ASEC 分析チームは最近、韓国国内で拡散している CHM マルウェアにおいて、アンチサンドボックス手法が使われているタイプと企業をターゲットとするタイプが存在することを確認した。これらのタイプはどちらも3月と5月に、以下の ASEC ブログを通じて紹介したものである。
https://asec.ahnlab.com/jp/34041/
https://asec.ahnlab.com/jp/33470/
まず、アンチサンドボックス手法が使われた CHM のタイプは、不正な VBE ファイルをドロップする前にユーザー PC の環境をチェックする。不正な CHM ファイルの内部に含まれる HTML コードは以下の通りであり、HTML は正常なプログラム(EXE)と不正な DLL ファイルを生成したあとに実行する機能を遂行する。DLL ハイジャック手法によって生成された不正な DLL がロードされ、その DLL によって実際の不正な振る舞いが実行される。この HTML スクリプトの詳細機能は、上記ブログで紹介している。

ロードした不正な DLL は、不正な振る舞いを実行する前にユーザー PC の環境をチェックする。まず、当該 PC の TEMP フォルダー内に存在するファイルの個数を確認し、18個未満の場合はプロセスを終了する。実際に使用中の PC の場合、TEMP フォルダーに存在するファイルの個数が多いため、攻撃者が仮想環境で実行されているかどうかを確認するためのものと推定される。

その後、現在の実行プロセス名をチェックする。この DLL では「ImagingDevices.exe」プロセスかどうかを比較するが、この時に比較するプロセスは DLL ハイジャックに用いられる正常な実行プログラム名である。このプロセスを通じて、不正な DLL が攻撃者が意図した方法で実行されているかどうかをチェックしているものと推定される。

上記プロセスをすべてクリアすると、実際の不正な振る舞いを実行する。難読化されたレジストリのパスを照合し、以下の RUN キーに現在実行中のプログラムを登録する。
- SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

その後、%TEMP% フォルダーに不正な VBE ファイルを生成して実行する。この時の VBE ファイルは ReVBShell である。詳しい機能と以降のプロセスは、上記で取り上げたブログで紹介している。
企業をターゲットとする CHM のタイプは、最終的に実行された EXE ファイルによって、当社製品のプロセスが実行されているかどうかをチェックする。当該 CHM のタイプの内部に存在する HTML は以下の通りであり、「c:\\programdata\\chmtemp」フォルダーに不正な EXE ファイル(chmext.exe)を生成したあとに実行する。

chmext.exe ファイルが実行されると、現在実行中のプロセスを確認して v3l4sp.exe の存在をチェックする。v3l43p(V3Lite)プロセスが存在する場合、不正な振る舞いが実行されずにプロセスが終了する。V3 Lite 製品を使用している個人顧客の場合は不正な振る舞いを実行しないことから、企業ユーザーをターゲットとしていることが分かる。

当社製品のプロセスを確認したあとで実際の不正な振る舞いが実行されており、不正な振る舞いの詳細情報は上記で取り上げたブログで紹介している。このように、最近拡散しているマルウェアは当ブログで紹介した手法以外にも様々な方式を利用して仮想環境かどうか、企業ユーザーかどうかをチェックしたあと、実際の PC およびターゲットの PC でのみ動作するように製作されている。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Dropper/Win.Akdoor.R490564
Dropper/CHM.Akdoor
Trojan/Win.Generic.C5025270
Dropper/Win.Agent.C5028107
[IOC]
e33114a7894a1a284084861eee5f9975
95d914d34e9cb5bd2e5db411ed5345b9
210db61d1b11c1d233fd8a0645946074
619649ce3fc1682c702d9159e778f8fd
bb71af5c5a113a050ff5928535d3465e
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報