利用GuLoader加载器投递AgentTesla的钓鱼活动分析

1.概述

---

近几年，AgentTesla窃密木马持续活跃，安天CERT多次监测到针对国内政企机构、高等院校投递该窃密木马的攻击活动。自今年2月以来，安天CERT监测到利用GuLoader加载器投递AgentTesla窃密木马的新一轮钓鱼活动。攻击者以产品报价为主题，向欧洲、亚洲多个国家的制造、能源、互联网等领域的企业发送钓鱼邮件，并在其中发现一起针对国内某企业的攻击活动。

GuLoader于2019年底出现，是一种恶意文件加载器，通过钓鱼邮件分发并加载其他恶意文件。该加载器使用多种混淆手段试图规避安全产品的检测，并采用大量对抗逆向分析手段阻碍安全研究人员的分析。在此次钓鱼邮件活动中，攻击者以项目报价邀请函为主题对我国汽车行业某企业发送钓鱼邮件，将附件中的文件以项目名称命名，诱导目标执行附件中的VBS脚本，从而执行GuLoader加载器将Shellcode加载至内存中，投递的最终载荷为AgentTesla窃密木马。

AgentTesla是一种使用.NET语言编写的商业窃密木马，具备键盘记录、屏幕截屏、窃取指定软件密码等多种窃密功能，并且可以利用Tor匿名网络、电子邮件、FTP和HTTP等方式进行回传，从而达到窃取受害者信息的目的。安天CERT曾于2018年5月7日发布《警惕AgentTesla商业键盘记录器新型变种》^[1]、2021年8月12日发布《商业窃密木马AgentTesla新型变种分析》^[2]，在这两篇报告中对该窃密木马进行了详细的分析。

经验证，安天智甲终端防御系统（简称IEP）可实现对此类加载器、窃密木马等恶意软件的有效查杀。

2.本次攻击活动对应的ATT&CK映射图谱

---

本次攻击活动对应的ATT&CK技术特点分布图：

图2‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表2‑1 事件对应的ATT&CK技术行为描述表

3.防护建议

---

3.1 识别钓鱼邮件

（1）查看邮件发件人：警惕发送“公务邮件”的非组织的发件人；

（2）看收件人地址：警惕群发邮件，可联系发件人确认；

（3）看发件时间：警惕非工作时间发送的邮件；

（4）看邮件标题：警惕具备“订单”、“票据”、“工资补贴”、“采购”等关键词的标题的邮件；

（5）看正文措辞：警惕以“亲”、“亲爱的用户”、“亲爱的同事”等较为泛化问候的邮件；

（6）看正文目的：警惕以“系统升级”、“系统维护”、“安全设置”等名义索取邮

箱账号密码的邮件；

（7）看正文内容：警惕其中附带的网页链接，特别是短链接；

（8）看附件内容：查看前，须使用防毒软件对附件进行病毒扫描检测。

3.2 日常邮箱安全使用防护

（1）安装终端防护软件：安装终端防护软件，开启防护软件中对邮件附件的扫描检测功能，定期对系统进行安全检测，修复系统漏洞。

（2）邮箱登录口令：邮箱登录口令设置时确保具备一定复杂性（包含三种字符元素），确保口令不记录于办公区明显位置，定期修改登录口令。

（3）邮箱账号要绑定手机：邮箱账号绑定手机后，不仅可以找回密码，还可以接收“异常登录”的提示短信，即时处置。

（4）重要文件要做好防护：

     a) 及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件；

     b) 备份重要文件，防止被攻击后文件丢失；

     c) 重要邮件或附件应加密发送，且正文中不能附带解密密码。

（5）敏感信息要保护：不要将敏感信息发布到互联网上，用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据，有针对性的向用户发送钓鱼邮件。

