AgentTesla 是一个非常活跃的窃密类恶意软件，主要通过电子邮件附件进行传播分发。攻击者正在尝试使用 Telegram 回传数据，但主要还是靠邮件服务器。

恶意软件即服务

AgentTesla 是使用 .NET 开发的 Windows 恶意软件，主要从受害者的系统中窃取敏感信息。由于该恶意软件随处可用而且成本低廉，AgentTesla 被认为是商品化恶意软件的典型代表。恶意软件即服务使水平较低的犯罪分子也可以进行各种类型的攻击，对网络安全状况构成了重大威胁。自从 2014 年开始，AgentTesla 就成为了持续且广泛的威胁。

AgentTesla 也被称为 Negasteal 和 OriginLogger，主要是 2018 年 10 月该恶意软件被揭露后产生的变化。研究人员披露了该恶意软件背后的疑似攻击者，应该是土耳其人。当年信息被披露后，AgentTesla 突然就暂停了销售。2019 年 3 月，攻击者通过 Discord 宣布由于法律问题停止销售，但也介绍了替代方案 OriginLogger。

OriginLogger 实质上就是 AgentTesla 的变种，二者共享开发代码。对 AgentTesla 的检测方法对于识别 OriginLogger 也是有效的，OriginLogger 样本也会被检测为 AgentTesla 家族的恶意样本。和 AgentTesla 类似，OriginLogger 也是恶意软件即服务（MaaS）。OriginLogger 的网站如下所示：

OriginLogger 网站截图

网站售卖使用许可证，最长可达六个月。购买这些许可证后就能够获得使用恶意软件构建工具的权限，支持攻击者定制 AgentTesla 样本文件，包括数据泄露的方法。

由于 AgentTesla 和 OriginLogger 有许多相似之处，将其区分开非常有挑战。本文将二者统称为 AgentTesla，除非要对二者进行比较。

信息窃取程序

名称变化后，该恶意软件一直持续更新。AgentTesla 家族一直位于最常见、最流行的恶意软件排行榜前列，ANY.RUN、MalwareBazaar 与 Unpac.Me 等都可以证明。

通常来说，AgentTesla 会使用带有恶意附件的网络钓鱼邮件进行攻击。攻击者将恶意软件加载程序，如 GuLoader、PureCrypter 与 PrivateLoader，作为初始感染媒介。感染链启动后，最终 Payload 会进行持久化，尽可能保持更长时间收集用户凭据、按键记录、剪贴板信息和屏幕截图。具体来说，可以从浏览器、VPN 客户端、邮件客户端、FTP 客户端、VNC 客户端等应用程序收集各种敏感信息。

数据泄露可以通过各种协议实现，如 SMTP、FTP、HTTP、Telegram 与 Discord。2020 年 8 月，攻击者引入了 Telegram。2022 年 10 月，攻击者引入了 Discord。数据会以明文的形式回传给攻击者，以未加密的状态保留在服务器上。

数据回传

过去的三个月中，研究人员分析了 1500 余个 AgentTesla 样本的配置文件。配置文件中，大约四分之三都是利用电子邮件进行数据泄露。Telegram 已经占比达到 14%，而使用 HTTP 回传数据已经许久未用过了。

数据分析

分析人员分析了 3 个月内 210 次攻击行动中的受害者信息。2023 年 10 月到 12 月期间，至少 5300 台计算机被入侵，共计 2000 余个 IP 地址。根据情况看，受害者最多的是美国、中国与德国。

受害者分布情况

而 AgentTesla 回传的数据中，密码是最常见的。几乎所有共计都会窃取密码，如下所示：

数据泄露类别分类

顶级域名的词云如下所示，大多数是美国公司和中国公司，也有俄罗斯公司、土耳其公司和希腊公司。

按受害者数量排名

这些域名数据反映了受害者的国家分布情况，而查看顶级域名情况时。大多数受害者可能在欧洲，如土耳其、意大利、俄罗斯、波兰、希腊、罗马尼亚、德国和西班牙。

顶级域名排行

后续利用

攻击者获取了这些数据后，要么直接利用这些数据，要么直接出售以供进一步利用。直接利用时，攻击者通常会使用各种身份信息，将资金、加密货币或者其他有价值的资产从受害者账户转移到攻击者的账户。进一步利用时，攻击者可以将数据用于其他以利润为导向的攻击，例如勒索软件攻击和商业电子邮件泄露（BEC）攻击等。事实上，已经有攻击者利用 AgentTesla 恶意软件重定向东南亚、中东和北非的石油公司与天然气公司的金融交易。

总结

2014 年以来，AgentTesla 是一个以恶意软件即服务为卖点的 Windows 恶意软件。该恶意软件后来更名为 OriginLogger，也表明了该恶意软件的适应性。数据分析显示，AgentTesla 的数千名受害者主要在美国、中国与德国。大量数据被泄露，不仅直接构成财务威胁，还助长勒索软件和其他类型的攻击。

