脆弱な Innorix を悪用したマルウェアの配布 : Andariel

ASEC(AhnLab Security Emergengy response Center)分析チームは脆弱なバージョンの Innorix Agent ユーザーをターゲットにマルウェアが配布されている状況を確認した。確保されたマルウェアはバックドアであり、C&C サーバーへの接続を試みる。

[図1] 韓国インターネット振興院の脆弱性セキュリティアップデート通知[1]

配布に悪用された Innorix Agent プログラムは、ファイル送信ソリューションクライアントプログラムで、韓国インターネット振興院(KISA)[1]が脆弱性関連の内容を掲載し、セキュリティアップデートが勧告された INNORIX Agent 9.2.18.450 および以前のバージョンに該当する 9.2.18.418 と確認された。

[図2] ASD インフラ検知ログ

検知されたバックドアは C&C サーバーへの接続を試みる。主な機能としては、ユーザー PC の情報を収集して伝達する機能があり、画面キャプチャ機能とファイル生成および実行機能がある。

[図3] ASD インフラ検知レポート

確認されたバックドアは2つのフレームワークを持っており、初期に発見された形態は C/C++ で開発されたものだと確認された。一方、最近検知されたサンプルは .NET で製作されたものと確認された。2つの形態のどちらも機能において差はなく、一部検知レポートでマルウェアをタスクスケジューラに登録するときに、タスク名に AhnLab を使用して隠ぺいしようとする方式であることが確認された。

[図4] エンコードおよびデコードルーティン

バックドアにカテゴライズされるこのマルウェアは、データを受信する際、[図4]のルーティンを利用してデータを使用し、送信する際も同じように使用してデータを送っていた。データをエンコードおよびデコードするルーティンを通して暗号化後に送信し、パケット単位のモニタリングを回避していることから、当社の検知名基準で Andardoor の特徴であると言える。キー値は 74615104773254458995125212023273 で2016年度に作成された CISA レポート[2]に明記された XOR キー値と同じである。

最近、ソフトウェアの脆弱性で配布される形態が確認されているため、企業ユーザーおよび一般ユーザーは特に注意する必要がある。脆弱なバージョンのソフトウェアは、アップデート後に使用するようにしなければならない。

[ファイル検知]

  • Backdoor/Win.Andardoor.R558252
  • Backdoor/Win.Andardoor.C5381120
  • Backdoor/Win.Andardoor.C5382662
  • Backdoor/Win.Andardoor.C5382103
  • Backdoor/Win.Andardoor.C5382101

[IOC]

  • bcac28919fa33704a01d7a9e5e3ddf3f
  • 1ffccc23fef2964e9b1747098c19d956
  • 9112efb49cae021abebd3e9a564e6ca4
  • 0a09b7f2317b3d5f057180be6b6d0755
  • 0211a3160cc5871cbcd4e5514449162b
  • ac0ada011f1544aa3a1cf27a26f2e288
  • c892c60817e6399f939987bd2bf5dee0
  • 6dd579cfa0cb4a0eb79414de6fc1d147
  • 88a7c84ac7f7ed310b5ee791ec8bd6c5
  • e5410abaaac69c88db84ab3d0e9485ac
  • 4.246.144.112:443
  • 139.177.190.243:443
  • 27.102.107.224:5443
  • 27.102.107.234:8443
  • 27.102.113.88:5443
  • 27.102.113.88:21
  • 109.248.150.179:443

[参考文献]

[1] セキュリティ脆弱性情報ポータル(krcert.or.kr)

[2] CISA 解析レポート

5 1 vote
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] Innorix Agent ユーザーを対象にマルウェアを配布した状況を公開した。[5]配布に悪用された Innorix Agent […]