最近，网络安全公司趋势科技（ Trend Micro）监测到了一起恶意垃圾电子邮件活动。传播的有效载荷从最开始的间谍木马“Agent Tesla”（也被称为“Negasteal”），再到后来的远控木马“Ave Maria”（也被称为“Warzone”），似乎预示着这起活动背后的黑客正朝着部署更具破坏力的恶意软件转变。

值得注意的是，垃圾电子邮件使用了IOS镜像文件以及RAR和LZH压缩文件作为附件，旨在绕过安全检测，进而提升感染的成功率。

垃圾电子邮件分析

趋势科技表示，与这起活动相关的垃圾电子邮件附件大都伪装成装运通知和财务文件。

图1. 包含Agent Tesla间谍木马的RAR附件伪装成装运通知

图2.包含Ave Maria远控木马的LZH附件伪装成预付款通知

无论是Agent Tesla还是Ave Maria，都经过两层混淆处理：第一层，实际的恶意软件二进制文件被混淆为AutoIT脚本（.au3）；第二层，使用Autout编译器（如Aut2Exe）将脚本编译为可执行文件。

图3. Agent Tesla（上）和Ave Maria（下）的感染流程

一旦收件人下载了恶意附件，有效载荷就会自动被提取到计算机上。

恶意附件包含一个基于AutoIT的打包程序或加密程序，用于执行一个可以解密或加载Frenchy Shellcode版本5的脚本。

恶意有效载荷分析

在活动的早期，有效载荷为Agent Tesla，它能够记录按键、控制摄像头、屏幕截图、收集保存在剪贴板上的信息，以及从浏览器和电子邮件客户端等收集系统信息以及保存的用户名和密码。

但在活动的后期，Ave Maria开始现身，它拥有比Agent Tesla更多的功能。例如，它能够利用UAC绕过和进程令牌来提升特权，然后执行PowerShell Add-MpPreference –ExclusionPath cmdlet，通过修改windows Defender的设置以排除特定路径的实时扫描。

此外，Agent Tesla还会与命令和控制（C&C）服务器建立连接，以上传收集到的数据。

图4. Ave Maria代码在特权提升后建立C＆C连接

值得一提的是，无论是否进行特权提升，如果Ave Maria能够在系统中创建注册表项或将其自身的副本放置到“％Program Data％”目录中，它就将创建一个cmd.exe进程，然后注入恶意代码。如果失败，它将执行explorer.exe进行代码注入。

图5. Ave Maria执行explorer.exe进行代码注入

一旦在受感染计算机上成功运行，Ave Maria即可记录用户的按键以及从以下协议和应用程序中窃取用户名和密码：

协议：

• HTTP
• IMAP
• POP3
• SMTP

应用程序：

• Microsoft Outlook（1997-2010、2013和 2016 版本）
• Windows Messaging
• IE浏览器
• 谷歌浏览器
• Foxmail
• Thunderbird
• 火狐浏览器

不仅如此，Ave Maria还可以在受感染计算机上修改、删除和创建任意文件，以及枚举进程、文件、目录和驱动器。此外，它还能够终止正在运行的进程、删除文件以及自行卸载。

安全建议

鉴于恶意垃圾电子邮件使用的是IOS镜像文件以及RAR和LZH压缩文件作为附件，并且Agent Tesla以及Ave Maria都经过了高度混淆处理，因此我们建议无论是企业用户还是个人用户，都不要打来来路不明的电子邮件，尤其是电子邮件附件。

另外，无论是在工作场所还是家里，都要保持良好的上网习惯，并定期使用杀毒软件进行全盘扫描。