スパムメールで拡散しているAveMariaマルウェア

AveMaria は、遠隔操作機能の RAT(Remote Administration Tool) マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な行為を実行することができる。Top 5内には含まれていないものの、常に一定の割合を占めている。

AveMaria マルウェアは、最近AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって拡散している。また、診断を回避するために上記マルウェアと類似する.NETアウトラインのパッカーによりパッキングされて拡散している。

拡散に使用されたスパムメールは、典型的な見積関連のスパムメールである。

スパムメールに添付されたファイルを確認すると、7z および zip 形式の2個の圧縮ファイルが存在する。

  • RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.7z
  • RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.zip

この圧縮ファイルはすべて同じ exe ファイルを含んでいるが、どちらも AveMaria マルウェアである。

  • RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.exe

ユーザーが 添付ファイルを解凍したあと xlsx の Excel ファイルと誤認して開いてしまうと、AveMaria マルウェアが実行される。以下では、このマルウェアが攻撃者の命令を受けて実行できる様々な機能を整理する。

まず、攻撃者は AveMaria を生成するときにオプションを指定できるが、そのオプションによって様々な機能が有効化される場合がある。

[オプションによる様々な機能]

a. インストールされる名前の指定
指定した名前でコピーおよび再実行され、そのパスは %AppData%\Roaming である。

b. Persistence Mechanism
指定した名前でレジストリに Run Key を登録し、再起動後も実行されるようにする。

c. Offlineキーロガー
実行開始から同時にキーロガーを開始し、そのデータは %AppData%\Local\Microsoft\Microsoft Vision フォルダに保存する。キーロガーは SetWindowsHookExA() 関数で、グローバルメッセージフックを登録する方式を使用する。

キーロガーのルーティン

d. Watchdog
AveMaria マルウェアが終了したときに、再度実行させる機能である。子プロセスで cmd.exe を生成したあと、シェルコードをインジェクションする。このシェルコードは、繰り返し文を回りながら AveMaria の実行状況をチェックし、終了したことが確認されると再実行させる機能を有する。

cmd.exe にインジェクションされ、AveMaria が終了すると再実行機能を担当するシェルコード

e. 権限昇格

マルウェアが初めて実行されたときに管理者権限を持っていない場合、UAC Bypass 手法を利用して管理者権限に昇格させるオプションである。この記事の下記の機能項目で説明する。

f. Windows Defender例外

次のようなPowerShellコマンドを利用して Windows Defender の例外パスに追加し、以降 Windows Defender によって検知されないようにする。

  • powershell Add-MpPreference -ExclusionPath C:\

[攻撃者の命令によって実行する各機能]

AveMaria は RAT マルウェアであるため、以下のように攻撃者の命令によって実行できる様々な機能がサポートされる。

C&C サーバーのコマンドによって実行されるルーティン

a. ファイルの操作
感染した PC のファイルに対し、照会/アップロード/ダウンロード/実行等の機能を実行できる。

b. プロセス関連の操作
感染した PC で、現在実行中のプロセスに対する照会/終了機能を実行できる。

c. アップデート

自分自身のモジュールをアップデートできる。

d. ダウンロードおよび実行

攻撃者から URL を受け取り、外部から追加のマルウェアをダウンロードおよび実行できる。

e. Remote Shell
攻撃者の命令を受けて cmd.exe を利用してコマンドを実行し、出力結果を C&C サーバーに送信する。

f. Online キーロガー
攻撃者にリアルタイムでキーロガー情報を送る。

g. WebCam
感染PCのWebカメラを有効化し、攻撃者にリアルタイムの映像を伝達する。

h. Reverse Proxy

感染した PC をプロキシサーバーとして活用する。すなわち、この機能を使用すると C&C サーバーからの外部接続および悪意のある活動をする際に感染 PC を経由して行われる。その結果、外部では実際の攻撃者の IP ではなく感染したPCの IP、すなわち本来の攻撃者の代わりに感染者の PC の行為として認知される。

参考に、C&C サーバーとのプロキシ接続時、認証目的で「AVE_MARIA」という文字列を送信する。AveMaria の本来の名前は WARZONE RAT だが、この文字列のために AveMaria とも呼ばれている。

認証に使用される「AVE_MARIA」文字列

i. Remote VNC Control

C&Cサーバーから vncdll.dll をダウンロードしてメモリ上でロードするが、この DLL は VNC サーバーの機能を担当する DLL である。

メモリ上にダウンロードした vncdll をデコードしてロードしたあと、lst()関数を呼び出す

すなわち、VNC サーバー機能を担当するモジュールが AveMaria プロセス上で動作するが、攻撃者はこの後 TightVNC や TigerVNC のような VNC クライアントプログラムを利用して感染 PC に接続し、遠隔操作を実行できる。

j. Reverse RDP

RdpWrapper DLL を感染PCにドロップしてサービスを登録する。ドロップされる RdpWrapper DLL のパスは以下の通りであり、これを TermService という名前のサービスで登録する。

