Ryukと類似したマルウェアに含まれたAhnLab文字列の意味!(特定国がターゲット?)

AhnLab ASEC分析チームは最近、「AhnLab」の文字列を含む情報流出マルウェアが拡散していることを確認した。このマルウェアには従来の Ryuk ランサムウェアと同じ文字列が使用され、内部コードのフローが類似しており、Ryuk ランサムウェアと関連しているものと把握されている。また、当該サンプルを分析した結果、特定国をターゲットにして製作されたマルウェアと推定されるいくつかの根拠が発見された。

昨年8月に発見された Ryuk ランサムウェアは、ファイルの拡張子を「.RYK」に変更して「RyukReadMe.txt」という名前のランサムノートを生成し、AhnLab フォルダを暗号化対象から除外している。この情報流出マルウェアも、ファイル名およびフォルダ名に AhnLab 文字列が存在する場合、流出対象から除外している。

[図1] AhnLab 文字列をチェックするコード

マルウェアを実行すると、引数で与えられた文字列のパスのファイルを削除する。自身をドロップしたファイルを削除して追跡を困難にする用途に使用されることがある。

[図2] ファイル削除コード

その後、流出対象から除外されるドライブ、およびフォルダをチェックする。リストは、以下の通りである。

除外ドライブCD-ROM
除外フォルダ名Ahnlab 、Sample Music、 log、 .dll、Sample Pictures、
$Recycle.Bin 、Tor Browser、Package Cache、RyukReadMe.txt、
microsoft 、UNIQUE_ID_DO_NOT_REMOVE 、PUBLIC 、Windows、Intel、
PerfLogs、windows、Firefox、Mozilla、Microsoft、$WINDOWS、
Program Files、\Users\Public\Pictures、MySQL
[表1] 除外ドライブおよびフォルダ名リスト

流出対象の拡張子、およびファイルサイズ(50,000,000Bytes以下)、ファイル名が条件に適合する場合、FTP によって攻撃者のサーバーにファイルをアップロードする。以降、そのファイルの内容を読み込んで特定キーワードが存在する場合、ファイルを再び転送する。流出対象の拡張子、ファイル名、キーワードリストは以下の通りである。

対象拡張子txt , xls , xlsx , doc , docx , docb , pdf , cpp , h , gov , jpg , zip , rar
対象ファイル名securityN-CSR10-SBEDGAR spy radaragentnewswire ,
marketwired10-Q10Q8KfraudhackNSAFBI , CSI , secret ,
private , confident , important , pass , hidden , undercover ,
clandestine , investigation , federal , bureau , government ,
security , unclassified , concealed , newswire , marketwired
対象キーワードpersonal , securityN-CSR10-SBEDGAR spy radaragentnewswire ,
marketwired , 10-Q, 10Q , 8K , fraud , hack , NSA , FBI ,
defence , attack , military , tank , secret , CSI , balance ,
statement , checking , saving , routing , finance , agreement ,
SWIFT , BIC , IBAN , license , Compilation , report , secret , confident ,
hidden , clandestine , illegall , compromate , privacy , private ,
contract , concealed , backdoorundercover , clandestine ,
investigation , federal , bureau , government , security ,
unclassified , seed , personal , confident , mail , letter ,
passport , scans , Emma , Liam , Olivia , Noah , Ava , William ,
Isabella , James , Sophia , Logan
[表2] 流出対象ファイルの条件リスト

この時、拡張子が「.docx」または「.xlsx」ファイルの場合、libzip ライブラリを利用して圧縮を解除した後、内部で対象キーワードを検索する。このライブラリがユーザーのPCに存在することで、マルウェアが実行可能になる。また、ファイル内容で特定形式に一致する文字列があるかを確認する。

[図3] 文字列形式をチェックするコード

各文字の位置別に制約事項を分析した結果、日付形式を意図したものであると推定され、これを解釈すると次のような日付形式等がチェック対象となる。  

mm-dd-yyyy, dd-mm-yyyy, yyyy-mm-dd, yyyy-dd-mm, yyyy-d-m, d-m-yyyy, m-dd-yyyy, mm/dd/yyyy, dd/mm/yyyy, yyyy/mm/dd, yyyy/dd/mm, yyyy/d/m, d/m/yyyy, m/dd/yyyy
(- と / は相互代替可能)
[表3] チェック対象の日付形式

また、000-00-0000形式の数字文字列をチェックするが、これは米国の社会保障番号(住民登録番号)の形式と一致する。

[図4] (左)形式をチェックするコード (右)米国の社会保障番号形式(資料引用元:wikipedia.org)

初期バージョンと推定されるマルウェアではユーザーの言語環境をチェックし、特定国の場合に感染対象から除外したが、現在はユーザーの言語環境を確認せず、すべての言語環境を対象とする。

[図5] ユーザー言語をチェックするコード

除外する言語リストは、以下の通りである。

感染除外言語Korea, Russia, ukraina, Belarusian, Hong Kong SAR, Czech,
Romanian, Albanian, Georgian, Rhaeto-Romanic
[表4] 感染除外言語リスト

このマルウェアは「Ahnlab」の文字列を含んでいるが、チェックする文字列がすべて英語である点、英語圏の名前が多数含まれている点から見て、英語を使用する国を対象としたマルウェアであると推定され、米国の社会保障番号形式の数字と「CSI」、「NSA」、「FBI」等の文字列をチェックする点等から、特定の国をターゲットにして製作されたマルウェアだと疑われる。一方、AhnLab V3 製品シリーズでは、このマルウェアを以下の通り診断し、接続するURLアドレスを ASD によってブロックしている。

[ファイル診断]
Trojan/Win32.Ryukstealer

[C2情報]
66.42.76.46/files_server/a8-5

109.236.92.162/upload/files/military2

185.254.121.157/upload/files/a71その他多数

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments