0x00 前言
AgentTesla是一款著名的商业木马。由C#编写,写本文的目的是记录AgentTesla的一些相关信息,方便以后对该家族的木马进行快速的定位。
0x01 分析报告
首先需要收集各家的分析报告:
腾讯20年:https://bbs.pediy.com/thread-260169.htm
腾讯17年:https://www.freebuf.com/column/149525.html
个人16年:https://www.freebuf.com/news/113285.html
个人19年:https://blog.csdn.net/systemino/article/details/97411923
个人20年:https://www.4hou.com/posts/2O4v(这个马我也分析过,写了详细的报告)
首先,通过收集并阅读这些报告,我们可以知道在近几年,AgentTesla都逐步更新和完善了哪些功能,技术上有哪些新的实现。
传播方式:
- 钓鱼邮件传播
攻击特点:
使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll。攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。
IOCs
a2bf53ed2269b816d8c28e469e8c2603
adfd08c1928106a23c6ef0464885dfb9
URL
http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php
http[:]//chelitos.com.ve/shit.exe