3.3 政企机构防护

（1）安装终端防护软件：安装反病毒软件，建议安装安天智甲终端防御系统；

（2）加强口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

（3）部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

（4）安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该恶意文件的有效查杀和对用户终端的切实防护。

图3‑1 安天智甲实现对用户终端的有效防护

4.邮件分析

---

4.1 邮件信息

攻击者针对目标用户投放钓鱼邮件，邮件的主题为某项目报价邀请函，并在邮件的正文中给出了关于投标该项目的说明。

图4‑1 钓鱼邮件内容

该邮件存在两个附件：一个html文件和一个压缩包文件。其中html文件是一个钓鱼网页，伪装成在线表单，用于窃取用户的邮箱密码；同时压缩包中含有一个VBS脚本，用于执行GuLoader加载器并向目标系统投递AgentTesla窃密木马。

图4‑2 钓鱼网页

对邮件信息进行分析后发现，发件人的邮箱及IP地址匹配，未经过伪造。推测攻击者可能先前使用相似的钓鱼手法窃取了目标公司员工的邮箱，并利用窃取邮箱针对其他员工实施进一步的钓鱼攻击。

4.2 关联分析

对邮件进行进一步的关联分析后，发现自2月8日出现多起利用GuLoader加载器投递AgentTesla窃密木马的钓鱼活动，邮件主题大多与产品报价相关，目标涉及欧洲、亚洲多个国家的制造、能源、互联网等领域的企业。对相关样本进行分析后，发现其中的攻击载荷存在高度的相似性，推测由同一攻击组织所发起。

图4‑3 对德国某企业发送的钓鱼邮件

图4‑4 对西班牙某企业发送的钓鱼邮件

5.样本分析

---

邮件中含有两个附件，其中html文件是一个钓鱼页面，用于窃取用户的邮箱密码；压缩包中含有一个VBS脚本，用于执行GuLoader加载器。

图5‑1 相关附件

5.1 钓鱼页面

html文件中的代码经过混淆处理，并设置反调试以阻碍分析。

图5‑2 html文件

攻击者将其伪装成在线表单，用于窃取用户的邮箱密码。

图5‑3 钓鱼页面窃取邮箱密码

5.2 GuLoader加载器

5.2.1 样本标签

表5‑1 样本标签

5.2.2 VBS脚本

VBS脚本文件经过混淆处理，并添加大量无关注释及一些无用代码以干扰安全研究人员的分析。脚本执行后将数据写入指定注册表项“HKCU\Unroast\Coleoptile\Pederasts”中。

图5‑4 将数据写入注册表中

执行经过字符串替换处理的PowerShell指令。

图5‑5 执行指令

5.2.3 第一阶段PowerShell

第一阶段PowerShell指令使用自定义的编码方式对字符串进行解码，判断当前操作系统的位数，并选择相应的方式执行下一阶段指令。

图5‑6 PowerShell指令

5.2.4 第二阶段PowerShell

第二阶段的PowerShell代码利用两种自定义的编码方式对关键字符串进行解码。

图5‑7 两种自定义编码方式

获取API函数地址，以此调用指定函数。

图5‑8 获取函数

利用反射在内存中执行代码块，以进行“无文件攻击”。

图5‑9 反射执行

申请两段内存空间，从指定的注册表项中读取已经存入的数据进行Base64解码，并将解码后的数据划分为两段Shellcode分别写入申请的内存空间中执行，最终载荷为AgentTesla窃密木马。安天CERT曾于2018年5月7日发布《警惕AgentTesla商业键盘记录器新型变种》^[1]、2021年8月12日发布《商业窃密木马AgentTesla新型变种分析》^[2]，在这两篇报告中对该窃密木马进行了详细的分析，您可依据参考链接前往阅读，此处不再赘述。

图5‑10 执行Shellcode

6.参考IoCs

---

IoCs

DE7CFF093920A47ECAFFE6566E3BF66C

0D6AE3ECEBF610F5718B7C43AE14239F

8A1C57092616A9BF581E4B89A280B0B9

hxxps://portal-test.xperiorlist.com/DCQxHDrDFYuN76.toc

hxxps://emilie.businessup.be/wp-includes/chn/OSEYggrugye738uhddwhudrwhJHD.php

参考链接

---

[1] 警惕AgentTesla商业键盘记录器新型变种

https://www.antiy.cn/research/notice&report/research_report/20180507.html

[2] 商业窃密木马AgentTesla新型变种分析

https://www.antiy.cn/research/notice&report/research_report/20210812.html