ソフトウェアのダウンロードに偽装し、様々な種類のマルウェアを配布

ASEC 分析チームでは、これまでに多数のブログ投稿を通じて、商用ソフトウェアである Crack、Serial 等のキーワードで検索すると表示される不正なサイトから配布される CryptBot マルウェアについて取り上げ、ユーザーの注意を呼び掛けてきた。

https://asec.ahnlab.com/jp/23691/

https://asec.ahnlab.com/jp/26039/

これらの不正なサイトから配布されるマルウェアは CryptBot が大半を占めているが、場合によっては他のマルウェアが配布されることもある。このブログでは、同じタイプのマルウェアの配布のうち CryptBot 以外の他のマルウェアについて取り上げていく。

過去のブログでも述べたように、このマルウェアは検索エンジンに特定の商用ソフトウェアである Crack、Serial、Keygen、License 等の違法なキーワードを検索すると検索結果の上位に表示される不正なページを通して配布される。

この不正なページの代表的なものとしては以下の通りであり、正常なツールをダウンロードできるかのように装っているが、実際にダウンロードされるファイルはマルウェアが含まれた圧縮ファイルである。詳しい内容は以下のブログで詳細に記述している。

図1.マルウェア配布サイトの例

https://asec.ahnlab.com/jp/24451/

これらの不正なサイトから配布されているマルウェアは、大きく二つのタイプに分かれる。

NSIS ドロッパータイプと、Autoit Loader タイプである。

前者は実行時に多数のマルウェアを同時にドロップして実行する。ドロップの過程でアンチウイルス製品の検知が発生すると実行が不可能であったため、このブログでは取り上げなかったが、ある特定のケースで実行されると復旧が不可能なほど多数のマルウェアに感染する。通常は10個程度のマルウェアをドロップしてから実行し、この中にはダウンローダー型マルウェアも多数含まれているため、実際に感染するマルウェアはより多くなる。このドロッパーにより感染するマルウェアの代表的なものは以下の通りである。

BeamWinHTTP, RedLine, YAHOOYLO, Socelars Stealer, ClipBanker, Backstage Stealer, Androm 他多数

このタイプの特徴は、最終的に圧縮を解凍した実行ファイルのアイコンが NSIS のデフォルトアイコンであり、その内部のファイルは「setup_installer.exe」という名前の 7zSFX 実行ファイルである点である。実行時に特定のディレクトリに内部ファイルの圧縮を解凍した後、「setup_install.exe」ファイルを実行するが、これは、同じディレクトリに生成された txt ファイルを実行する役割を持つ。

内部に存在する多数の txt ファイルは、テキストファイルに偽装したマルウェアである。別途エンコードや暗号化を必要としないため、圧縮ファイルを解凍すると即時に V3 製品によって検知され、遮断される。

図2.NSIS Dropper マルウェアの実行構造

後者の場合は、実行時に Autoit 関連ファイルを生成してから実行するタイプである。過去のブログで取り上げた CryptBot のケースが、このタイプに属している。主に CryptBot を配布する点から、当社ではこのパックのタイプを「CryptLoader」という検知名で対応している。大半の場合は CryptBot マルウェアを配布し、CryptBot は Clipbanker をダウンロードして実行するが、場合によっては他のマルウェアが配布されることもある。

直近の約1か月間でこのタイプで配布されたマルウェアのうち、CryptBot 以外のマルウェアは以下の通りである。以下のサンプルは、不正なページから直接ダウンロードされるか、CryptBot、NSIS Dropper 等の攻撃タイプのサンプルによって追加生成されたマルウェアである。


1. RedLine

RedLine は .NET 言語でビルドされたマルウェアであり、各種ユーザー情報を奪取して C2 へ送信した後、追加のマルウェアをダウンロードして実行、および自己削除の行為が可能である。その振る舞いとしては CryptBot と類似しているが、機能は更に多様であり、約 100KB という比較的小さい容量を持つ。

実行すると Autoit スクリプト内部のシェルコードによって RegAsm.exe プロセスを実行した後、プロセスハロウイングによって動作する。

図3.RedLine マルウェアのプロセスツリー

実際には RegAsm.exe にハロウイングして動作するが、内部バイナリを抽出すると以下のように有効な証明書が存在し、他の .NET マルウェアとは異なりほとんど難読化されていない形態である。

図4.署名情報
図5.内部メソッドのリスト

各種ブラウザに保存されたアカウントおよびパスワード、暗号通貨ウォレットファイル、Discord 等のメッセンジャートークン、FTP クライアント情報、VPN 情報等、様々な主要情報が奪取対象となり、過去には以下のブログのように Youtube を通じて配布された経歴がある。

https://asec.ahnlab.com/ko/18037/

C2: gimpimageeditor.com


2. Vidar

Vidar も同様に情報奪取を目的とするマルウェアである。以下のサンプルの場合、nslookup.exe を実行した後、プロセスハロウイングによって動作する。

図6.Vidar マルウェアのプロセスツリー

内部で抽出可能なオリジナルのバイナリの WinMain 関数では、以下のようにアンチ逆アセンブル機能を行うガベージコードが含まれており、これを除去しなければ正常な逆アセンブルができない。アンチ逆アセンブルは、代表的な解析妨害手法の一つである。

