見積や購入内容のメールに偽装して拡散するFormbookマルウェア

Formbook マルウェアは、2017年に初めて報告されて以降、現在まで拡散し続けている情報奪取型マルウェアである。最近では主に見積や購入関連のメールに偽装して拡散している。メールには圧縮された添付ファイルが含まれており、圧縮ファイル内部にはマルウェアの実行ファイルが存在する。単純な方法で拡散しているが、拡散量はマルウェアサンプル全体の中でも大きな割合を占めているため、注意が必要である。

AhnLab ASEC 分析チームでは、Formbook マルウェアの拡散に使用されている代表的な不正メールと、添付されたマルウェアに対する解析情報を紹介する。

[図1] 不正な添付ファイル

不正なメールは、主に見積、購入、注文、発注、船積等のキーワードで出回っており、ユーザーがメールを開いて添付ファイルを実行するとマルウェアに感染する。圧縮ファイル内部のマルウェアは Delphi のアウトラインによってパッキングされており、パッカーは自分自身に対して再帰の実行をしたあと、内部にエンコードされた Formbook バイナリをインジェクションして実行する役割を行う。 Delphi のアウトライン以外にも、VisualBasic、.NET等、様々なアウトラインのパッカーを使用して拡散している。V3 Lite 製品では、アウトラインに関係なくメモリ診断を通してFormbookマルウェアをブロックしている。

パッカーには、様々な解析妨害および AV 回避目的の手法が適用されている。マルウェア実行時、自身のファイル名に「malware」、「sandbox」、「sample」という単語が含まれているかを確認したあと、適合する場合は終了する。また、現在動作中のプロセスのリストを確認して以下の [表1] のプロセスが実行中である場合、システムディレクトリの ntdll.dll ファイルを仮想メモリにロードしたあと、再マッピングする手法を使用する。

avastsvc.exe avastui.exe aswidsagent avgsvc.exe avgui.exe
[表1] プロセスのチェックリスト 1

この手法は主にフッキングモニタリングを回避する目的でマルウェアによく使用される。

これ以外にも、様々なAV製品をチェックし、デバッガやシステムモニタリングツールを発見すると感染を中止して終了したり、自身がデバッグ中だと判断されるとエラー発生ルーティンによって回避する等の行為をする。

avp.exe bdagent.exe bdwtxag.exe dwengine.exe msmpeng mpcmdrun nissrv procmon.exe procmon64.exe procexp.exe procexp64.exe ollydbg.exe windbg.exe
[表2] プロセスのチェックリスト 2

以降、最終的に自分自身に対して再帰の実行をしたあと、デコードされた Formbook バイナリをインジェクションする。Formbook マルウェアは、実行中の explorer.exe に自身のバイナリをインジェクションしてシステムに常駐させ、system32(sysWOW64)パスのランダムな正常実行ファイルを実行したあとにインジェクションを行う。また、Webブラウザ、FTP Client、Outlook等、様々なプログラムにインジェクションしてユーザーのキー入力情報、あるいはフォームの値などを監視できる。この時、インジェクションの可否を隠匿するため、PEヘッダ領域はランダム値に置き換えられる。

[図2] メモリのPEヘッダ改ざん

攻撃者の追加コマンドを実行するために C2 へのアクセスを継続的に試み、本物の C2 を隠匿するための目的で多数の偽の C2 にアクセスする行為をする。本物のC2は通常時「404 Not Found」を返すが、攻撃者が命令を下すと「200 OK」と共に「FBNG」の文字列で始まるコマンドのコードを返し、そのコードによって様々な追加の不正な行為を実行できる。

[図3] 攻撃者コマンドの C2 パケット

当該サンプルがアクセスを試みるURLは以下の通りであり、そのうち本物のC2は最上段のURLである。

http://www.trancus[.]com/hr1/?JBcx=4BV1yKdK5vZuY04oat/51ZjI0tTg/e5HUxNus8YfKOc15yRp3ELnWdI6570fKKk6&p2=Z0XhBt2xL8V (Real C2)
http://www.lifecyclecostanalysis[.]com/hr1/?mHwHW0=sEuFEneA6nBGslKBubka7PJSIhKcjMpIl4OZOTd2eeUgma/I5bkPVwwmtP0n4ROI&3fl=Ib9L_rGXcnyH&sql=1 (Fake)
http://www.forcesw[.]com/hr1/?mHwHW0=crLHnw3CYNG6Ln+lSfCrGKzKQ4jMBJTv27bA9W2GisG4LOF63YsBHUZkyGCRF6X6&3fl=Ib9L_rGXcnyH&…(Fake)
http://www.anglerfishingcompany[.]com/hr1/?mHwHW0=erIlVEKE+EL+QdYmwC93bC8RICou5wl/NSSWiWS9sc7VsLgFsBW/zzVx8iyga/RK&3fl=Ib9L_rGXcnyH (Fake)
http://www.ahiroofs[.]com/hr1/?mHwHW0=1sc53SR399jOvOdWoC+HV3LkVFQmf0pv4m1kIukPiOa4f6O/9I0HL38gcjkTQ+sl&3fl=Ib9L_rGXcnyH (Fake)
http://www.guangshuoshuixiang[.]com/hr1/?mHwHW0=xdtOsFKiIEVzOetVqo0ao/EfgHGRJU8F6ajz33tIPYzDdKn/z35taRwENoO91isi&3fl=Ib9L_rGXcnyH (Fake)
http://www.scitech[.]world/hr1/?mHwHW0=igkmIpbmDa7Injh+nSeVH9evNgWxy7HFhvkS7z7DxslA4o32ACn5UD/YUoIvpHAG&3fl=Ib9L_rGXcnyH (Fake)
[表3] マルウェアアクセスURLのリスト

Formbook C2ドメインのうち一部は、アクセスするとドメイン販売業者に偽装したページを表示し、当該ドメインが現在使用中ではないものと思わせるようにしている。

現在 V 3製品では、このようなFormbookマルウェアを次のような診断名で診断している。

[メモリ診断]

  • Trojan/Win.Formbook.XM52

[行為の診断]

  • Malware/MDP.Behavior.M3090

[ファイルの診断]

  • Trojan/Win32.Fareit.R342688
0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments