情報窃盗マルウェア 攻撃者は検出を回避するための技術を絶えず改良しており、脅威はますます深刻化しています。これらの脅威の中には、 スネークキーロガー 個人や企業を標的とした、非常に活発な認証情報を盗むマルウェアの 1 つとして出現しました。
そのことで知られています 多段階の感染チェーンとステルス的なメモリ内実行SnakeKeylogger は、検出されずに機密データを収集するように設計されています。
最近、Seqrite Labs では、侵害されたシステムに最終的なペイロードとして SnakeKeylogger を配信する興味深い悪意のあるキャンペーンを確認しました。
感染ベクター:
最初の感染経路は、次のような内容の悪質なスパムメールです。 .imgの ファイル[ディスクイメージファイル]を添付ファイルとして送信します。.imgファイルを開くと、ファイル内のデータにアクセスできる仮想ドライブが作成されます。この.imgファイル内のファイルは実行ファイル(ステージ1)で、PDF文書を装っています。アイコンとファイル名は重要なPDF文書を模倣するように巧妙に選ばれており、受信者が開く可能性を高めています。
攻撃チェーン:
Snake Keyloggerは、認証情報やその他の機密データを収集するために体系的なアプローチを採用しています。そのアプローチには以下が含まれます。
- エンコードされたペイロードのダウンロードと復号、ステルス実行を保証します。
- 難読化されたDLLを直接メモリに読み込むディスクベースの検出を回避します。
- 悪意のあるコードの挿入 正規のプロセス、具体的には .Net Framework 関連のプロセスに侵入します。
- デフォルトのOutlookプロファイルを確認する 保存されている電子メールの資格情報を抽出します。
- 複数のブラウザやメールクライアントからログインデータを収集する保存されたパスワードを盗みます。
- FileZillaから保存されたFTP認証情報を抽出する、さらなる活用が可能です。
テクニカル分析 –
ステージ1 (ダウンローダーとローダー):
このファイルは、ファイル サイズが約 64 KB の x10 ビット .Net コンパイル済み実行可能ファイルです。
ステージ1はダウンローダーおよびローダーとして機能します。実行されると、リモートサーバーに接続し、いくつかのメディアファイルを取得しようとします。
URLを一見すると、サーバーから単純なメディアファイル(*.mp3)を取得しているように見えます。しかし、詳しく調べてみると、これはメディアファイルではなく、偽装されたエンコードされたペイロードであることがわかります。
ペイロードはディスク上のファイルではなく、レスポンスストリームとして取得されます。ペイロードは配列変数「array」にバイト配列として保存されます。
Apacheサーバーがマルウェア配布に悪用される
URLをさらに調査したところ、Apache 2.4.58(Windows)サーバーが悪意のあるキャンペーンの実行に悪用されていることが判明しました。攻撃者は、hxxp://103.72.56.30/PHANTOM/ にホストされている暗号化された悪意のあるペイロードを積極的に維持・更新しています。
ご覧のとおり、攻撃者は/PHANTOM/ディレクトリ内のファイルを定期的にアップロードし、ローテーションさせています。この戦術[TA0042]は、Malware-as-a-Service(MaaS)や継続的なフィッシングおよびマルウェア配布キャンペーンでよく使用され、攻撃者は安定したインフラストラクチャを維持しながらペイロードを更新することができます[T1608]。
ステージ 1 の分析に戻ると、ストリームが取得された後、復号化ルーチンに従ってペイロードをデコードします。
取得したペイロード(配列)は、各バイトから3を減算することでデコードされ、その結果が配列変数「array2」に格納されます。デコードされたペイロードにはPEファイルヘッダーが含まれていることがわかります。デコードされたストリーム(「array2」)をダンプし、デコードされたペイロードの調査を開始しました。その結果、このファイルはメモリに動的にロードされるStage2 DLLファイルであることがわかりました。
ステージ2(Xspilbxpui.dll)
DiE(Detect it Easy)ツールで解析すると、このファイルは.NETでコンパイルされた32ビットDLLであることがわかります。リバースエンジニアリングを阻止するために、高度な難読化、保護、暗号化が施されているため、実際の機能や実行フローを明らかにすることは困難です。
このサンプルの興味深い点は、API 監視を回避するために、高度な難読化と中間コード生成に加えてデリゲートを使用していることです。
感染チェーンのこの段階では、マルウェアはプロセスホロウイングを用いて、InstallUtil.exe を標的にペイロードを密かに実行します。「InstallUtil.exe」は、サーバーリソースのインストールとアンインストールを行う正規のWindowsユーティリティです。プロセスホロウイングとは、新しいプロセスを一時停止状態で生成し、その正規のメモリ領域をアンマップし、プロセスが再開される前にホロウイングされた領域に悪意のあるコードを書き込むという高度な手法です。これにより、攻撃者のペイロードが実行されます。
挿入されたペイロードは、Wi-Fi 接続の詳細とともにシステム データを盗もうとする SnakeKeylogger の亜種です。
挿入された InstallUtil.exe プロセスは、機密性の高いユーザー データを保存するさまざまなアプリケーションを標的とする、資格情報収集マルウェアと一致する動作を示しています。
