ここ数週間、クイックヒール・セキュリティラボは、お客様側でブロックされた一連の興味深いマルウェアを観察してきました。マルウェア「t.exe」の詳細な分析により、このマルウェアはトロイの木馬ドロッパーであることが判明しました。興味深いことに、この多目的マルウェアは、ランサムウェアコンポーネント、暗号通貨マイニングマルウェアなど、様々なコンポーネントをダウンロードします。また、1つ以上のCNCサーバーに接続して、様々な悪意のある活動を実行しようとします。これは、GandcrabランサムウェアとMonero暗号通貨マイニングマルウェアを用いてエンドユーザーを狙った、現在も進行中のキャンペーンのようです。
ファイル「t.exe」の最初の攻撃経路は把握していませんが、このマルウェアの拡散にはフィッシングメールが利用されている可能性が強く疑われます。フィッシングメールの大半には、悪意のあるURLへのリンクや、エンドユーザーのシステムにマルウェアをダウンロードさせる悪意のある添付ファイルが含まれています。
このランサムマイナー キャンペーンで観察された実行シーケンスを示す以下の攻撃チェーンを見てみましょう。
最初の攻撃ベクトルは把握できませんでしたが、ここで使用された悪意のある URL から攻撃チェーンを追跡することができました。
URL: 92.63.197.112/t[.]exe
「t.exe」ファイルは、Microsoft Windows用のPE32実行ファイルで、Microsoft Visual C++でコンパイルされています。カスタムパックされたファイルのようです。大きなサイズの興味深いリソースセクションが含まれています。暗号化されているようで、高エントロピーのデータが含まれています。リソース名がransomとなっているのは珍しいことです。
分析の結果、マルウェアはリソースの407つを読み取り、XOR演算で復号することが判明しました。ALレジスタに格納されているキーは、XOR演算の直前に存在する関数「call_5BXNUMXC」で計算されます。キーの初期値はファイルから読み取られ、その後、様々な演算が実行されてALレジスタの最終値が得られます。
マルウェアは、図4に示すように、いくつかのコードとXNUMXつの圧縮されたPEファイルを復号します。復号後、制御は復号されたコードに移り、メモリ内のPEファイルを解凍します。その後、マルウェアは親プロセスのメモリを解凍されたファイルで上書きし、最終的にそれを実行します。この解凍されたファイルが、以降のアクティビティを実行するメインのマルウェアファイルとなります。
マルウェアファイルには、ハードコードされたプロセス名が含まれています。「process32First」と「process32next」を呼び出して様々なプロセスを列挙し、16個のプロセス名を比較することでVMwareとVirtualBox、および関連コンポーネントの存在を識別します。また、「sbiedll.dll」というライブラリ名の存在を確認することで、サンドボックスの存在も確認します。これらは、このマルウェアに実装されている典型的なVMware対策およびサンドボックス対策の手法です。
仮想環境の存在を確認すると、マルウェアは悪意のある動作を停止し、「ExitProcess」関数を呼び出して現在実行中のプロセスを停止します。
「._」という名前のミューテックスを作成します。_-TLDR-__” という名前で、一度に1つのコピーだけが実行されるようにします。また、%appdata% 内にランダムな数字名で、Windows フォルダ内に以下の名前でコピーを作成します。C:\WINDOWS\T-5682806352635035603\winsvc.exe> 元のコピーを削除します。また、ファイル属性を7に設定します。これは、ファイルが隠しファイル、読み取り専用、システム属性を持つことを示します。
トロイの木馬は、Windows の起動時に毎回実行されるように、次のレジストリにファイルのエントリも作成します。
「Microsoft \ Windows \ CurrentVersion \ Runをします。HKEY_LOCAL_MACHINE \ SOFTWARE \\」
マルウェア感染後のエントリは次のようになります。
また、Windows ファイアウォールを無効にするために、次のレジストリ エントリも作成します。
このトロイの木馬はメモリ内に常駐し、多数のCNCサーバーにリクエストを送信しようとします。図9に示すように、多数のランダムなドメイン名が存在します。これらのCNCドメインに接続することで、さらに悪意のあるコンポーネントをダウンロードしようとします。
