ASEC(AhnLab Security Emergengy response Center)分析チームは脆弱なバージョンの Innorix Agent ユーザーをターゲットにマルウェアが配布されている状況を確認した。確保されたマルウェアはバックドアであり、C&C サーバーへの接続を試みる。
[図1] 韓国インターネット振興院の脆弱性セキュリティアップデート通知[1]
配布に悪用された Innorix Agent プログラムは、ファイル送信ソリューションクライアントプログラムで、韓国インターネット振興院(KISA)[1]が脆弱性関連の内容を掲載し、セキュリティアップデートが勧告された INNORIX Agent 9.2.18.450 および以前のバージョンに該当する 9.2.18.418 と確認された。
[図2] ASD インフラ検知ログ
検知されたバックドアは C&C サーバーへの接続を試みる。主な機能としては、ユーザー PC の情報を収集して伝達する機能があり、画面キャプチャ機能とファイル生成および実行機能がある。
[図3] ASD インフラ検知レポート
確認されたバックドアは2つのフレームワークを持っており、初期に発見された形態は C/C++ で開発されたものだと確認された。一方、最近検知されたサンプルは .NET で製作されたものと確認された。2つの形態のどちらも機能において差はなく、一部検知レポートでマルウェアをタスクスケジューラに登録するときに、タスク名に AhnLab を使用して隠ぺいしようとする方式であることが確認された。
[図4] エンコードおよびデコードルーティン
バックドアにカテゴライズされるこのマルウェアは、データを受信する際、[図4]のルーティンを利用してデータを使用し、送信する際も同じように使用してデータを送っていた。データをエンコードおよびデコードするルーティンを通して暗号化後に送信し、パケット単位のモニタリングを回避していることから、当社の検知名基準で Andardoor の特徴であると言える。キー値は 74615104773254458995125212023273 で2016年度に作成された CISA レポート[2]に明記された XOR キー値と同じである。
最近、ソフトウェアの脆弱性で配布される形態が確認されているため、企業ユーザーおよび一般ユーザーは特に注意する必要がある。脆弱なバージョンのソフトウェアは、アップデート後に使用するようにしなければならない。
[ファイル検知]
- Backdoor/Win.Andardoor.R558252
- Backdoor/Win.Andardoor.C5381120
- Backdoor/Win.Andardoor.C5382662
- Backdoor/Win.Andardoor.C5382103
- Backdoor/Win.Andardoor.C5382101
[IOC]
- bcac28919fa33704a01d7a9e5e3ddf3f
- 1ffccc23fef2964e9b1747098c19d956
- 9112efb49cae021abebd3e9a564e6ca4
- 0a09b7f2317b3d5f057180be6b6d0755
- 0211a3160cc5871cbcd4e5514449162b
- ac0ada011f1544aa3a1cf27a26f2e288
- c892c60817e6399f939987bd2bf5dee0
- 6dd579cfa0cb4a0eb79414de6fc1d147
- 88a7c84ac7f7ed310b5ee791ec8bd6c5
- e5410abaaac69c88db84ab3d0e9485ac
- 4.246.144.112:443
- 139.177.190.243:443
- 27.102.107.224:5443
- 27.102.107.234:8443
- 27.102.113.88:5443
- 27.102.113.88:21
- 109.248.150.179:443
[参考文献]
[1] セキュリティ脆弱性情報ポータル(krcert.or.kr)
[2] CISA 解析レポート
Categories:マルウェアの情報