Kimsuky グループ、ADS を活用してマルウェアを隠蔽

AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループがマルウェアの隠蔽に ADS(Alternate Data Stream)を活用していることを確認した。

このマルウェアは HTML ファイルの内部に含まれている VBScirpt をはじめとした情報を収集する Infostealer タイプであり、多数のダミーコードの中に実際のコードが含まれていることが特徴である。

図1. 初回開始時のスクリプトの一部

ターミナルで以下のようなコマンドを実行し、情報を収集して送信する。

  1. hostname
  2. systeminfo
  3. net user
  4. query user
  5. route print
  6. ipconfig /all
  7. arp -a
  8. netstat -ano
  9. tasklist
  10. tasklist /svc
  11. cmd.exe” /c dir C:\Program Files
  12. cmd.exe” /c dir “C:\Program Files (x86)”
  13. cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs”
  14. cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”

また、HEX でエンコードされたデータをデコードし、C:\ProgramData\Uso2パスに.Uso2Config.confの名前で保存して、1分ごとに無限ループするスケジューラを登録する。

デコードされたファイルは持続性維持のためのスクリプトであり、C2 に接続して追加スクリプトを実行する。.Uso2Config.confファイルを保存する時に:honeyTを追加して保存するが、これは ADS を生成するという意味である。

図2. ADS Stream 生成(ダミーコードが削除されたコードの一部)

図3. 登録されたスケジューラ

この手法で保存されたファイルをディレクトリで確認すると、ファイルサイズが0 byteで表示される。

図4. 特定のパスに生成されたファイル

しかし、ターミナルではdir /rコマンドでサイズおよび正確なファイル名を確認でき、moreコマンドでファイル内容を確認できる。

図5. ファイルの正確な内容確認

この手法はかつて Magniber ランサムウェアも使用した手法である。

このように攻撃技法が日々変化しているため、ユーザーは特に注意が必要である。

[ファイル検知]
Downloader/VBS.Kimsuky.S1997 (2023.03.14.00)

[IOC]

MD5
EC3C0D9CBF4E27E0240C5B5D888687EC
ACA61A168D95C5F72B8E02650F727000

C2
zetaros.000webhostapp[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments