AhnLab Security Emergency response Center(ASEC)はモニタリング中に、Mallox ランサムウェアが配布されていることを確認した。以前も紹介したように、脆弱な MS-SQL サーバーを対象に拡散している Mallox マルウェアは、当社の統計基準で以前から高い占有率を示していることが確認できる。
DirectPlay 関連プログラムに偽装したマルウェアは .NET でビルドされたファイルで[図3]のように特定のアドレスに接続し、追加のマルウェアをダウンロードしてメモリ上で動作させる。このプロセスで特定のアドレスにアクセスができない場合、繰り返し文の無限ループで接続を試みる。本記事で紹介するマルウェアも、現在は追加のマルウェアをダウンロードするアドレスに接続できないが、ASEC 分析チームが2月に確保した Mallox ランサムウェアと接続するアドレスドメインが同じことから見て、このドメインは Mallox ランサムウェアの主要な配布元であると推定される。
- hxxp://80.66.75[.]36/a-Vxnwcwh.dat (2月)
- hxxp://80.66.75[.]36/a-Ubxdzddvl.png (3月)
ダウンロードされた追加マルウェアは Base64 でエンコードされたデータファイルであり、このファイルをデコードして反転させると .NET でビルドした DLL ファイルを確認することができる。
ロードされた DLL は PowerShell を通じて遅延を発生させ、プロセスを再帰実行してインジェクションする。
| “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -ENC cwB0AGEAcgB0AC0AcwBsAGUAZQBwACAALQBzAGUAYwBvAG4AZABzACAANgAwAA== → “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” start-sleep -seconds 60 |
ランサムウェアは PC の言語設定に応じて、特定の言語環境は感染から除外する特徴がある。
| Lang ID | Country |
| 0x419 | Russia |
| 0x43F | Kazakhstan |
| 0x423 | Belarus |
| 0x422 | Ukraine |
| 0x444 | Russia |
LangID 検査が終わると、レジストリの削除、復旧の無効化、SQL 関連サービスおよびプロセス終了コマンドを実行する。
| “C:\Windows\System32\cmd.exe” /C sc delete “MSSQLFDLauncher”&&sc delete “MSSQLSERVER”&&sc delete “SQLSERVERAGENT”&&sc delete “SQLBrowser”&&sc delete “SQLTELEMETRY”&&sc delete “MsDtsServer130″&&sc delete “SSISTELEMETRY130″&&sc delete “SQLWriter”&&sc delete “MSSQL$VEEAMSQL2012″&&sc delete “SQLAgent$VEEAMSQL2012″&&sc delete “MSSQL”&&sc delete “SQLAgent”&&sc delete “MSSQLServerADHelper100″&&sc delete “MSSQLServerOLAPService”&&sc delete “MsDtsServer100″&&sc delete “ReportServer”&&sc delete “SQLTELEMETRY$HL”&&sc delete “TMBMServer”&&sc delete “MSSQL$PROGID”&&sc delete “MSSQL$WOLTERSKLUWER”&&sc delete “SQLAgent$PROGID”&&sc delete “SQLAgent$WOLTERSKLUWER”&&sc delete “MSSQLFDLauncher$OPTIMA”&&sc delete “MSSQL$OPTIMA”&&sc delete “SQLAgent$OPTIMA”&&sc delete “ReportServer$OPTIMA”&&sc delete “msftesql$SQLEXPRESS”&&sc delete “postgresql-x64-9.4″&&rem Kill “SQL”&&taskkill -f -im sqlbrowser.exe&&taskkill -f -im sqlwriter.exe&&taskkill -f -im sqlservr.exe&&taskkill -f -im msmdsrv.exe&&taskkill -f -im MsDtsSrvr.exe&&taskkill -f -im sqlceip.exe&&taskkill -f -im fdlauncher.exe&&taskkill -f -im Ssms.exe&&taskkill -f -im SQLAGENT.EXE&&taskkill -f -im fdhost.exe&&taskkill -f -im fdlauncher.exe&&taskkill -f -im sqlservr.exe&&taskkill -f -im ReportingServicesService.exe&&taskkill -f -im msftesql.exe&&taskkill -f -im pg_ctl.exe&&taskkill -f -im postgres.exe |
これ以外にも精巧な感染の振る舞いによってシステム終了警告メッセージ、追加レジストリの設定および感染 PC 情報の流出などが行われ、以下の該当する暗号化対象ファイルについて、感染の振る舞いを実行する。
| desktop.ini ntuser.dat thumbs.db iconcache.db ntuser.ini ntldr bootfont.bin ntuser.dat.log boot.ini autorun.inf debugLog.txt TargetInfo.txt |
| .msstyles .icl .idx .avast .rtp .mallox .sys .nomedia .dll .hta .cur .lock .cpl .Globeimposter-Alpha865qqz .ics .hlp .com .spl .msi .key .mpa .rom .drv .bat .386 .adv .diangcab .mod .scr .theme .ocx .prf .cab .diagcfg .msu .cmd .ico .msc .ani .icns .diagpkg .deskthemepack .wpx .msp .bin .themepack .shs .nls .exe .lnk .ps1 .mallox |
| msocache; $windows.~ws; system volume information; intel; appdata; perflogs; programdata; google; application data; tor browser; boot; $windows.~bt; mozilla; boot; windows.old; Windows Microsoft.NET; WindowsPowerShell; Windows NT; Windows; Common Files; Microsoft Security Client; Internet Explorer; Reference; Assemblies; Windows Defender; Microsoft ASP.NET; Core Runtime; Package; Store; Microsoft Help Viewer; Microsoft MPI; Windows Kits; Microsoft.NET; Windows Mail; Microsoft Security Client; Package Store; Microsoft Analysis Services; Windows Portable Devices; Windows Photo Viewer; Windows Sidebar |
[図12]はランサムノートをキャプチャしたものであり、ファイルは[従来のファイル名].mallox で暗号化される。
ランサムウェア被害の予防のため、出どころが不明なファイルを実行する際は注意しなければならず、疑わしいファイルはセキュリティソフトによる検査を行い、アンチウイルスを最新版にアップデートしておく必要がある。
V3 では以下のように検知している。
[ファイル検知]
- Ransomware/Win.Mallox.C5391834 (2023.03.07.02)
- Ransomware/Win.Mallox.R558884 (2023.02.18.03)
- Data/BIN.Encoded (2023.03.09.00)
[ビヘイビア検知]
- Malware/MDP.Inject.M218
[IOC]
- MD5
– 0646ae6d3584f81c257485ade2624e71 (初期ローダー)
– efe4fffe822e92cf222c31178b95e112 (Base64 でエンコードされた DLL)
– b48fe2132ce656be3754560ea9ce8e4e (Base64 でデコードされた DLL)
– 0c7c3ea4c20de5d632be7beddd01c1ba (Mallox ランサムウェア) - C&C
– hxxp://80.66.75[.]36/a-Ubxdzddvl.png
– hxxp://80.66.75[.]36/a-Vxnwcwh.dat
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報