メールを通じて拡散する XLL マルウェア

これまでに、マルウェアは様々な形態と手法で変化しながら製作され、また拡散している。AhnLab 分析チームでは、そのような変化を積極的にモニタリングしながら解析を行い、当社製品に検知を反映するようにしている。今回は、去年から拡散の状況が確認されていた XLL 形式のマルウェアについて紹介する。

.xll の拡張子で動作可能な XLL ファイルは Microsoft Excel(エクセル)のアドインファイルであり、MS Excel を通じてファイルを実行することができる。特異な点は、実行は MS Excel で可能なため、ドキュメントのアウトラインを Excel と誤解する可能性があるが、実はこの XLL ファイルは DLL 実行ファイル形式のアウトラインであるということである。過去に何度も取り上げてきた VBA マクロが含まれた Excel ファイル(.xlam、.xlsm)の場合は VBA で製作されるが、今回の場合は C 言語系列で製作されている。そのため、アウトラインが DLL であることに変わりはないが、コンパイルされるケースによって詳細な内部構成には違いが生じることがある。

韓国国内では去年7月からこれまでに、継続して拡散している状況が確認されている。メールを通じて配布されており、最終的に実行されるマルウェアの種類はインフォスティーラー、ランサムウェア等の様々な種類が確認されている。

ただし、最新バージョンでは当該形式のファイルが添付ファイルとしてブロックされており(図1を参考)、ブロックを解除した環境に限り添付ファイルを確認することができる(図2を参考)。過去バージョンの Outlook では別途ブロックを解除せずに添付ファイルの確認が可能(図3を参考)である。参考に、添付ファイルがブロックされたバージョンでブロックを解除するためには、Outlook の環境設定機能からはできないため、直接レジストリを変更する必要がある。Microsoft でもブロックされた拡張子を使用するためには、他の拡張子に変更して使用するようにガイドしている。

● Purchase Order 033.xll, Purchase Order 034.xll

上記の図1、2、3のメールに添付された「Purchase Order 033.xll」と「Purchase Order 034.xll」ファイルの機能は以下の通りである。まず、先に説明したように図5のように DLL のアウトラインを確認することができ、ファイルを実行すると(.xll 拡張子で)図6のように Microsoft Excel で開かれる。「このアドインをこのセッションに限り有効にする」をクリックすると、不正な振る舞いが実行される。また、「このアドインを無効なままにする」をクリックした場合は実行されない。したがって、未確認の XLL ファイルを不注意に実行してしまった場合、この段階で該当するボタンをクリックすれば感染を防ぐことができる。

拡張子がわからない場合、実行ファイルのうち DLL の構造を持っていることから、見た目上は XLL ファイルかどうかを把握するのが困難な可能性があるが、XLL のファイルは「xlAutoOpen」という名前の Export 関数を持っている。これは、すべての XLL 関数で実装されるべき必須のコールバック関数である。XLL の起動には、この関数の実行が不可欠である。

「Purchase Order 033.xll」と「Purchase Order 034.xll」の場合、「Excel-DNA」というオープンソースによってコンパイルされた XLL ファイルで内部データを抽出する時に核心的機能を実行する DLL を確認することができ、これは .net で製作されている。

この Purchase Order 034.xll の内部 HFR04.dll によって発現した振る舞いは、図9のようにネットワークへの接続試行を実行することがわかる。このマルウェアは以下のアドレスにより、さらなるマルウェアのダウンロードを試みる。現在はこのアドレスからデータを受け取ることができず、さらなる機能を確認することは難しいが、昨年7月から拡散している XLL マルウェアを調べてみると、ランサムウェア、インフォスティーラーの類をダウンロードすることが推定される。その例に該当するサンプルの一部について、以下でさらに説明する。

– hxxps://www.mcroller[.]com/express.exe

● 履歴書.xll

「履歴書.xll」という名前で配布されたこのファイルも Excel-DNA でコンパイルされており、上記と同じく内部の抽出された DLL は .net ファイルであり、上記のケースと同じである。このファイルの機能としては、ネットワーク接続後にさらなるマルウェアをダウンロードするが、当社内部のログでは以下のアドレスからランサムウェアがダウンロードされた形跡が確認された。

– hxxp://104.161.34[.]171/library.exe

● MV SEAMELODY.xll

「MV SEAMELODY.xll」というファイル名で配布されたこの XLL マルウェアも、ダウンローダーの機能を担う。このファイルも内部の核心的 DLL が主な機能を実行しており、以下のようなコードが確認できる。

– hxxp://103.89.30[.]10/intelpro/goa.exe

上記ネットワークに接続を試み、さらなるマルウェアをダウンロードするが、ログ上ではこのアドレスからダウンロードされたファイルは Lokibot マルウェアであることが確認された。

このように、最近のマルウェア拡散の大部分を占めるインフォスティーラー、そしてランサムウェアの配布方式が、また一つ増えたのである。ユーザーは、信頼できないメールに添付された内容を閲覧する際は、必ず注意を払わなければならない。また、使用しているアンチウイルスソフトのバージョンを常に最新にアップデートして管理する注意が必要とされる。

AhnLab V3 では、これらのマルウェアに対して以下の通り検知している。

[ファイル検知]

• Downloader/Win.MalXll.R490565
• Downloader/Win.MalXll.R466354
• Trojan/Win.Agent.C5025449
• Ransomware/Win.Carlos.C5025252

[IOC 情報]

• c181e7eaacbcfe010375a857460a76c6
• 128ab502ed4f070abea44fd42b24f9d3
• 1f24e9fa558c3394935c9b41ffad2034
• 4685703aa9868c5f71da11422ccf30e8
• d599aecaa32e0b0b41f4a688f85388c6
• hxxps://www.mcroller[.]com/express.exe
• hxxp://104.161.34[.]171/library.exe
• hxxp://103.89.30[.]10/intelpro/goa.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。