- 2017/07/24
- マルウェア
日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン)
Post by : Assaf Dahan, Kohei Fujikawa, Tomonori Sawamura, Joakim Kandefelt
本日(7月24日)、Cybereasonは日本のお客様へのバラマキ型のフィッシングメールによる攻撃を多数確認しました。 以前から確認されている日本郵政を名乗る偽メールで、Ursnif/Goziバンキングトロージャンへの感染を目的としています。
Ursnif(別名「Gozi」「Snifula」「Papras」など)とは、オンラインバンキング等の不正送金により金銭を入手することを目的としたマルウェアであるバンキングトロージャンの一種です。
バンキングトロージャンに感染したまま、銀行や決済サービスのサイトにログインすると偽の入力画面が表示されパスワードが盗まれたり、送金情報を改ざんされ意図しない口座に送金したりして、不正送金が行われます。
Ursnifへの感染を目的とした、同様の内容のバラマキメールの配布は直近で既に確認されているものの、今回確認した攻撃のペイロードや攻撃手法はこれまで確認されたものと一部異なりました。(参考リンク)
また、本日時点、Cybereasonで確認した攻撃の感染初期のペイロードはVirusTotalのアンチウィルスベンダーにより一切検知されませんでした。
この記事では、今回確認したUrsnifの感染ステップとCybereasonによるUrsnifの振る舞いによる検知をご紹介します。
【フェイズ1: フィッシングメール】
メール本文は日本郵政を名乗る以下の内容でした。
【フェイズ2: 悪質なWord文書】
攻撃メールにはJSEファイル(JScript Encoded Script)が含まれた悪質なWord文書が添付されていました。Wordから実行されるJSEファイルにより、Ursnifの一つ目のバイナリのダウンロードを行います。最近ではメールのフィルタリングなどのセキュリティ製品によりマクロを利用したダウンローダーの検知が容易になっていることから、このような手法が多く見られるようになっています。
日本のお客様環境で確認されたWord文書:
文書名: 日本郵便追跡サービス_[RANDOM-NUMBER].docx
SHA-1:
80117ac955f7d92b7c7fe5b6544266826b843155
508DDC3CF24EAD7D40EF55AAFF1A1C364F895984
難読化された.JSEファイルを抽出
お客様端末の感染を確認した当時、確認された悪質なWord文書とJSEファイルはVirusTotalのアンチウィルスベンダーによる検知実績がありませんでした。
悪質なWord文書
SHA-1: 80117ac955f7d92b7c7fe5b6544266826b843155
悪質なJSEスクリプト(ダウンローダー)
SHA-1: 495d0d92dee60cfd9097c7876ecc3ed476e64862
【Cybereason による検知】
Cybereasonはプロセスツリー、シェル、スクリプトの実行など、ダウンローダーとしての振る舞い自体を検知するため、今回のUrsnifダウンローダーも問題なく検知出来ました。
【フェイズ3: Ursnifバイナリの取得】
ダウンローダーのスクリプトはUrsnifのバイナリをC&Cサーバーからダウンロードし、%TEMP%フォルダに書き込みます。
Majorka.exe (SHA-1: 5ca7d2902054f0272f01252b4b5f4163521fd86c)
【実行環境の確認】
ダウンロードされたUrsnifのバイナリは、本命のペイロードを更に別ディレクトリに書き込むドロッパーでした。このドロッパーは感染端末の情報を収集し、問題なく実行出来、解析される恐れがない状態であることを事前に確認します。
仮想化対策:
Ursnifは仮想環境で実行されていないことを確認するために、システム内にそれを示唆する特定のストリングがないことを確認します:
(例)VBox, Qemu, Vmware, Virtual HD
他の確認するシステム情報の一部:
- システム時間
- OS バージョン
- ユーザー、マシン名
- ドライブ
自動実行設定、痕跡の消去
環境内のチェックが終了すると、以下を行います:
・バッチファイル(.bat)を生成
・%APPDATA%内に新しくフォルダーを生成
・新しいフォルダ内にランダムな名前でペイロードをドロップ
・バッチファイルを実行し、先にダウンロードされたドロッパーを消去
・新たなペイロードの自動実行を設定するレジストリを生成
自動実行キー:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
値:
C:\Users\[REDACTED]\AppData\Roaming\Microsoft\{RANDOM}\{RANDOM}.exe
ドロッパーを消去するバッチファイル:
ドロップされたペイロード: Avicbrkr.exe, adprtext.exe
SHA-1: CA2CC7A954D989AD653559FCE6A7D1CF125282E2
【フェイズ4:Explorer.exeに対するコードインジェクション】
Ursnifは、Windowsの正規のプロセスであるexplorer.exeに対してコードインジェクションを行うことで自身を隠蔽します。Ursnifが利用するコードインジェクションの手法は特徴的なもので、Githubでソースコードを確認することが出来ます。
https://github.com/gbrindisi/malware/blob/master/windows/gozi-isfb/AcDll/image.c
【Cybereasonから確認できるexplorer.exeへのコードインジェクション:】
【インターネット接続の確認】
Ursnifは本格的に活動を開始する前に、インターネットへの接続、自身のグローバルIPの確認を行います。
その一環として、Ursnifは以下のサービスとの通信を確認しました。:
222.222.67.208.in-addr.arpa
curlmyip.net
resolver1.opendns.com
myip.opendns.com
疎通確認が終わると、UrsnifはC&Cサーバーと通信し、活動を開始します。
【主な振る舞い】
Ursnifが実行されると銀行の口座情報等をはじめとした、機密情報等の窃取を試みます:
Ursnifにモジュールとして存在している機能の一部:
