Proxyware とは、インストールされたシステムから、現在使用できるインターネット帯域幅の一部を外部に共有するプログラムである。一般的にこのプログラムをインストールしているユーザーは帯域幅を提供する代わりに一定の金額を受け取っている。このようなサービスを提供している業者としては Peer2Profit、IPRoyal のような企業がある。これらの事業は、提供された帯域幅を他の事業に提供するといった方式で収益を得ているが、ホームページによるとソフトウェアの配布、市場調査、広告検証、ソフトウェアテストのような様々なビジネスパートナーがいると主張している。
ユーザーの立場からすると、システムに Proxyware をインストールすることで一定の収益を得ることができるが、外部のユーザーが自分のネットワークを利用して特定の振る舞いを行うという点において、危険性を承知していなければならない。すなわち、ユーザーは Proxyware 事業で主張しているものが具体的にどこにあるのか確認できず、当該事業で自主的に検証を行っていると言っても、その後の自分のインターネット帯域幅が不正に使用されてるのかを確認できないといった危険性が存在している。

最近 ASEC 分析チームでは、ユーザーの同意を得ずに Proxyware をインストールするマルウェアを確認した。このようなマルウェアに感染したユーザーは、強制的にネットワーク帯域幅を窃取されることになり、攻撃者はこれによって収益を得ることになる。このように、感染システムのリソースを利用して収益を得る方式は、コインマイナーと類似しているとも言える。このようなタイプのマルウェアは、以前から存在し続けており、2021年にも Cisco Talos 社が Proxyware マルウェアを解析したことがある。[1]
1. Adware を利用した配布事例
ここではまず Adware を通して配布されているマルウェアを取り扱う。当社 ASD ログを利用して確認したところ、このマルウェアは Neoreklami 等のような Adware マルウェアによってインストールされていた。

このマルウェアは Dropper タイプのマルウェアであり、実行されるとユーザーに認識されずに、システムに本人のアカウントで Peer2Profit、IPROYAL 社の Proxyware をインストールする。
…. 1.1. PEER2PROFIT
まず Peer2Profit から見ると、マルウェアは以下のようなデータセクションに保存されている Peer2Profit SDK DLL を同一パスに生成する。次のマニュアルによると、Peer2Profit SDK は p2p_is_active() 関数を利用してプロキシクライアントが実行されているのかを確認でき、p2p_start() 関数によってプロキシを開始することができる。

実際のマルウェアも、上記のマニュアルのようにして生成された SDK DLL をロードし、引数で攻撃者にメールアドレスを伝達し、p2p_start() 関数を実行することが確認されている。すなわち、このマルウェアは感染システムでユーザーに認知されずに動作し、インターネット帯域幅を窃取するということになり、攻撃者は指定したメールアドレス、すなわち自身のアカウントを通して収益を得る仕組みになっている。

…. 1.2. PROYAL PAWNS
Dropper マルウェアは Peer2Profit SDK 以外にも IPRoyal 社の Pawns も一緒にインストールされる。初期に確認された Dropper は CLI exe 形態の Pawns を利用していた。一般的な IPRoyal プログラムは GUI 形態だが、このように CLI 形態をサポートしているため、コマンドラインによって実行することができ、ユーザーに気づかれずにインストールできる。

まず、CLI 形態の Pawns が動作中の場合は強制終了させ、その後 Peer2Profit SDK と同じく同一パスに Pawns を生成する。その後、攻撃者のメールアドレスとパスワードを引数を与えることで実行させ、そのシステムからの収益を得る。

その後確認されたタイプは CLI 形態の Pawns を使う代わりに DLL 形態の Pawns を利用している。Dropper は同一パスに pawns.dll を生成してロードした後、Initialize() 関数および startMainRoutine() 関数を呼び出す。

直接コマンドライン引数で攻撃者のメールアドレスとパスワードを受け取っていた CLI 形態の Pawns とは異なり、DLL 形態の Pawns はエンコードされたデータを引数として受け取っている。この文字列は Base64 でエンコードされており、復号化すると以下のような json 設定データを確認できる。

このデータは認証に使用されるデータであると推定され、実際に GUI 形態の IPRoyal でも類似した方式が使用されている。IPRoyal にログインすると GUI クライアントがインストールされるパス上に %PROGRAMFILES%\IPRoyal Pawns\resources\packages\main\resources\libpawns に位置する libpawns.dll (x86 環境では libpawns32.dll) ファイルをロードし、同じくエンコードされた設定データを引数として受け取り、startMainRoutine() 関数が呼び出される方式になっている。

2. 脆弱な MS-SQL サーバーをターゲットにした攻撃事例
参考に Peer2Profit は他の攻撃者も使用しているが、以下は脆弱な MS-SQL サーバーに Peer2Profit SDK がインストールされるログである。このシステムはコインマイナーやバックドアなどが辞書攻撃を通して配布され、様々なマルウェアに感染したログが確認されている。つまり、このようなマルウェアと同様、脆弱なアカウント情報であったため、辞書攻撃を通して配布されたと推定される。

「sdk.mdf」ファイルは UPX でパックされており、2022年6月初旬から現在まで様々な脆弱な MS-SQL サーバーをターゲットにインストールされている。もちろん Peer2Profit の特性上 DLL であり、Export 関数の引数として攻撃者のメールアドレスを伝達するため、ファイルだけでは攻撃者のメールアドレスといった追加の情報は確認できない。
最近確認されている Proxyware Dropper マルウェは、システムリソースを利用して収益を得ているという点ではコインマイナーと類似している。このようなマルウェアは Adware を利用して配布されたり、脆弱な MS-SQL サーバーをターゲットにインストールされたりしている。ユーザーは出どころが不明確なところからインストールする行為を避けなければならず、データベースサーバーがインストールされている場合はアクセス権の制限およびアカウント情報の設定を徹底的に管理しなければならない。また 、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
– Dropper/Win.Proxyware.C5173477 (2022.07.18.03)
– Dropper/Win.Proxyware.C5173478 (2022.07.18.02)
– Dropper/Win.Proxyware.C5210584 (2022.07.18.02)
– Unwanted/Win.Peer2Profit.R505332 (2022.07.18.02)
– Unwanted/Win.Pawns.C5211846 (2022.07.21.01)
– Unwanted/Win.Pawns.C5211847 (2022.07.21.01)
[IOC]
MD5
Dropper
– 05ed95d997662ee0ba15f76949955bf0
– dd709b8529802d6489311a27372044aa
– 29cbc8a8cdb0e24f3561fac8ac0c0174
Peer2Profit SDK
– b1781c2670a2e0a35a10fb312586beec
– e34d9ec5d43501dc77ee93a4b464d51b
IPRoyal Pawns
– 7f8c85351394fd8221fc84d65b0d8c3e
– 3e4bb392494551a89e090fbe1237f057
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] では、以前「Proxyware を利用して利益を受け取っている攻撃者たち」[1]の記事を通じて、最近流行っている Proxyjacking […]