税金計算書を装って配布される Remcos RAT マルウェア

ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。

添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。

この PowerShell スクリプトは以下の図4)に示す通り UAC Bypass の目的で追加ファイル(version.dll)をダウンロードする内容で構成されている。UAC Bypass は複数のトリックを利用して UAC プロンプトのポップアップなしでマルウェアを管理者権限で実行させる、権限昇格手法である。UAC Bypass に関する詳細解析内容は、当社で昨年7月に発行した TI レポート(日本語なし)を通じて確認でき、一部内容を引用すると以下の通りである。

ATIP – UAC Bypass を利用した権限昇格手法の解析レポート「概要」一部抜粋

マルウェアによる振る舞いの中には管理者権限を必要としない機能も存在するが、管理者権限を持っている場合はさらなる不正な振る舞いを実行する場合がある。端的に言えば、ランサムウェアは権限によって暗号化対象のパス、すなわち暗号化させることができるファイル自体が異なってくる。それ故にマルウェアは管理者権限によって実行しようとするが、管理者権限で実行されるように設定すると UAC プロンプトのポップアップが表示され、ユーザーがこれを認知してしまう恐れがある。
UAC が開発された後、攻撃者はこれを回避する様々な手法を開発してきたが、これらを UAC Bypass という。

ATIP – UAC Bypass を利用した権限昇格手法の解析レポート「基本概念」一部抜粋

例えば sysprep.exe、cliconfg.exe 等のプロセスがこれらの autoElevate プログラムであり、この属性を持つプログラムは実行時に UAC プロンプトを介さずに、自動的に管理者権限で実行される。大半の UAC Bypass 手法はこのような autoElevate プログラムを悪用している。当該プログラムが使用するレジストリのような設定を変更し、子プロセスとして実行させる、あるいは DLL Hijacking 手法を利用して当該プログラムが不正な DLL をロードさせる方式等がある。

様々な UAC Bypass 手法の中で、この PowerShell スクリプトはトリックフォルダー(Mock Directory)を生成し、DLL Hijacking の方式を使用する。このような方法について更に詳しく説明するために、図4)の PowerShell スクリプトの Line 15 を見ると、以下のように特定のパスを生成する PowerShell コマンドが確認できる。

トリックフォルダーを指す「Mock(偽の) Directory」が意味するところは、以下の通りである。このコマンドは C ドライブの Windows サブフォルダーに System32 フォルダーを生成するコマンドのように見えるが、詳しく見ると「Windows」フォルダーではなく、末尾に空白(Space)が1つ付け加えられた「Windows 」フォルダーであることがわかる。Windows UI のエクスプローラを通してファイル名の末尾に空白が存在するこのようなフォルダーを生成することは当然不可能であり、コマンドによって「C:\Windows 」を生成することも不可能だ。しかし、コマンドによってサブディレクトリが存在する「C:\Windows \System32」を生成することは可能だという点を利用したのである。

ファイルの実行時に権限の昇格が必要かを判断する条件の一つは、信頼できるフォルダー(ex.C:\Windows\System32)で実行されたかどうかを確認することである。これは、自動権限昇格(autoElevate)条件を判断するパス検証ロジックにおいて「\System32」からチェックする点を悪用したものだが、AIS(Application Information Service：AppInfo.dll)の GetLongPathNameW API を通じて処理されるプロセスで、フォルダー名の末尾に空白がある場合は空白を自動で削除することになる。逆に考えると、攻撃者がこの条件を回避することができれば、ユーザーに権限昇格の有無を問わずに権限を昇格し、ファイルの実行が可能になるということである。

このような内容と関連する WastedLocker ランサムウェアの動作方式については、以下の投稿において詳しく紹介している。[ 2.管理者権限で実行されない場合、UAC Bypass を実行(*権限昇格メカニズム) ]

https://asec.ahnlab.com/jp/16663/

続いて PowerShell スクリプトの Line 17 からを確認すると、正常な System32 フォルダー内にある winsat.exe を偽の System32 フォルダーにコピーしたあと、コピーされたパスで隠しウィンドウ属性によって winsat.exe ファイルを実行する内容が存在する。Windows システム評価ツールである winsat.exe は AIS Whitelist ファイルの一つであるため、実行時には UAC プロンプトのポップアップが表示されない。そのため UAC Bypass 手法において主に使用される理由となっている。

最終的に当該パス(C:\Windows \System32)の Windows フォルダー名の末尾の空白が削除されることで、信頼できる場所(Trusted Directory)と見なされる。このようにしてトリックフォルダーが信頼できるパスに変わり、正常なプログラムが不正な DLL(version.dll)をロードさせる方式、すなわち DLL ハイジャック手法の使用が可能になる。

現在は経由先の接続が無効になっており、さらなる不正な振る舞いが確認されていないが、接続が有効であった時点で最終的に version.dll がロードされて実行されると、以下のように「C:\ProgramData\Chrimaz\Chrimaz.exe」を意味するパスの「Chrimaz.exe ファイル実行コマンド」が確認されるが、内部/外部インフラを通じて関連ファイルを解析したところ、このファイルは Remcos RAT マルウェアであることが確認された。

また、当社インフラを通じて関連性のあるファイルを確認したところ、2月24日頃にも類似する PowerShell スクリプト、および version.dll と類似したファイルが様々な外部 URL を通じて配布されたことがわかった。UAC Bypass の目的を持つ複数ステップを経て最終的なマルウェアを配布する方式が多様化しているというところが、注目すべき点である。

UAC Bypass は権限昇格の代表的な方式であり、マルウェアは様々な目的で権限昇格を試みる。ユーザーは Windows OS を常に最新バージョンにしておき、UAC Bypass の攻撃を防止しなければならない。基本的には出どころが不明なメールの添付ファイルを閲覧しないようにしなければならず、使用しているアンチウイルスソフトを最新バージョンにアップデートしてマルウェア感染を事前に遮断できるように注意しなければならない。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
Trojan/Win.MSIL.R472890
Trojan/Win.BitMin.C4970105
Downloader/PowerShell.Generic
Trojan/Win.UACByPass.C4970059
Trojan/Win.RemcosRAT.R475423

[IOC]
98cf9ab79e33c04a4934628f6aa3161d
1df2bf9313decafd0249d6a4556010bc
9cdcaa1c51bfa4ce6d6abb9376ba26a8
a0f177bfd53ee82d20233bd362fdf024
150744df32e4a57bb169f91cba45697c
824a79fc5bebeb7b508247619eca82cd
hxxp://zhost.polycomusa[.]com
hxxp://giraffebear.polycomusa[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。