  • %Program Files%microsft DN1\sqlmap.dll

そのあと、ランダムな文字列を生成して ID/PW としてユーザーアカウントを追加する。そして、登録したユーザーアカウントを以下のレジストリキーに登録することで、ユーザーはアカウントが追加された事を確認できなくなっている。

  • HKOM\Software\Microsoft\Windows NT\CurrentVersion\winlogon\SpecialAccounts\UserList

最後に、このようにして追加した ID/PW は以下のようなレジストリキーに登録して保存する。

  • ID:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\[ランダム] / rudp
  • Password:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\[ランダム] / rpdp

以降、攻撃者は生成した ID/PW を利用し、感染 PC に RDP 接続を行うことで遠隔操作が実行できるようになる。

k. 権限昇格

UAC Bypass を利用して管理者権限に昇格させる機能である。参考に、一般的にダブルクリックで実行する場合は Normal 権限として実行されるが、上記で述べたサービス登録のような機能の場合は、High、すなわち管理者権限を必要とする。そのため、攻撃者の立場では追加機能のために必要な部分である。

AveMaria は UAC Bypass 手法を2つ持っているが、そのうちの1つは Dism.exe の DLL Hijacking 脆弱性を悪用した方式である。この機能は、リソースセクションに WM_DSP という名前で保存されているマルウェアを利用する。

リソースセクションに保存された UAC Bypass を担当するマルウェア

このマルウェアは IFilerOperation を利用して、不正な DLL を system32 パスにコピーするシェルコードを explorer.exe にインジェクションする。これによって、権限がなくても不正な DLL を system32 パスにコピーできる。参考に、この DLL も当該 PE のリソースセクション内部に WM_DISP という名前で保存されている。以降、不正な行為に必要な oemsetup.xml を生成し、これを引数として Auto Elevate プログラムである pkmgr.exe を実行する。その結果、子プロセスで DLL Hijacking 脆弱性を持つ Dism.exe が実行され、system32 パスにコピーされた不正な dll である DismCore.dll をロードする。この DismCore.dll は AveMaria を実行させる機能を持っているが、Auto Elevate プログラムの子として実行されるため、同じように管理者権限で実行され、権限の昇格が可能になる。

感染したPCの環境が Windows 10 の場合、他の UAC Bypass 手法が使用される。以下のレジストリにマルウェアのパスを指定したあと sdclt.exe を実行させると、Auto Elevate プログラムである sdclt.exe が実行されるときに当該キーを参照し、子プロセスの control.exe を経由して AveMaria を実行させる。参考に、HKCU レジストリキーであるため、管理者権限がなくても Auto Elevate プログラムが参照するキーを変更できるという点を悪用した方法である。

  • HKCU\Software\Classes\Folder\Shell\Open\command

l. アカウント情報の奪取

以前、AveMaria のアカウント情報奪取対象には Chrome、Firefox、IE、Edge のようなWebブラウザ、そして Outlook、Thunderbird、Foxmail のような電子メールクライアントプログラムがあった。

Chrome の場合、以前の vncdll のように sqlite3.dll をメモリ上にダウンロードし、その DLL から export する関数のアドレスを取得し、この関数がすなわち sqlite3.dll の機能を利用してアカウント情報を抽出する。

情報流出に使用する sql 関連の関数のアドレスを求めるルーティン

過去の IE、Edge の場合は vaultcli.dll をロードしたあと、その DLL から export する関数を利用してアカウント情報を抽出していた。また、FireFox、Thunderbird の場合はインストールフォルダに存在するnss3.dll、msvcr120.dll、msvcp120.dll、mozglue.dll、softokn3.dll、vcruntime140.dll をロードして必要な関数を利用しすることでアカウント情報を抽出して、存在しない場合は外部からダウンロードすることも可能である。

最新バージョンの AveMaria では、Opera、Chromium、QQ Browser のような様々な Web ブラウザも情報奪取の対象として追加されている。

Web ブラウザのアカウント情報奪取ルーティン

ユーザーは、疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3を最新バージョンにアップデートしてマルウェアへの感染を事前にブロックできるように注意を払わなければならない。

現在 V3 では、このマルウェアを次のような診断名で診断している。

[ファイルの診断]

  • Trojan/Win32.Kryptik.R346819

[行為の診断]

  • Malware/MDP.Inject.M218
  • Malware/MDP.Behavior.M3346

[関連IOC情報]

C2
–  54369253290033.sytes[.]net:5200

HASH
– 77384b5848a963645b44fedc97075bc2

0 0 votes
評価する
Subscribe
Notify of
guest

4 コメント
Inline Feedbacks
View all comments