V3Liteの使用有無に応じて差別化された実行方式を使用する、BlueCrab(Gandcrabの後続)

最近新しく登場したBlueCrabランサムウェアは、従来のGandcrabランサムウェアのように様々な方式で拡散している。拡散手法は、不正な文書を含むフィッシングメール、ユーティリティフィッシングのダウンロードページ等が該当する。AhnLab ASECは、ユーティリティを装ったJavaScriptの拡散コードを監視している。

ユーティリティフィッシングのダウンロードページからダウンロードされたJavaScriptファイル(.js)は、実行するとBlueCrabランサムウェアが実行される。

現時点のJavaScriptの実行フローは[図1]の通りであり、Powershell.exeにBlueCrabランサムウェアがインジェクションされて暗号化が実行される。  

[図1] BlueCrab拡散JavaScriptの実行フロー

ここで注目する点は、V3Liteのユーザーを対象に差別化された実行方式が使用されるという点である。当社製品は、BlueCrabランサムウェアが使用する特定のUAC(ユーザーアカウントコントロール)回避手法を行為ベースで事前ブロックしている。マルウェアの製作者は、このようなブロックを回避するために当社製品のユーザーにはUACの回避手法を用いずに、UAC通知ウィンドウを100回繰り返してユーザーに「はい」をクリックさせて実行するように誘導する。V3Liteがインストールされていない環境では、ユーザーが知らないうちにUAC通知ウィンドウが表示されることなく、回避手法によって直ちに実行する構造を持っている。

[図2] 特定のUAC回避手法において当社製品の存在有無を確認

[図2]は、特定のUAC回避コードである。赤線部分のコードのように、当社製品ファイルの存在有無を確認し、存在する場合は当該コードは実行されない。

[図3] for文によるUACの100回発生 
[図4] ShellExecuteExA_Rusas関数

[図3]は、上記方法が実行されなかった場合に実行されるコードの一部であり、for文によってUAC通知ウィンドウを100回繰り返すコードであり、[図4]はUAC通知ウィンドウを発生させるShellExecueExA関数である。

 この方式で実行される、UAC通知ウィンドウが発生し、[はい]ボタンをクリックするまでこのUAC通知ウィンドウが100回発生する。

 この方式で拡散するBlueCrabランサムウェアの拡散スクリプトは、行為検出によってブロックされる。

 ファイルの診断

– JS/Gandcrab.S10 (2019.05.10.00)

行為の診断

– Malware/MDP.Behavior.M1997

– Malware/MDP.Behavior.M2084

– Malware/MDP.Behavior.M2194

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments