多层解密，窃取重要信息！AgentTesla商业间谍木马持续活跃

通过样本信息，我们可以看出该样本是基于exe的安装程序，我们将其解压缩后释放出一个随机命名的文件cwlkewfbz.exe，以及后缀为.sra、.aq的配置文件，用于样本后期执行使用。

通过查看.sra和.aq文件，我们发现这两个文件的信息熵较高，推测两者可能是被加密的文件。

通过查看该文件的信息熵以及PE信息，可知该文件并未被加密或压缩。该文件具有反调试功能。在GetTickCount()的两次调用之间调用Sleep，然后计算两次时钟的差值来检测自身是否正在被动态调试，如发现自身正在被调试，则退出程序。

该文件对pgkayd.aq创建文件映射并将其映射至自身进程（cwlkewfbz.exe）内存空间中，随后便开始循环解密pgkayd.aq内容并执行解密后的文件。

我们将解密后的shellcode dump，并保存为shellcode.bin文件：

我们在shellcode.bin文件中发现如下字符串引用：

其中，djdqvq.sra是初始样本解压后的文件，作用是解析和执行如下API：

• LoadLibraryw

• CreateFilew

• GetFileSize

• VirtualA1loc

• ReadFile

• Istrcatw

• GetTempPathw

• ExitProcess

接下来，我们对该文件进行动态调试分析，发现其使用lstrcatW将C:Users用户名AppDataLocalTemp与djdqvq.sra进行拼接：

随后通过PathAppendW生成路径C:Users用户名AppDataRoamingeirbw，并与gcluga.exe文件名进行拼接。

判断路径（C:Users用户名AppDataRoamingeirbw）是否存在：

若路径不存在，则创建该路径：

然后，判断C:Users用户名AppDataRoamingeirbwgcluqa.exe文件对象路径是否有效：

如有效，则创建该文件，并将djdqvq.sra文件载入进程内存空间。

随后开始对djdqvq.sra文件内容进行解密（前文中提到.sra为被加密文件），解密后我们发现其是一个PE文件，将PE文件保存为C:Users用户名AppDataRoamingeirbwgcluqa.exe：

随后通过添加注册表键值实现自启动，添加的键值名为jfoktdi，键值为：

C:Users用户名AppDataRoamingeirbwgcluqa.exe。

将解密后的PE文件dump为shellcode_sra_unpack.exe，静态文件分析可知该文件未被加密或混淆：

shellcode_sra_unpack.exe资源中又内嵌了一个PE文件：

shellcode_sra_unpack.exe逻辑简单，将资源段中的PE文件加载至内存后执行其代码：

我们将资源中的PE文件dump为0001.exe文件后继续分析。

静态文件分析可知0001.exe为.NET程序，通过文件信息熵判断文件经过混淆：

通过动态调试，我们发现该文件的主要功能是窃取信息。其首先会网络请求域名hxxps[:]//api[.]ipify[.]org，获取本机外网IP。

收集系统信息：

通过SMTP协议发送邮件，其中，收件人信息为prince[.]omd@yandex[.]com：

收集击键信息：

收集如下常用软件数据：