- キーロガー (キーボード入力の摂取)
- ブラウザに入力したパスワード、ブラウザ履歴、メールアカウント情報の窃取
- マルウェアに設定された銀行やPayPalのサイトにアクセスした際の改ざん
- Tor クライアント
- VNC クライアント(リモート操作)
【IOC: Indicators of Compromise】
メール:
SHA-1: 58045411236751f0d627eeec8185090cb53b1ef
メールアドレス:日本郵便追跡サービス <magicmunke@mail[.]com>
メールの添付ファイル:
SHA-1:80117ac955f7d92b7c7fe5b6544266826b843155
日本郵便追跡サービス_72397-20348103 (002).docx
日本郵便追跡サービス_55278-84832536.docx
日本郵便追跡サービス_40220-58509793.docx
日本郵便追跡サービス_81306-65780443.docx
日本郵便追跡サービス_65543-81849028.docx
日本郵便追跡サービス_09839-67964279.docx
日本郵便追跡サービス_97444-98794708.docx
ファイル名(.jse):
SHA-1: 495d0d92dee60cfd9097c7876ecc3ed476e64862
C:\Users\Username\AppData\Local\Temp\HT15T~.jse
ファイル名(.bat):
SHA-1: C56C4A2F42FECD9EE6D5A1DEC81BD52882BF9B6A
C:\Users\Username\AppData\Local\Temp\BAB8\30.bat
C:\Users\Username\AppData\Local\Temp\5600\AB00.bat
D:\Users\Username\AppData\Local\Temp\7D2\3E9.bat
ファイル名(実行ファイル):
SHA-1: 5ca7d2902054f0272f01252b4b5f4163521fd86c
C:\Users\Username\AppData\Local\Temp/go983509.exf
C:\Users\Username\AppData\Local\Temp/led748915.vrd
C:\Users\Username\AppData\Local\Temp/led918361.vrd
C:\Users\Username\AppData\Local\Temp/led709535.vrd
C:\Users\UsernameAppData\Local\Temp/led322150.vrd
C:\Users\Username\AppData\Local\Temp/eog980930.jz
C:\Users\Username\AppData\Roaming\MICROS~1\Dmdstore\aclering.exe
C:\Users\Username\AppData\Roaming\MICROS~1\Deskrint\acletdll.exe
C:\Users\Username\AppData\Local\Temp/go867754.exf
C:\Users\Username\AppData\Local\Temp/go940669.exf
C:\Users\Username\AppData\Local\Temp\go940669.exf
C:\Users\Username\AppData\Local\Temp/go992082.exf
C:\Users\Username\AppData\Local\Temp\UAX253~1.IUB
C:\Users\Username\AppData\Local\Temp/uax253132.iub
C:\Users\Username\AppData\Roaming\MICROS~1\ClicDEML\apssprop.exe
C:\Users\Username\AppData\Roaming\MICROS~1\CHxR9_41\Apphtyle.exe
majorka.exe
arabescue.exe
fedora.exe
jma553426.vvu
entropay.exe
ペイロード:
Avicbrkr.exe
adprtext.exe
SHA-1: CA2CC7A954D989AD653559FCE6A7D1CF125282E2
Unpacked payload: BB8BB880A9DF115D1F853E6BB494FDEDD6C0FEB8
悪質なドメイン:
sil[.]company > 110.232.64.148
zhangtianli[.]com > 50.87.248.109
derdederman[.]net
buildindustryastana[.]com > 93.89.224.95
その他感染した国内企業のサイト
悪質なURL:
hxxp://zhangtianli[.]com/majorka.exe
hxxp://sil[.]company/wp-content/themes/themify-music/builder-layouts/majorka.exe
hxxp://derdederman[.]net/wp-content/themes/twentysixteen/inc/majorka.exe
hxxp://monroeroadways[.]net/arabescue.exe
hxxp://selvinkamal.com[.]au/wp-content/themes/uncode/arabescue.exe
hxxp://amaztoy[.]com/fedora.exe
hxxp://thorhammer[.]international/entropay.exe
レジストリ(自動実行):
HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\avic9_32
Apphtyle.exe
HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\batt9_39
apssprop.exe
HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\E_L1mifs
aclering.exe
HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\dot3prop
acletdll.exe
以上
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/
