 при­нима­ет зна­чение 0, и прог­рамма завер­шает­ся.