フィッシングメールの利用はサイバー攻撃において目新しいものではなく、被害者のコンピュータを侵害するための古典的な戦略の一つです。サイバー犯罪者は、請求書、支払い、財務、注文といったキーワードを用いて、添付ファイル(主にDOCファイルやXLSファイル)を重要なファイルのように見せかけ、被害者を開かせようとします。Quick Heal Security Labsは、被害者を侵害するこのような攻撃の一例を観察しました。
概要:
この攻撃では、攻撃者はまず phishing email 重要なメールを装い、Excel文書が添付されているフィッシングメールです。本調査中に追跡したフィッシングメールはこちらです。
図1: Excelファイルが添付されたフィッシングメール
この Excel ドキュメントを開くと、バックグラウンドで悪意のある VBA マクロ コードを実行するために、被害者に「マクロを有効にする」ように要求します。
図2: マクロを有効にするかどうかのプロンプト
VBAマクロの使用が増加しています フィッシング攻撃 この傾向は目新しいものではありません。この攻撃は簡単に検出できる方法があります。そのため、攻撃者は攻撃手法を変え、最近ではExcel 4.0のマクロを利用しています。
Excel 4.0マクロの手法は古いものですが、ExcelのすべてのバージョンでExcel 4.0マクロを実行できるため、依然として有効です。この手法では、マクロはVBAプロジェクトに保存されるのではなく、Exec()、Halt()、Auto_Open()などの関数を含むスプレッドシートのセル内に配置されます。攻撃者は被害者を欺くために、スプレッドシートの隠蔽機能を利用してマクロをスプレッドシート内に保存します。
以下は、実際のマクロ コードが他の Excel シート内に隠されており、再表示オプションを使用すると、図 3 に示すようにそのシートが表示される例です。
図3: Excelシートの非表示解除
下の図は正確なコードと実行フローを示しています。
図4: マクロコード実行
Auto_Open() は、ワークブックが開かれるとすぐにコードを実行するために使用される関数です。
図4からわかるように、Auto_Open関数はMacro1()を実行します。つまり、コード実行は4行目(Macro1)から開始されます。その後、Macro2(ステップ2)を呼び出し、次の命令である33(14行目)が実行されます。ステップ3では、1st ステージペイロードがダウンロードされています の%temp% 使用しているフォルダ msiexec.exeの 図5に示すプロセス。
一方、 msiexec.exeの は正当なMicrosoftのプロセスであり、 土地の暮らし これはWindowsインストーラーコンポーネントに属します。多くのセキュリティソリューションではこのプロセスがホワイトリストに登録されているため、動作検出技術による検出が困難であり、ハッカーはこのプロセスを利用してペイロードをダウンロードしています。
図5: 1のダウンロードst ステージペイロード
実行可能分析:
ペイロードをダウンロードした後、 msiexec.exeの ペイロードの実行とさらなる活動も担当する。1st ステージペイロードは、複数のファイルをドロップするために使用されるドロッパーです。 の%temp% フォルダに.dllファイルをドロップします。これは最終段階のペイロードとして機能し、さらなる悪意のある活動を実行するために使用されます。
最終段階のペイロードは、関数名を「sega」としてRundll32.exeによって実行されます。実行中のタスク数、システムID、ユーザーがドメインに参加しているかどうか、ドライブの使用状況など、システム情報の収集を開始します。
図6: 攻撃の実行フロー
最終ペイロードは PowerShellスクリプト ユーザーがドメインに属しているかどうかを確認する役割を担う。ドロップされたPowerShellスクリプトは以下に保存される。 の%temp% 難読化された形式での場所。
ペイロードは被害者のマシンから必要な情報を収集した後、単純な URL エンコーディングを使用してデータのエンコードを開始し、POST メソッドを使用してデータを C2 サーバーに送信します。
図7: POSTメソッドを使ったデータ送信
デコードされたデータのスクリーンショットは次のとおりです。
図8: デコードされたデータ
C2 サーバーは詳細を取得した後、コマンドで応答します。
応答によると、ペイロードは被害者のマシンでnet.exeコマンドを実行してアクションを実行します。ネットユーザー /ドメイン」を実行し、情報を収集してC2サーバーに送り返します。
C2 サーバーにデータを送信するときに、次の関数の一部が使用されます。
図9: C2通信API呼び出し
このペイロードは、ペイロードを 1 回だけ実行するためのグローバル ミューテックスも作成します。
図10: グローバルミューテックスの作成
このマルウェアの主な目的は、システム データを盗むために使用できるバックドアを作成することであり、システムがドメイン内にある場合は、横方向の移動を実行してバックドア ネットワークを作成する可能性があります。
まとめ:
ソーシャルエンジニアリングのトリックを用いて被害者を攻撃するのは典型的な手法であり、ハッカーは常に新しいアイデア(Excel 4.0マクロやmsiexec.exeのような正規のWindowsプロセスなど)を使ってアンチウイルスソフトによる検出を回避するために手法を変え続けています。クイックヒールと Seqriteエンタープライズセキュリティソリューション 悪意のあるメールの添付ファイルからユーザーを保護し、リモートコマンド&コントロールサーバーの通信の特定にも役立ちます。そのため、 エンドポイントセキュリティソリューション 常に更新されます。
IOC:
78EA9835C2D7F6760315EA043807B8C8
34B769FA431AC1945BE9CC33D4CC2426
DDAE8B7AA9A93CE17610EB063F5838CE
6675C63A2534FD65B3B2DA751F2B393F
主題専門家:
アンジャリ・ラウト、アニルッダ・ドラス