SnakeKeyloggerは、Microsoft Outlook 9375およびOutlook 0413111以降がユーザープロファイル設定を保存する重要なレジストリ位置{3CFF88d00104B2A6676B2013A2016}にアクセスします。これらの設定には、メールアカウントの詳細、メールサーバーの設定、そして暗号化されている可能性のある認証情報が含まれます。侵害されたメールアカウントは、多要素認証(MFA)の回避、被害者のなりすまし、あるいは組織内でのさらなる攻撃に悪用される可能性があります。
以下は SnakeKeylogger がターゲットとするアプリケーションのカテゴリとリストです。
| ウェブブラウザ(Chromium およびその他のバリアント) | |||
| Google Chrome | Xpomブラウザ | クーウォンブラウザ | スーパーバードブラウザ |
| Microsoft Edge | 7Starブラウザ | CocCocブラウザ | ブラックホークブラウザ |
| ビバルディ | ブリスクブラウザ | オービタムブラウザ | カタリナグループ シトリオ |
| スリムジェット | Kinzaブラウザ | スプートニクブラウザ | エピックプライバシーブラウザ |
| イリジウム | トーチブラウザ | Liebao7ブラウザ | アバストセキュアブラウザー |
| Chromium | コモドドラゴン | QIP サーフブラウザ | QQブラウザ(テンセント) |
| UCブラウザ | Brave Browser | ニクロムブラウザ | MapleStudio ChromePlus |
| 360ブラウザ | Citrioブラウザ | オペラ / オペラGX | ウランブラウザ(uCozMedia) |
| フェンリル株式会社 Sleipnir5 | |||
これらのアプリケーションは、パスワード、Cookie、自動入力データを「ログインデータ」ファイルに保存します。SnakeKeyloggerは、これらの機密データを照会して読み取ろうとします。
| Mozillaベースのブラウザ |
| Mozilla Firefox |
| ウォーターフォックス |
| SeaMonkeyの |
| コモドIceDragon |
| サイバーフォックス(8pecxstudios) |
| ペイル・ムーン(ムーンチャイルド・プロダクションズ) |
これらは、保存されたログイン、ブックマーク、セッション データ、履歴を「プロファイル」に保存します。
| メールクライアント |
| Thunderbird (プロファイル) |
| ポストボックス(プロフィール) |
これらには電子メールの資格情報とサーバーの構成が保存されます。
| インスタントメッセージング/コミュニケーションアプリ |
| ピジン(.purple/accounts.xml) |
これらは、チャットの資格情報を構成ファイルに保存します。
| FTPクライアント |
| FileZillaを |
「recentservers.xml」ファイルにある、最近アクセスしたFTPサーバーのリストと保存されているユーザー名とパスワードにアクセスしようとします。
ファイルハッシュ(MD5):
851A5FFAC3EE2DA08557108239F90FAB
FD7634082A916C3BD8C94C8493FC83E2
9AD19A4E2D41E214D7BF04F74151DDBD
07B21AAE60698970EBDC2E854B3ACFED
以下はMITRE攻撃です SnakeKeylogger の戦術、手法、手順 (TTP):
| 戦術 | テクニック/ サブテクニック |
手順 |
| 初期アクセス (TA0001) | T1566.001 | スピアフィッシング添付ファイル |
| 実行(TA0002) | T1204.002 | 悪意のあるファイルの実行 |
| 防御回避(TA0005) | T1140 | ファイルまたは情報の難読化を解除/デコードします。 |
| T1027 | 難読化されたファイルまたは情報。 | |
| T1218.004 | システム バイナリ プロキシ実行: InstallUtil。 | |
| T1202 | 間接的なコマンド実行。 | |
| 資格情報へのアクセス (TA0006) | T1555 | パスワード ストアからの資格情報。 |
| -T1555.003、XNUMX | Web ブラウザからの資格情報。 | |
| -T1555.004、XNUMX | 電子メール クライアントからの資格情報。 | |
| -T1555.005、XNUMX | パスワード マネージャーからの資格情報。 | |
| ディスカバリー (TA0007) | T1083 | ファイルとディレクトリの検出。 |
| T1012 | レジストリをクエリします。 | |
| コレクション (TA0009) | T1114.002 | クライアント アプリケーション経由の電子メール収集。 |
| コマンドアンドコントロール (TA0011) | T1071.001 | アプリケーション層プロトコル: Web プロトコル。 |
| T1105 | イングレスツール転送。 | |
| 資源開発(TA0042) | T1608.001 | ステージ機能:マルウェアのアップロード |
まとめ:
SnakeKeyloggerキャンペーンは、高度に構造化された攻撃チェーンを特徴としています。その攻撃チェーンは、無防備なユーザーに悪意のある添付ファイルを送りつけるスパムメールから始まります。攻撃者は、マルウェアを暗号化された形式でホストするための安定したインフラストラクチャを維持しており、ペイロードをシームレスに配布および更新できます。感染は複数の段階を経て進行し、ファイル形式の欺瞞、プロセスホロウイング、暗号化されたペイロードの実行といった手法を用いて検出を回避します。
このマルウェアの主な目的は、Outlook プロファイルの資格情報、電子メールの構成、その他の保存された認証詳細などの機密データを収集することです。これらのデータは、ビジネス メール詐欺 (BEC) やさらなる侵入に悪用されたり、地下市場で販売されたりする可能性があります。
著者:
プラシル・ムーン
ルマナ・シディキ
