攻撃者がマルウェアを拡散する方式のうち、代表的なものにクラックのような違法ソフトウェアに偽装したサイトを利用する方法がある。攻撃者がマルウェアを有料ソフトウェアのクラックやシリアル生成ツールのようなプログラムに偽装してアップロードすると、ユーザーはこのような違法ソフトウェアをインストールし、このプロセスでマルウェアに感染させる方式である。
ASEC 分析チームでは、ソフトウェアクラックやシリアル生成ツールのような違法ソフトウェアを通して拡散しているマルウェアについてモニタリングしている。このような方式で拡散するマルウェアには、Vidar、CryptBot、RedLine のようなインフォスティラータイプが多い。ASEC 分析チームは最近、PYbot DDoS マルウェアがソフトウェアとともに配布されていることを確認した。
攻撃者がおとりとして使用したプログラムは Nitro Generator というトークン生成ツールである。Nitro は Discord で以下のような様々な機能を提供する有料サービスで、Nitro Generator はこのサービスを無料で利用できるように Nitro サービスのコードを生成するツールである。

1. 概要
PYbot は Python で開発されたオープンソース DDoS Bot マルウェアである。一般的な DDoS Bot マルウェアと比較して PYbot の特徴としては、DDoS 攻撃機能だけを持っているマルウェアであることがあげられる。もちろん Mirai や Gafgyt、Tsunami のようなマルウェアに見られるように、DDoS 攻撃が主要な機能であるマルウェアも存在するが、最低限のマルウェアのアップデートや攻撃者のコマンドを実行する基本的な機能を含んでいる。
また、このタイプは Windows システムではなく、脆弱性がパッチされていなかったり、不適切に管理されている脆弱な IoT デバイスを対象にしている。Windows システムを対象にするマルウェアの中で DDos 攻撃機能を持っているタイプは、主に RAT タイプが多い。もちろん RAT マルウェアは感染システムを遠隔で制御する主要な機能である。
現在確認された PYbot は Windows システムを対象に配布されているが、開発言語である Python の特性上、Linux 環境で動作できるため、Linux システムを対象にする攻撃に使用されることもある。

2. Discord Nitro 生成ツールに偽装したマルウェア
最初に配布されるマルウェアは DRPU Setup Creator を利用して製作されたインストーラータイプのマルウェアで、攻撃者が「nitrogen.exe」または「ntrg.exe」という名前で配布されたものと推定される。

このインストーラーは Program Files パスに以下のようなファイルを生成する。「NitroGenerator.exe」はダウンローダーマルウェアとして、外部から追加マルウェアをインストールする機能を担っている。

ダウンローダーマルウェアは .NET で開発されており、以下のような単純な形態である。%TEMP% パスに「p.exe」、「n.exe」をダウンロードして実行し、スタートアップフォルダーにはショートカットファイルを生成し、「p.exe」、すなわち PYbot が再起動以降も動作するようにする。

「n.exe」は FireDragon’s Nitro Generator というプログラムのインストーラーである。インストールが終了すると、以下のパスに Discord の有料サービスである Nitro のコードを生成する違法プログラムが生成される。

3. PYbot DDoS Bot
PYbot は Python マルウェアであるが、攻撃者は PyInstaller を通して Windows 実行ファイルでビルドされて配布される。PyInstaller は Python がインストールされていない環境でも Python スクリプトが動作するように実行に必要なモジュールとともに exe すなわち、Windows 実行ファイルフォーマットで変換するツールである。PyInstaller は基本的にスクリプトを実行ファイルに変換する Bat2exe と似たツールであると言えるが、Windows デフォルト環境で動作する Batch ファイルと異なり、Python スクリプトは Python がインストールされていなけらばいけないため、Python スクリプトを実行させる多数のモジュールが含まれているのが特徴である。
PyInstaller で製作されたバイナリを解析するために、実行ファイル内部に保存されている各モジュールを抽出すると、以下のようなコンパイルされた Python スクリプトの「bot (1)」と、多数の Python モジュールを確認できる。

以下はコンパイルされた Python スクリプト「bot(1)」をデコンパイルした結果である。オープンソースである Pybot のソースコードとほぼ類似しているが、差異も存在する。Pybot には curl を利用したダウンロードルーティンが存在しないが、攻撃に使用された PYbot には外部から追加のペイロードをダウンロードするルーティンが含まれている。ダウンロードアドレスのドメインが C&C サーバーと同じであるため、マルウェアと推定できるが、現在ダウンロードが不可能であるため、どのようなマルウェアをインストールするのかは確認できない。

DDoS Bot マルウェアである PYbot は様々な DDoS 攻撃機能をサポートしているが、TCP Flood、TCP SYN Flood、UPD Flood のような基本的な Layer 4 攻撃以外にも VSE Flood と HTTP GET Requese Flood 攻撃をサポートしている。VSE は Valve Source Engine の略語で VSE Flood は特定ゲームサーバーに多数のクエリを伝達する方式の DDoS 攻撃である。

4. 結論
最近 Discord の有料サービスである Nitro と関連した違法プログラムとともに PYbot マルウェアが拡散している。Pybot に感染した場合、ユーザーのシステムは攻撃者のコマンドを受け取って特定の対象についての DDoS 攻撃を実行する DDoS Bot で実行されることがある。
有料ソフトウェアのクラックやシリアル番号生成ツールのような違法プログラムを利用してマルウェアを配布する方式は、攻撃者が利用する代表的な方式の一つである。ユーザーは自分の知らないパスからダウンロードした実行ファイルについて、特に注意する必要があり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Trojan/LNK.Runner (2023.02.08.02)
– Dropper/Win.Agent.C5377911 (2023.02.08.02)
– Dropper/Win.Agent.C5377914 (2023.02.08.02)
– Downloader/Win.Agent.R557327 (2023.02.08.02)
– Trojan/Win.PYbot.C5377916 (2023.02.08.02)
– Trojan/Win.PYbot.C5377984 (2023.02.08.02)
IOC
MD5
– 7e7694cfecf3e0809bcf28009cab4adb : Dropper (nitrogen.exe)
– 1cf392ce0c7fd5b56da8888c43a03be3 : Dropper (ntrg.exe)
– 8fa445bbc93c43d5769038e56aeca84f : Downloader (NitroGenerator.exe)
– 827c83f08d1c139e4b6698bdcf386da8 : PYbot (p.exe)
– 493b3bd39f89ed0d2f5ec3f175490b43 : PYbot (p.exe)
– 4db2035a98b270d485b95ea7cf417898 : ショートカット (Windows_Defender.lnk)
ダウンロードアドレス
– hxxp://75.119.139[.]66/p.exe : PYbot
– hxxps://cdn.discordapp[.]com/attachments/1063947830827421708/1069081977828937728/Windows_Defender.lnk : ショートカット
– hxxp://cnc.dotxyz[.]cf/Windows%20Defender.exe : 追加のマルウェア
C&C アドレス
– cnc.dotxyz[.]cf:666 : PYbot
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報