V3 メモリ検知機能による AMSI の回避の試みを検知(CoinMiner)

ASEC 分析チームは AMSI 検知機能を無力化する CoinMiner が配布されていることを確認した。AMSI は Windows 10 に追加された機能であり、マルウェア検知のためにアプリケーションとサービスをアンチウイルス製品と連動できるように、Microsoft がサポートしている機能である。現在 V3 Lite4.0/V3 365 Clinic 4.0 製品では、AMSI 機能が BlueCrab ランサムウェア等、様々なマルウェアに対応するのに使用されている。

今回 AMSI の無力化を実行する CoinMiner は PowerShell スクリプトを活用したファイルレス形式で配布されており、CoinMiner の動作を実行する前に amsi.dll の AmsiScanBuffer 関数における先頭バイトを変更して無力化を試みる。

[図1] PowerShell による CoinMiner スクリプトの動作段階

[PowerShell スクリプトの動作プロセス:1段階]

  • LoadLibraryVirtualProtectGetProcAddress API 情報の取得
[図2] AMSI 検出の無力化のための関連 API 取得
  • amsi.dll AmsiScanBuffer の先頭6バイトを変更 (0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3)
[図3] PowerShell スクリプトによる AmsiScanBuffer 関数の無力化

[PowerShell スクリプトの動作プロセス:2段階]

[図4] Miner と関連する PowerShell スクリプトコードの一部
  • 正常な msiexec.exe プロセスに CoinMiner のインジェクションを実行
  • ユーザーがタスクマネージャーのプログラム(taskmgr.exe)を実行すると、Miner プロセス(msiexec.exe)を終了
  • タスクマネージャーのプロセスを終了すると、Miner プロセス(msiexec.exe)を再開

この AMSI 無力化の手法は PowerShell 形式の CoinMiner だけでなく、Agent tesla、MassLogger のような .NET 関連のマルウェアにおいても同様に確認された方式である。

現在 V3 プロダクトラインでは、このような AMSI 無力化手法をリアルタイムでメモリ検知を通して検知および遮断することができる。したがって、ユーザーは V3 製品エンジンのアップデートを常に最新の状態にして、マルウェアへの感染を事前に予防しなければならない。

[ファイル検知]

  • CoinMiner/PS.Agent (2021.05.18.00)

[メモリ検知]

  • Trojan/Win.AmsiBypass.XM108 (2021.05.18.00)

[IOC]

  • hxxp://beautyiconltd.cn/rigged.txt
  • hxxp://beautyiconltd.cn/cnf.txt
  • hxxp://beautyiconltd.cn/hsh.txt
  • hxxp://beautyiconltd.cn/ethged.txt
  • hxxp://beautyiconltd.cn/ethcnf.txt
  • hxxp://beautyiconltd.cn/ethhsh.txt
0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments