ASEC 分析チームは AMSI 検知機能を無力化する CoinMiner が配布されていることを確認した。AMSI は Windows 10 に追加された機能であり、マルウェア検知のためにアプリケーションとサービスをアンチウイルス製品と連動できるように、Microsoft がサポートしている機能である。現在 V3 Lite4.0/V3 365 Clinic 4.0 製品では、AMSI 機能が BlueCrab ランサムウェア等、様々なマルウェアに対応するのに使用されている。
今回 AMSI の無力化を実行する CoinMiner は PowerShell スクリプトを活用したファイルレス形式で配布されており、CoinMiner の動作を実行する前に amsi.dll の AmsiScanBuffer 関数における先頭バイトを変更して無力化を試みる。

[PowerShell スクリプトの動作プロセス:1段階]
- LoadLibrary、VirtualProtect、GetProcAddress API 情報の取得

- amsi.dll の AmsiScanBuffer の先頭6バイトを変更 (0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3)

[PowerShell スクリプトの動作プロセス:2段階]

- 正常な msiexec.exe プロセスに CoinMiner のインジェクションを実行
- ユーザーがタスクマネージャーのプログラム(taskmgr.exe)を実行すると、Miner プロセス(msiexec.exe)を終了
- タスクマネージャーのプロセスを終了すると、Miner プロセス(msiexec.exe)を再開
この AMSI 無力化の手法は PowerShell 形式の CoinMiner だけでなく、Agent tesla、MassLogger のような .NET 関連のマルウェアにおいても同様に確認された方式である。
現在 V3 プロダクトラインでは、このような AMSI 無力化手法をリアルタイムでメモリ検知を通して検知および遮断することができる。したがって、ユーザーは V3 製品エンジンのアップデートを常に最新の状態にして、マルウェアへの感染を事前に予防しなければならない。
[ファイル検知]
- CoinMiner/PS.Agent (2021.05.18.00)
[メモリ検知]
- Trojan/Win.AmsiBypass.XM108 (2021.05.18.00)
[IOC]
- hxxp://beautyiconltd.cn/rigged.txt
- hxxp://beautyiconltd.cn/cnf.txt
- hxxp://beautyiconltd.cn/hsh.txt
- hxxp://beautyiconltd.cn/ethged.txt
- hxxp://beautyiconltd.cn/ethcnf.txt
- hxxp://beautyiconltd.cn/ethhsh.txt
Categories:マルウェアの情報