MBR感染機能のCoinMiner(コインマイナー)、国内で拡散中(DarkCloud Bootkit)

AhnLab ASECは2月、国内外のセキュリティ製品を無力化させ、感染システムのMBR(Master Boot Record)を改ざんするCoinMinerが拡散していることを確認した。海外では「DarkCloud Bootkit」として問題視されたこのタイプのマルウェアは、従来の暗号貨幣採掘型マルウェアとは異なり、MBRを感染させる機能を持っており、「ZwCreateSection」APIのパッチによって一般ユーザーが感染したMBRコードを確認できないようにする特徴を持つ。AhnLab ASECは、MBRを感染させようとする行為を検出して防御を行っており、確認の結果、2019年3月20日前後からMBR感染に関する行為の検出数が急増していた。

AhnLab による行為ベースの検出レポート

もちろん、MBRの感染させようとすることがすべて「DarkCloud Bootkit」マルウェアによるものとは考えられない。しかし、この時期に当該形式のマルウェアが国内で集中的に出回っていたことが確認されたため、ユーザーの注意が必要である。(3月22日に80件ほどを確認)

「DarkCloud Bootkit」マルウェア内の感染対象となるOSに関する情報は以下の[表]の通りであり、ほとんどのOSが感染対象であることがわかる。

OS VersionOperating system
5.1Windows XP
5.2Windows XP Professional x64 Edition  Windows Server 2003 Windows Home Server
6.1Windows Server 2008 R2 Windows 7
6.2Windows Server 2012 Windows 8
6.3Windows 8.1
10.0Windows 10

このマルウェアに感染すると、まず最初にMBR領域に悪意のあるシェルコード(ShellCode)が上書きされる。以下の図において、セクタ0上の正常なブートコードをセクタ1にコピーし、セクタ0とセクタ2~54の領域をシェルコードで上書きする。赤枠内に表示された部分が感染後に上書きされたマルウェア部分を表し、緑枠内の部分は感染前の正常なMBRコードを表している。

感染したMBR領域
感染したMBRコード

再起動すると、感染したPCは上書きされた不正なブートコードによって「ZwCreateSection」APIがパッチ(Patch)され、実際のユーザーがMBR領域を確認しようとしても正常なMBRブートコードが表示される。(隠蔽機能)

ZwCreateSectionパッチ

実行されたシェルコードは外部サイトからモネロ(XMR)コインマイニング機能のあるマイナーファイルをダウンロードして実行する。また、以下のような内部に保存された様々なアンチウイルス関連プロセスを強制終了する機能を実行する。ほとんどのアンチウイルスプログラムがMBRブートコードが実行された後に起動するため、これらの攻撃試行によって終了させられることが確認できる。

強制終了プロセスのリスト
avp.exe zhudongfangyu.exe superkiller.exe 360sd.exe 360safe.exe 360rps.exe 360rp.exe sragent.exe QQPCRTP.exe systemaidbox.exe avgnt.exe avengine.exe msmpeng.exe nissrv.exe msseces.exe ccSvcHst.exe ekrn.exe egui.exe nod32krn.exe avgrsa.exe avgui.exe avscan.exe v3svc.exe v3medic.exe Rtvscan.exe avastsvc.exe bdagent.exe mcshield.exe mcsvhost.exe mfefire.exe mfemms.exe dwengine.exe dwarkdaemon.exe vssery.exe avguard.exe K7CrvSvc.exe asdsvc.exe 360tray.exe mbamservice.exe mbamtray.exe mbam.exe qhpisvr.exe quhlpsvc.exe savservice.exe hipsmain.exe hipsdaemon.exe sapissvc.exe scsecsvc.exe avgsvc.exe liveupdate360.exe 360rp qqpctray.exe Mcshield.exe shstat.exe naprdmgr.exe avgui.exe gziface.exe uiSeAgnt.exe dwengine.exe spideragent.exe bdagent.exe smsvchost.exe avastui.exe ksafe.exe

マルウェアはアップデートとメンテナンスのために下記のアドレスにアクセスする機能を実行し、ASEC 分析チームの自動分析システムであるラピット(RAPIT)を利用して分析した結果、以下のダウンロードアドレスが確認できた。「DarkCloud Bootkit」マルウェアは「xpdown.dat」ファイルのほか、ver.txt、ok/down.html、ok/64.html、ok/vers.html、downs.txt、kill.txt形式のファイルをダウンロードする特徴を持っている。

RAPITで確認されたネットワーク接続行為

感染したシステムでは、当社の製品を実行すると、正常なサービス提供が不可能である。また、ユーザーがMBRを確認すると、正常なMBRが表示されるため、MBRが感染している事実を認知することが難しい状況である。


V3製品シリーズでは、このようなマルウェアに対してMBR領域の感染を試みたとき、事前に行為ベースの検出を行ってから実行しており、出所が不明なファイルによってブロックウィンドウを発生させる。 

AhnLab では、このようなタイプのマルウェアに対するモニタリングを続けており、診断方法をアップデートしている。

[ファイル診断]

Trojan/Win32.Agent

Malware/Win32.Generic

Trojan/Win32.PowerLocker

[行為診断]

Malware/MDP.Manipulate.M196

Malware/MDP.Manipulate.M2200

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments