什么是特斯拉特工恶意软件?
Agent Tesla 是一种基于 .Net 的远程访问木马(RAT)和数据窃取程序,用于获取初始访问权限,通常用于恶意软件即服务(MaaS)。在这种犯罪商业模式中,被称为初始访问经纪人(IAB)的威胁行为者将其利用企业网络的专业技能外包给关联犯罪集团。作为第一阶段的恶意软件,Agent Tesla 可以远程访问被入侵的系统,然后用来下载更复杂的第二阶段工具,包括勒索软件。
Agent Tesla 于 2014 年首次出现,并在 20 世纪 20 年代被用于 COVID-19 PPE 主题的网络钓鱼活动,从而激增。Agent Tesla 发送的电子邮件附带.zip、.gz、.cab、.msi和.img文件以及带有恶意 Visual Basic 应用程序 (VBA) 宏的 Microsoft Office 文档,以入侵受害者系统。Agent Tesla 网络钓鱼活动因精确复制合法公司的通信语气和视觉模板(包括徽标和字体)而臭名昭著。
虽然 Agent Tesla 本身的第二阶段功能不如其他恶意软件系列复杂,但它可以有效窃取大量敏感信息。它还为攻击者提供了一个易于使用的界面,用于监控攻击过程和下载窃取的信息,因此成为 IAB 颇具吸引力的恶意软件选择。
最新 特斯拉特工 新闻
- 部署代理特斯拉、OriginBotnet 和 RedLine Clipper 的复杂网络钓鱼活动(The Hacker News)
- 警报:网络钓鱼活动提供新的 SideTwist 后门和代理特斯拉变种(The Hacker News)
- 高级 RAT 代理特斯拉十月份最猖獗的恶意软件(Infosecurity Magazine)
- 恶意软件制作者使用新手法利用代理特斯拉 RAT 攻击受害者(CSO Online)
特斯拉特工如何工作
Agent Tesla 利用几种不同的文件附件漏洞和规避技术来躲避恶意软件扫描仪和垃圾邮件过滤器的检测。其中一种规避技术是反复更改攻击者指挥控制(C2)服务器的 IP 地址和用于发送钓鱼邮件的域名,以避免被识别。Agent Tesla 的另一种隐蔽技术是随机化源代码中的字符串,这样有效载荷的签名就不容易与以前的版本进行比较。
一旦主要有效载荷被下载并在目标系统上执行,Agent Tesla 就会评估本地系统环境,以确定是否存在调试、虚拟化或沙盒工具。如果没有恶意软件分析工具,它只会继续解密主要有效载荷的后续组件。接下来,恶意软件会连接到 C2 服务器,通知攻击者有新的受害者可供进一步利用。
Agent Tesla 可以从浏览器、FTP 客户端和无线配置文件中窃取凭证等数据,但其最常见的用途是确保可在暗网上出售的初始访问权限。
Agent Tesla 一般采用与其他初始访问恶意软件相同的攻击策略(恶意电子邮件附件),可能与其他网络钓鱼活动一目了然。Agent Tesla 使用的最常见电子邮件附件文件名是Supplier-Face Mask Forehead Thermometer.pdf.gz; ,其迄今为止最广泛的活动是 COVID-19 PPE 钓鱼欺诈 。
特斯拉特工网络钓鱼活动还利用了一种与错别字抢注(又称域名劫持)相关的策略,即使用与其模仿的公司相似但略有改动的域名。Agent Tesla 威胁行为者还会利用企业电子邮件服务器的错误配置,发送看似来自公司网域的电子邮件。
Agent Tesla 能够旋转 C2 IP 地址并修改源代码中的字符串,这使其能够有效地避免被恶意软件扫描仪和电子邮件垃圾邮件过滤器检测到。不过,由于恶意软件开发人员较难改变恶意软件的战术、技术和程序(TTP),端点检测和响应(EDR)安全产品和扩展 EDR(XDR)产品可有效识别 Agent Tesla 的破坏指标(IOC)并阻止其有效载荷的执行。
防止特斯拉特工成功攻击的最有效方法:
- 配置电子邮件客户端,以便在电子邮件来自组织外部时通知用户
- 对员工进行有关网络钓鱼技术的教育,并制定处理可疑电子邮件和文件的标准操作程序 (SOP)
- 认识到来源不明的文件所带来的更大风险,并在打开这些文件之前彻底核实其来龙去脉
- 确保 Office 应用程序配置为 在无通知的情况下禁用所有宏 或 禁用除数字签名宏以外的所有宏 设置
- 特别注意电子邮件客户端和 Office 应用程序中的警告通知,它们会提醒您注意可疑的上下文,例如未经恶意软件扫描或包含 VBA 宏的文件
- 安装和配置高级端点安全产品,在加密文件解密后立即对其进行扫描,并识别网络及其端点上的 IOC
