背景概述 AgentTesla最初是2014年发布的简单键盘记录器。近年来，其开发团队增加了许多新功能并将其出售。

AgentTesla现在是一种商业间谍软件，可用于生成满足功能要求的特洛伊木马程序。

AgentTesla最常见的通信方式是网络钓鱼电子邮件，它通常携带恶意文档并通过宏或漏洞利用程序运行恶意程序。

最近，令人信服的安全团队收集了使用CVE-2017-11882传播AgentTesla来窃取信息的恶意样本，并详细分析了攻击过程。

详细分析 CVE-2017-11882 1.使用该工具监视文件行为。查看正在运行的文档后，系统会启动eqnedt32.exe进程，并通过捕获数据包来捕获下载的EXE文件的流量。判断恶意代码由CVE-2017-11882执行：    

2.通过附加调试器，Kernel32！WinExec下的断点，检查寄存器值，找到运行'C: \ Users \ root \ AppData \ Roaming \ Adobe.exe'的命令，并判断捕获的流量信息。恶意代码应该是本地保存的下载文件然后运行，推断使用URLDownloadToFile相关的API：

3.附加调试器断开与网络相关的API，但程序没有中断，因此函数在eqnedt32.exe导致的函数中被中断，单步调试到ret覆盖的返回地址，并执行恶意码：

4.恶意代码首先解密内存。该图是解密前后的比较。您可以直观地看到使用的字符串信息。通过动态获取API地址，调用URLDownloadToFileW下载文件，然后通过WinExec运行： AgentTesla 1.  AgentTesla是一个用.Net框架编写的键盘记录器。使用反编译工具查看代码，自定义函数名称会混淆，但使用的API和键字符串仍然是纯文本，您可以看到击键。录制的代码：  

2.除了键盘记录器，还可以通过读取注册表项来获取主机信息：  

3.使用DES算法加密要发送的数据：

4.有三种方法可以将被盗数据上传到远程C＆amp; C端： 通过FTP上传：通过SMTP上传：

 通过HTTP上传：    

5.  AgentTesla的资源中嵌入了一个DLL文件，名为IELibrary.dll，它是一个用于实现浏览器操作的DLL文件。在AgentTesla中，定义了需要窃取信息的浏览器和网络套件的名称。使用控制台生成恶意程序时可选：

6.  IELibrary.dll主要收集和操作浏览器的信息，包括添加和删除历史记录： 窃取密码和cookie：解 病毒检测和查杀

1，深信为广大用户提供免费查杀工具，可以下载以下工具进行测试和查杀。

64位系统下载链接： http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 32位系统下载链接： http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z   2.深信EDR产品，下一代防火墙和安全感知平台以及其他安全产品都配备了病毒检测功能。部署相关产品的用户可以执行病毒检测，

如图所示： 病毒防御

1.不要从未知网站下载软件，不要点击来源不明的电子邮件附件，不要随意启用宏;

2.下载修补程序以修复CVE-2017-11882： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3.打开Windows Update功能并定期自动更新系统;

4，说服防火墙客户，建议升级到AF805版本，并打开人工智能引擎保存，以达到最佳防御效果;

5.使用深度令人信服的安全产品访问安全的云大脑，并使用云检查服务实时检测新的威胁。   最后，建议企业对整个网络进行安全检查和反病毒扫描，以加强保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检测，终止和保护内部网络。