HTTPプロトコル経由で利用可能なCNCサーバーに接続し、複数のファイルをダウンロードします。JavaScript、PEファイル、テキストファイルなどをダウンロードします。
ダウンロードしたファイルを分析したところ、ダウンロードされたファイルの1つがJavaScriptファイルであることが分かりました。 'go.js'。 これは難読化されており、その内容は図11に表示されています。実行されると、「.js」ファイルがダウンロードされ、マルウェア「new.exe」が実行されます。
JavaScript の難読化解除コードには、temp フォルダーにファイル new.exe をダウンロードして実行する Powershell ワンライナー コードが含まれています。
マルウェアによってダウンロードされたファイルのリスト:
- exe : 001bc79a0cc7a86c81f5fd3dc55d1f1e (Ransomware file)
- exe : 43cf277a897b299a8d0c27bbed98fa85 (Trojan)
- exe : 83df5b076f23e0bf2e68fbda29b245e2 (Trojan)
- exe : a3e5dabdfc394091e06e265f0c96c98d (暗号通貨マイニングマルウェア)
- exe : b74ad6183e0cc5471a219b4925c7e339 (Trojan)
New.exeはgandcrabランサムウェアであり、jsスクリプトを通じて実行され、リクエストを送信してマシンのIPアドレスを見つけます。 ipv4bot。whatismyipaddress.com ホスト。応答としてパブリックIPアドレスを受信します。このループは成功を試みるために何度も繰り返されます。パブリックIPアドレスを受信しなかった場合、ファイルは暗号化されません。
「new.exe」はIPアドレスの解決にnslookupも使用します。マルウェアがnslookupを実行するハードコードされたC&Cサーバーは以下のとおりです。
nslookup ランサムウェア.bit wowservers[.]ru
nslookup carder.bit ns1.wowservers[.]ru
トロイの木馬「t.exe」は、受信者のメーリングリストを含むテキストファイルもダウンロードします。感染拡大のためにメッセージを送信する可能性があります。以下は、テキストファイルで見つかったメールIDの例です。
leiladonovan@verizon.net
aromero2086@sbcglobal.net
gbhaiiknpd@flamail.com
genesplace4ever@yahoo.com
sunflower_file@yahoo.com
jsanders300@yahoo.com
mft@btinternet.com
binoykphilip@yahoo.com
nicholascpa@yahoo.com
jpica@graco.com
barath_safety@yahoo.com
tjedrzej@yahoo.com
lisamsimms43@yahoo.com
kat@artcloth.com
bish4533@bellsouth.net
daisygirl0224@yahoo.com
markfasano@email.com
whitethickgurl2@myspace.com など
さらに、ダウンロードされた別のファイル「m.exe」のうち、「wuapp.exe」という名前の実行ファイルは、TCPポート3333(非標準ポート)経由でmonerohash.com(Moneroコインマイナー -XMRig)に接続し、マイニング活動を行います。一般的に、非標準ポートの使用は、IDS/IPSなどのネットワークセキュリティソフトウェアを回避するために行われることが確認されています。
結論
ランサムウェアとマイナーを組み合わせたマルウェア攻撃は、ランサムウェア、マイナー、その他のトロイの木馬など、様々なペイロードをまとめてダウンロードし、感染のための新たな要素を追加する、新たな脅威です。このような複雑なマルウェアによるシステムの感染を防ぐため、疑わしいウェブサイトやメールへのアクセスを避け、アンチウイルスソフトを最新の状態に保つことをお勧めします。Quick Healは、高度な検出技術メカニズムを備え、これらの複雑なマルウェアや悪意のあるサイトを継続的に監視・ブロックしています。
IOC:
01c4ce531727fe6e447e217c9404c0c1
主題専門家
プレクシャ・サクセナ | クイックヒール・セキュリティ・ラボ
