素早く変化するBlueCrabランサムウェアの感染方式(notepad.exe)

AhnLab ASEC 分析チームは、フィッシングダウンロードページによって拡散している JavaScript 形式の BlueCrab(=Sodinokibi) ランサムウェアの観察を続けている。このフィッシングダウンロードページは、ユーティリティダウンロードページに偽装しており、[図1] のように Google 検索の上部に表示されるケースも発見されている。これらの感染方式は、過去の GandCrab ランサムウェアから使用されている方法であり、すでに広く知られている内容である。

しかし、このような拡散方式(JavaScript形式:*.js)からの変化はないものの、JavaScript コード上では新たな変化が確認されており、変化の速度が速いため、ユーザーの注意が要求される。

*.jsファイルを実行するとプロセスの実行フローを示しており、ランサムウェアの行為は正常な Windows システムのプロセスを利用している。このような変化は、アンチウイルス製品の検出を回避するためのものと推定されており、内部スクリプトコードからは国内の特定アンチウイルスプログラムに対する検出回避手法も確認された。

(過去) wscript.exe -> powershell.exe -> explorer.exe (ランサムウェア行為)
(現在) wscript.exe -> powershell.exe -> notepad.exe (ランサムウェア行為) – 11月1日以降 

フィッシングダウンロードリンクをクリックすると不正な JavaScript が含まれた圧縮ファイル(.zip)がダウンロードされる。この圧縮ファイル内部には、ユーティリティを偽装した名前の不正な JavaScript が含まれている。

 [図1] は圧縮ファイル内部の JavaScript であり、難読化された形式になっている。[図2] は難読化を解除した形式であり、追加 JavaScript をダウンロードする機能を実行する。

[図1] 難読化された JavaScript(ユーティリティファイル名.js)
[図2] 難読化を解除した JavaScript(ダウンロード機能)

[図3] は [図2] のスクリプトからダウンロードされる追加 JavaScript であり、エンコードされた PowerShell スクリプトを %UserProfile% パスに「[ランダム].txt」ファイル名で生成したあとに実行する役割を実行する。以下の過去に分析された内容と比較した場合、PowerShell の拡張子を変更し続けていることがわかる。

[図3] ダウンロードされた JavaScript(PowerShell 生成および実行機能)

ダウンロードされた JavaScript によって実行された PowerShell は、権限の昇格のために [図4] のコードが存在するが、当社の行為検出によって [図5] のように当社製品のインストールの有無を確認し、存在する場合は権限の昇格が実行できず、[図6] のように UAC 通知ウィンドウを100回繰り返して発生させる。すなわち、V3 製品を使用しているユーザーには権限の昇格手法を使用せず、ユーザーに実行の権限を付与してランサムウェアが実行されるように通知ウィンドウを繰り返すという構造である。

[図4] PowerShell にロードされて実行される不正な DLL コードの一部
[図5] 検出回避目的の、製品インストールの有無を確認するコード
[図6] 権限の昇格のためにUAC通知ウィンドウを100回繰り返して実行するコード

この UAC 通知ウィンドウの [はい] ボタンをクリックして権限が昇格する場合、[図7] のように notepad.exe を実行してBlueCrabランサムウェアをインジェクションして作動させる。  [図8] のコードのように OS 別 notepad.exe を選択して作動し、[図9] は notepad.exe に BlueCrab ランサムウェアをインジェクションするコードである。BlueCrab ランサムウェアが notepad.exe にインジェクションされると、notepad.exe がランサムウェアの行為を実行するようになる。 

[図7] notepad.exe にインジェクションされる BlueCrab ランサムウェア
[図8] OS 別に notepad のパスを探すコード
[図9] notepad.exe に Bluecrab ランサムウェアをインジェクションするコード

現在、V3では以下のように様々な感染プロセスの行為に基づく検出、および Generic 診断を通して、このマルウェアに対するブロックを行っている。

[ファイルの診断]

– JS/BlueCrab.S12 (2019.11.05.00)

[行為の診断]

– Malware/MDP.Behavior.M1947

0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments