ASEC 分析チームは最近、内部モニタリングを通じて Internet Explorer Add-on インストーラーである ieinstal.exe に偽装した Elbie ランサムウェアが拡散していることを確認した。
初期実行ファイルは、エンコードされた内部のデータを実質的なランサムウェアの振る舞いを実行する[図2]の実行ファイルにデコードする。
その後、再帰処理したプロセスにデコードした実行ファイルをインジェクションし、ユーザーの PC が仮想マシン(VM)環境かどうかを確認する。
インジェクションして実行されたランサムウェアは %AppData% のパスにコピーをドロップし、スタートアッププログラムに登録する。また、システムの復旧を阻止する振る舞いを実行するため、UAC ウィンドウを表示して管理者権限による試行を誘導する。
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run:ieinstal=C:\Users\kk\AppData\Local\ieinstal.exe
管理者権限を得たプロセスは2つの cmd.exe を実行させ、1つ目のプロセスはシステムの復旧を阻止するためボリュームシャドウを削除し、Windows 環境の復旧の無効化コマンドを実行する。
- vssadmin delete shadows /all /quiet
- wmic shadowcopy delete
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
- bcdedit /set {default} recoveryenabled no
- wbadmin delete catalog -quiet
2つ目の cmd.exe プロセスは以下のようにファイアウォール設定を変更する。
- netsh advfirewall set currentprofile state off
- netsh firewall set opmode mode=disable
その後、以下のファイル名で感染したファイルのファイル名を変更し、感染元のパスにはランサムノートである info.txt と info.hta が生成される。
正常なプログラムを装って配布されるだけに、企業だけではなく個人の PC 利用者もターゲットとされる確率が高いと思われる。各企業はもちろんのこと、個人ユーザーも出どころが不明なプログラムを実行しないようにし、アンチウイルスを最新バージョンにアップデートしておくことが必要である。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
- Ransomware/Win.EncryptExe.C5285322 (2022.10.24.01)
- Ransomware/Win.Generic.R363595 (2022.10.24.01)
[ビヘイビア検知]
- Ransom/MDP.Command.M2255
- Ransom/MDP.Decoy.M1171
[IOC 情報]
- 4f1025c0661cc0fa578a52466fa65b71
- 62885d0f106569fac3985f72f0ca10cb
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報