最近 V3 製品で検知された FormBook(フォームブック)マルウェアは、ユーザーが Web ブラウザを利用中にシステムにダウンロードされて実行された。FormBook はインフォスティーラー型マルウェアであり、ユーザーの Web ブラウザのログイン情報、キーボード入力、クリップボードおよびスクリーンショット等の情報流出を目的とする。不特定多数を攻撃のターゲットとし、主にスパムメールや侵害を受けた Web サイトにアップロードされて拡散するといった特徴がある。FormBook は実行中のプロセスのメモリにインジェクションして動作するという特徴があり、インジェクション対象は explorer.exe と %WinDir%\System32 フォルダー内の任意の正常なファイルである。実際に情報流出の振る舞いを行う FormBook を動作させるために、パック、難読化、ダウンローダーによる実行等の段階が先行することがある。
最初のファイルは .NET フレームワークにより配布された。バイナリの Raw Data を保存できる外部 pastebin Web サービスのアドレスにアクセスしてデータを読み取り、PE バイナリで再生成したあと、メモリにロードする。ロードされた PE は複数の条件分岐により難読化された .NET DLL である。DLL によりファイルは自己複製後に再帰処理され、その後は子プロセスとして AddinProcess32.exe を実行したあと、これに PE をインジェクションする。インジェクションされた PE が FormBook である。
FormBook は ntdll.dll をメモリに手動でロードし、これを呼び出すことにより API モニタリングを回避する。その後、アンチデバッグを始めとする解析の回避手法を経て実行中の explorer.exe プロセスに C&C 通信のためのコードをインジェクションしてスレッドにより実行する。%WinDir%\System32 フォルダー内の任意の正常なファイルを explorer.exe プロセスの子プロセスとして実行し、流出した情報を収集する。手法に関するより詳細な内容は、ASEC レポートと ATIP レポートを参考にしてほしい。[1][2]
AhnLab V3 製品ではファイル検知、振る舞いベースの検知等を含め、様々な検知ポイントにより FormBook マルウェアを検知および対応している。不特定多数をターゲットに拡散しているマルウェアのため、ユーザーは出どころが不明なメールの添付ファイルを開かないようにし、Web からファイルをダウンロードする時は信頼できるサイトかどうかを確認しなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
– Downloader/Win.Agent.R528975
[ビヘイビア検知]
– Injection/MDP.Hollowing.M4180
– Malware/MDP.Injection.M3509
[IOC]
– 45ab0352a69644eb2305982585fa53f8
– hxxp://paste.ee/8ioDo/0
– hxxp://www.gastries.info/keb5
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報