今年の中頃に ASEC 分析チームでは電子メールを通して XLL ファイル(拡張子: .xll)形式のマルウェアが拡散していることを紹介したことがある。XLL ファイルは、実行ファイルである PE(Portable Executable) ファイルの DLL の見た目の Microsoft Excel を通して実行される。これまでは、このタイプのマルウェアの拡散が活発ではなかったが、久しぶりに「履歴書.xll」のファイル名で配布されている状況を確認した。
- 2022年5月27日のブログ : メールを通じて拡散する XLL マルウェア
- 2022年11月28日のブログ : LockBit ランサムウェア、類似したファイル名で大量拡散中
以前のブログでも紹介したように、XLL ファイルは Excel の Add-in(追加機能)ファイルで、MS Excel を通してファイルを実行することができる。「履歴書.xll」ファイルを実行すると、以下のように Excel を通して実行されることが確認でき、追加機能の使用有無を選択できるセキュリティに関する通知ウィンドウが開く。「はい」ボタンをクリックすると、ファイルの意図した悪意のある機能が動作する。
図1- 履歴書.xll の実行画面
Excel を通して実行されるが、DLL 構造の形態であり、Export 関数に xlAutoOpen を含んでいる。xlAutoOpen 関数はすべての XLL ファイルで具現されなくてはいけない必須のコールバック関数で、基本的にはこの関数が含まれている。「履歴書.xll」は既知の「Excel-DNA」というオープンソースでコンパイルされた形態で、Resource 領域に圧縮された形態で、実際に不正な機能を担う .net 形態の不正な DLL が含まれている。
図2 – 履歴書.xll ファイルの構造
図3 – 履歴書.xll の Resource 領域
「履歴書.xll」で抽出した不正な .net ファイル名は「ZFD06.dll」で、図3の Resource 領域に明示された名前と同じである。また、このファイル名は「Excel-DNA」を Unpack すると確認できる「__MAIN__.dna」XML ファイルでも確認された。
図4 – 履歴書.xll Unpack
図5 – 「__MAIN__.dna」XML ファイルの内容
抽出された ZFD06.dll ファイルが「履歴書.xll」を稼働すると、実際に製作者が意図した悪意のある動作機能が含まれた不正なファイルである。この不正な .net DLL は「Excel-DNA」フレームワークを利用して XLL 形態で製作、配布されたものと見られる。
図6 – 抽出された ZFD06.dll .net ファイルコード
この DLL の機能は powershell を通して追加のマルウェアをダウンロードする。現在はダウンロードされないが、LockBit 2.0 ランサムウェアがダウンロードされた履歴が確認された。
図7 – 追加ファイルダウンロード(Powershell 利用)
- (LockBit 2.0 ダウンロードアドレス) hxxps://transfer[.]sh/get/671Cix/123.exe
- (LockBit 2.0 保存パス) C:\Users\Public\yggi.exe
ダウンロードされたものと確認されるハッシュの LockBit 2.0 ランサムウェアは単独で配布されている状況が確認されたが、このときに使用したファイル名は「$履歴書_221122(経歴も記載いたしますよろしくお願いします).exe」である。本ブログの上段で紹介したブログのリンクのように「履歴書」に関連したファイル名で LockBit 2.0 および 3.0 が配布されていることを紹介したことがあるが、上位のダウンローダーの役割をする XLL ファイルと、単独で配布される実行ファイルはすべて「履歴書」に偽装して様々な方法で活発に配布されていると見られる。
最近のマルウェアは検知を回避する目的などで様々な形態のマルウェアを製作、配布している。ユーザーは送信者の不明なメールやメッセンジャーを通して受信した添付ファイルの閲覧を控えなければならず、必ず V3 をリアルタイムでアップデートしなければならない。上記のようなマルウェアを V3 では以下のように検知している。
[ファイル検知]
- Downloader/Win.Agent.C5313333 (2022.11.25.00)
- Ransomware/Win.LockBit.C5312148 (2022.11.23.02)
[IOC 情報]
- 9011870a33ddb12f8934f9061de6f42c
- fe5101b50e92a923d74cc6f0f4225539
- hxxps://transfer[.]sh/get/671Cix/123.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報