本記事は最近 Microsoft OneNote を活用して活発に配布されているマルウェアについての分析レポートである。
ASEC 分析チームは、昨年11月から急速に増加している OneNote マルウェアの配布動向について確認し、ファイルを実際に実行したときの画面をベースに製作度の精巧さによって分類した。すなわち「1) 簡単なブロック画像で不正なオブジェクトを隠すタイプ」と「2) より精巧に製作された不正な OneNote タイプ」に分類したが、例示サンプルについての画像は以下の通りである。
1) 簡単なブロック画像で不正なオブジェクトを隠すタイプ
2) より精巧に製作された不正な OneNote タイプ
また、実際に不正な振る舞いを実行する内部オブジェクトをファイルフォーマット別に分類して分析した。内部オブジェクトは大きくスクリプトファイル/ドキュメントファイル/実行ファイルなどに分類され、スクリプトファイルは拡張子別に分類して分析した。この過程で、攻撃者がユーザーを欺くために意図した方式と AntoVirus 製品、または IDS/IPS ソリューションの検知回避を目的とした内容についても記述してある。
内部オブジェクトを隠す様々なタイプと、従来の PE ファイルから、よく確認される RTLO 技法を Non-PE タイプのファイル名で使用していた点、PoshC2 フレームワークのようなペネトレーションテストスクリプトを使用する様々な段階を経て不正な振る舞いが発生するようにしていた点などを通して、今後より多様なタイプで精巧なマルウェアが製作されると見られる。
詳細な分析レポートは以下のダウンロードリンクを通して確認できる。
____
ATIP_OneNote を通して配布されるマルウェア分析レポート ダウンロード
____
目次
1. 概要
2. OneNote マルウェアの配布プロセス
…. 2.1) 不正な OneNote 配布動向
…. 2.2) 不正な OneNote および内部添付オブジェクトのファイル名
…. 2.3) OneNote 添付オブジェクトのファイル名分析(RTLO 技法)
…. 2.4) 不正な OneNote サンプルによる実行画面
…….. 2.4.1) 簡単なブロック画像で不正なオブジェクトを隠すタイプ
…….. 2.4.2) より精巧に製作された不正な OneNote タイプ
3. 不正な OneNote の内部オブジェクトのタイプ分類と分析
…. 3.1) スクリプトファイル
…….. 3.1.1) HTA
…….. 3.1.2) VBS
…….. 3.1.3) BAT
…….. 3.1.4) WSF
…. 3.2) ドキュメントファイル
…. 3.3) 実行ファイル(PE)
4. AhnLab の対応状況
5. 結論
6. IOC (Indicators Of Compromise)
…. 6.1) ファイル Hashes (MD5)
…. 6.2) 関連ドメイン、URL および IP アドレス
関連 IOC および詳細な分析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Microsoft OneNote を通して配布されるマルウェア分析レポート […]