Yara

rule agent_tesla
{
    meta:
        description = "Detecting HTML strings used by Agent Tesla malware"
        author = "Stormshield"
        version = "1.0"

    strings:
        $html_username    = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
        $html_pc_name     = "<br>PC&nbsp;Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
        $html_os_name     = "<br>OS&nbsp;Full&nbsp;Name&nbsp;&nbsp;: " wide ascii
        $html_os_platform = "<br>OS&nbsp;Platform&nbsp;&nbsp;&nbsp;: " wide ascii
        $html_clipboard   = "<br><span style=font-style:normal;text-decoration:none;text-transform:none;color:#FF0000;><strong>[clipboard]</strong></span>" wide ascii

    condition:
        3 of them
}

rule AgentTesla
{
    meta:
        author = "kevoreilly"
        description = "AgentTesla Payload"
        cape_type = "AgentTesla Payload"
    strings:
        $string1 = "smtp" wide
        $string2 = "appdata" wide
        $string3 = "76487-337-8429955-22614" wide
        $string4 = "yyyy-MM-dd HH:mm:ss" wide
        //$string5 = "%site_username%" wide
        $string6 = "webpanel" wide
        $string7 = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;:" wide
        $string8 = "<br>IP Address&nbsp;&nbsp;:" wide

        $agt1 = "IELibrary.dll" ascii
        $agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii
        $agt3 = "GetSavedPasswords" ascii
        $agt4 = "GetSavedCookies" ascii
    condition:
        uint16(0) == 0x5A4D and (all of ($string*) or 3 of ($agt*))
}

rule AgentTeslaV2 {
    meta:
        author = "ditekshen"
        description = "AgenetTesla Type 2 Keylogger payload"
        cape_type = "AgentTesla Payload"
    strings:
        $s1 = "get_kbHook" ascii
        $s2 = "GetPrivateProfileString" ascii
        $s3 = "get_OSFullName" ascii
        $s4 = "get_PasswordHash" ascii
        $s5 = "remove_Key" ascii
        $s6 = "FtpWebRequest" ascii
        $s7 = "logins" fullword wide
        $s8 = "keylog" fullword wide
        $s9 = "1.85 (Hash, version 2, native byte-order)" wide

        $cl1 = "Postbox" fullword ascii
        $cl2 = "BlackHawk" fullword ascii
        $cl3 = "WaterFox" fullword ascii
        $cl4 = "CyberFox" fullword ascii
        $cl5 = "IceDragon" fullword ascii
        $cl6 = "Thunderbird" fullword ascii
    condition:
        (uint16(0) == 0x5a4d and 6 of ($s*)) or (6 of ($s*) and 2 of ($cl*))
}

rule AgentTeslaV3 {
    meta:
      author = "ditekshen"
      description = "AgentTeslaV3 infostealer payload"
      cape_type = "AgentTesla payload"
    strings:
        $s1 = "get_kbok" fullword ascii
        $s2 = "get_CHoo" fullword ascii
        $s3 = "set_passwordIsSet" fullword ascii
        $s4 = "get_enableLog" fullword ascii
        $s5 = "bot%telegramapi%" wide
        $s6 = "KillTorProcess" fullword ascii
        $s7 = "GetMozilla" ascii
        $s8 = "torbrowser" wide
        $s9 = "%chatid%" wide
        $s10 = "logins" fullword wide
        $s11 = "credential" fullword wide
        $s12 = "AccountConfiguration+" wide
        $s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
        $s14 = "set_Lenght" fullword ascii
        $s15 = "get_Keys" fullword ascii
        $s16 = "set_AllowAutoRedirect" fullword ascii
        $s17 = "set_wtqQe" fullword ascii
        $s18 = "set_UseShellExecute" fullword ascii
        $s19 = "set_IsBodyHtml" fullword ascii
        $s20 = "set_FElvMn" fullword ascii
        $s21 = "set_RedirectStandardOutput" fullword ascii

        $g1 = "get_Clipboard" fullword ascii
        $g2 = "get_Keyboard" fullword ascii
        $g3 = "get_Password" fullword ascii
        $g4 = "get_CtrlKeyDown" fullword ascii
        $g5 = "get_ShiftKeyDown" fullword ascii
        $g6 = "get_AltKeyDown" fullword ascii

        $m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
        $m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
        $m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
        $m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
        $m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
    condition:
        (uint16(0) == 0x5a4d and (8 of ($s*) or (6 of ($s*) and 4 of ($g*)))) or (2 of ($m*))
}

rule AgentTeslaXor
{
    meta:
        author = "kevoreilly"
        description = "AgentTesla xor-based config decoding"
        cape_type = "AgentTesla Payload"
    strings:
        $decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A}
    condition:
        uint16(0) == 0x5A4D and any of them
}

rule AgentTeslaV4
{
    meta:
        author = "kevoreilly"
        description = "AgentTesla Payload"
        cape_type = "AgentTesla Payload"
        packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
    strings:
        $decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52}
        $decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52}
        $decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52}
    condition:
        uint16(0) == 0x5A4D and all of them
}

rule AgentTeslaV4JIT
{
    meta:
        author = "kevoreilly"
        description = "AgentTesla JIT-compiled native code"
        cape_type = "AgentTesla Payload"
        packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
    strings:
        $decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00}
        $decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8}
        $decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00}
    condition:
        2 of them
}

参考来源

BitSight