図7.アンチ逆アセンブルコード

Vidar マルウェアは情報収集行為の前に C2 に接続し、その振る舞いに必要な様々なライブラリをダウンロードすることが特徴であり、その C2 アドレスを入手するために攻撃者が開設しておいた Tumblr のアドレスへの接続を試みる。この Tumblr ページに接続すると、以下の図のように内部ソースコードに Vidar の実際の C2 アドレスが明示されている。

図8.攻撃者の Tumblr ページ

過去には Faceit 等のゲームプラットフォームを利用して C2 情報をアップデートする Vidar マルウェアに関する情報を ASEC ブログに掲載したことがある。このように、攻撃者が C2 をアップデートするために正常なドメインを利用する事例が増えてきている。

https://asec.ahnlab.com/jp/23064/

奪取した情報を圧縮して C2 に送信し、C2 の命令によって様々な追加の不正な行為が可能になる。

C2: shpak125.tumblr.com / 116.202.183.50


3. Remcos

Remcos は RAT タイプのマルウェアであり、キーロガーを含む様々なユーザー情報を収集および流出し、様々な攻撃者の命令を実行することができる。リモート管理用のツールとして製作者の Web ページで販売されているが、ほとんどはマルウェアに悪用されるケースが多い。

https://asec.ahnlab.com/jp/17889/

以下のサンプルでは、vidar の場合と同じく nslookup.exe を実行した後、ハロウイングによって動作する。

図9.Remcos マルウェアのプロセスツリー

実行すると「Remcos_Mutex_Inj」ミューテックスを生成する。

図10.ミューテックス生成コード

権限昇格、キーロガー、各種情報の奪取、Web カメラおよびマイク録音、クリップボードの奪取、リアルタイムスクリーン転送およびリモート制御等の様々な不正な行為が可能である。

図11.権限昇格コード

このサンプルで使用された Remcos のバージョンは「3.2.0 Pro」である。バージョンに関する文字列は rdata 領域にハードコーディングされており、当該バージョンは2021.07.30の日付でリリースされた最新バージョンである。

図12.Remcos バージョン情報

最近拡散した Remcos のサンプルの中には、内部ファイルが追加でパックされているケースも確認された。UPX や Mpress 等のパッカーでパッキングされたマルウェアが、正常なプロセスにハロウイングしている。攻撃者は、検知を回避するために複数のテストを経たものと判断できる。

図13.オリジナルのサンプル、UPX パッキングのサンプル、Mpress パッキングのサンプル

C2: 146.0.72.170:9094


4. Raccoon Stealer

最近拡散した Raccoon Stealer の場合、MalPE タイプのパッカーを使用して配布された。以前、このブログに Autoit Loader のタイプではなく、 MalPE タイプの配布に関する内容を掲載している。それ以降もたびたび MalPE タイプのマルウェアが拡散しており、この種類は電子メール、エクスプロイトキット等による拡散でも活発に使用されているパック方式である。

https://asec.ahnlab.com/jp/24451/

このパックのタイプは、以下のように一つのファイルの中に複数のアイコンが存在し、リソース領域にランダム文字列を含んでいるという特徴がある。

図14.サンプル内部リソースのアイコン

Raccoon Stealer も同様に情報奪取型マルウェアであり、実際の C2 アドレスを取得するために攻撃者の Telegram のアドレスへ接続を試みる。当該ページには以下のように暗号化された文字列が表示されており、この文字列を復号して C2 アドレスを取得する。

図15.攻撃者の Telegram ページ

攻撃者の Telegram ページに表示された文字列の前後を規格に合わせてカットし、Base64 でデコードした後、RC4 アルゴリズムを使用して復号する。RC4 に対するキー値は、サンプルファイルの rdata 領域にハードコーディングされている。このような方法により、攻撃者はすでに配布したサンプルの C2 を持続的に変更することができる。

図16.RC4 復号キー
図17.復号の結果

C2: telete.in/inosradioworld / 5.181.156.60

上記で列挙したマルウェア以外にも、ランサムウェア等の情報奪取型ではないマルウェアが配布された履歴も確認されている。このように攻撃者は様々なマルウェアを拡散させ、その効果をテストしているものと推定される。今後いつであっても他のマルウェアが配布される恐れがあるだけに、ユーザーの注意が必要であり、信頼できないページからダウンロードしたファイルは実行してはならない。

[IOC 情報]

a5bc136c227ab70ed77e3bebe6e4bc6d
21be2e389bc3d34f6a20dad828aa80b2
2349e8337b649af297fe9ef6b99deae5
8680a71a54f5eb063aedc7d8922e031c

gimpimageeditor.com
shpak125.tumblr.com
116.202.183.50
146.0.72.170:9094
telete.in/inosradioworld
5.181.156.60

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments