AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループがマルウェアの隠蔽に ADS(Alternate Data Stream)を活用していることを確認した。
このマルウェアは HTML ファイルの内部に含まれている VBScirpt をはじめとした情報を収集する Infostealer タイプであり、多数のダミーコードの中に実際のコードが含まれていることが特徴である。
図1. 初回開始時のスクリプトの一部
ターミナルで以下のようなコマンドを実行し、情報を収集して送信する。
- hostname
- systeminfo
- net user
- query user
- route print
- ipconfig /all
- arp -a
- netstat -ano
- tasklist
- tasklist /svc
- cmd.exe” /c dir “C:\Program Files“
- cmd.exe” /c dir “C:\Program Files (x86)”
- cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs”
- cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”
また、HEX でエンコードされたデータをデコードし、「C:\ProgramData\Uso2」パスに「.Uso2Config.conf」の名前で保存して、1分ごとに無限ループするスケジューラを登録する。
デコードされたファイルは持続性維持のためのスクリプトであり、C2 に接続して追加スクリプトを実行する。「.Uso2Config.conf」ファイルを保存する時に「:honeyT」を追加して保存するが、これは ADS を生成するという意味である。
図2. ADS Stream 生成(ダミーコードが削除されたコードの一部)
図3. 登録されたスケジューラ
この手法で保存されたファイルをディレクトリで確認すると、ファイルサイズが0 byteで表示される。
図4. 特定のパスに生成されたファイル
しかし、ターミナルでは「dir /r」コマンドでサイズおよび正確なファイル名を確認でき、「more」コマンドでファイル内容を確認できる。
図5. ファイルの正確な内容確認
この手法はかつて Magniber ランサムウェアも使用した手法である。
このように攻撃技法が日々変化しているため、ユーザーは特に注意が必要である。
[ファイル検知]
Downloader/VBS.Kimsuky.S1997 (2023.03.14.00)
[IOC]
MD5
EC3C0D9CBF4E27E0240C5B5D888687EC
ACA61A168D95C5F72B8E02650F727000
C2
zetaros.000webhostapp[.]com
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報