AhnLab Security Emergency response Center(ASEC)では、サンドボックスを回避するための様々なアンチサンドボックス(anti-sandbox)技法についてモニタリングしている。このブログでは、不正な IcedID Word ドキュメントのボタンフォームを悪用した少々執拗なアンチサンドボックス(anti-sandbox)技法について説明し、不正な振る舞いの発現による当社 MDS 回避機能を紹介する。今回説明する不正な IcedID Word ドキュメント(convert.dot)は、ボタンフォームを悪用したアンチサンドボックス(anti-sandbox)技法が存在し、不正な振る舞いを発現させるためには2段階におよぶユーザーの行動を要求する。[図1]は IceID として知られている Word ドキュメント(convert.dot)を実行した直後の様子である。 [図2]のマクロコードを通してエラーメッセージを偽装したポップアップウィンドウ(1段階)を発生させる。このポップアップウィンドウで[確認]、[終了]ボタンを入力すると、マクロコードの次の段階に移動する。
[図1] convert.dot 実行時に発生するポップアップウィンドウ
[図2] 最初のポップアップウィンドウを発生させるマクロコード
[図3]は[図1]のポップアップウィンドウのボタンをクリックして、次の段階に続く画面である。[図3]のように、同じユーザー入力を要求するフォーム入力ウィンドウ(2段階)が発生する。フォームを終了するための入力値送信(btnSend_Click)、キャンセル(btnClose_Click)、終了(UserForm_QueryClose)の合計3つを入力することができるが、[図4]のマクロコードを見ると、上記の3つのどれを入力しても不正な振る舞い(feedbackAction)が発現するコードにつながっている。
[図3] 最初のポップアップウィンドウ終了時に発生するフォーム入力ウィンドウ
[図4] フォーム入力ウィンドウを発生させるマクロコード
[図5]は上で説明した2段階の anti-sandbox トリックを経て、ようやく発生する不正な振る舞いを実行するコードである。このコードは C2 から追加コマンドを受け取って実行するバックドア機能が実行される。
[図5] フォーム入力ウィンドウで入力すると発生する C2 接続の振る舞い
MDS 製品は、不正な振る舞いを発現させる Anti-SandBox 回避機能がある。APT 検知ソリューションである MDS 製品は、このようなファイルが流入すると、MDS Agent によってまずサンドボックス環境で実行し、このファイルが不正であるかを確認する。[図6]は MDS 製品がこのようなポップアップウィンドウ入力に関連した Anti-SandBox 回避機能によって、最終的な不正な振る舞い(ファイルダウンロードなどのリモートコマンド)を発現させ、このファイルが不正であることを知らせる。
[図6] Anti-SandBox 回避機能による検知画面(AhnLab MDS)
AhnLab は現在、この Anti-SandBox 技法に使用された不正な IcedID Word ドキュメントについて以下のように検知している。
[ファイル 検知]
- Trojan/DOC.Agent (2021.08.19.00)
[IOC 情報]
MD5 – bef1a9a49e201095da0bb26642f65a78 : convert.dot
C&C アドレス – hxxps[:]//fusuri-solt-down[.]com/ecm/ibm/1629235716/feedback
サンドボックスベースの動的解析により、未知の脅威を検知および対応する AhnLab MDS についての詳細情報は AhnLab の公式 HP を通して確認できる。
Categories:AhnLab 検知