AhnLab Security Emergency response Center(ASEC)は、YouTube を通じて拡散する情報窃取型マルウェアの分析レポートを公開した。
レポートでも言及したように、情報窃取型マルウェアは様々なプラットフォームを通じて配布されており、流出した情報はユーザーに直・間接的な被害を及ぼす。情報窃取型マルウェアに感染した場合、被害を最小限に抑えるためにはどんな情報がどこに流出したかを把握することが重要になる。
AhnLab EDR 製品では、情報窃取型マルウェアがどんな情報を窃取し、どこに流出したかに関する記録が残るため、これを追跡し、二次被害が発生しないようにするのに非常に役に立つ。過去に公開した分析内容の通り、このマルウェアは PC に保存されている様々な情報を窃取する。窃取した情報は ApplicationData、LocalApplicationData、CommonApplicationData パスのうち、任意のパスに44フォルダーを生成し、サブディレクトリにコピーしてから圧縮して送信する。現在、送信先のアドレスには接続できない状態である。

[図1] EDR 検知画面

[図2] プロセスツリー要約
[図1]は、前述した YouTube を通じて拡散する情報窃取型マルウェアを AhnLab EDR 製品が検知した画面である。様々なデータが記録されているため、[図2]にて別途要約して整理した。要約したプロセスツリーを基準に、どんな情報を窃取したかを AhnLab EDR 製品を通じて追跡する。

[図3] 圧縮ファイル生成の検知
[図3]は[図2]のプロセスツリーにある検知メッセージをタイムラインで検索した結果である。窃取を目的として圧縮する振る舞いが検知されたことを確認できる。

[図4] ファイル生成の検知
[図4]は情報窃取型マルウェアが生成するファイルの図で、PC 情報、プロセス情報を txt ファイルで保存したことを AhnLab EDR 製品が検知した画面である。process.txt にはプロセスリストの保存内容が、information.txt にはシステム情報の窃取内容が含まれている。

[図5] PC 情報収集の検知

[図6] WMI クエリの検知

[図7] クリップボードデータの収集
[図5]、[図6]、[図7]では information.txt に収集されるシステム情報を窃取する振る舞いが検知されたことを確認できる。

[図8] 画面キャプチャ
[図8]には情報窃取型マルウェアが画面キャプチャをした内容が記録されている。

[図9] 窃取ファイルの確認
[図9]は、AhnLab EDR 製品に記録されたすべての EDR 振る舞い情報内容から、情報窃取型マルウェアが窃取を目的としてコピーするファイル関連記録を検索した画面で、これによって検索が可能になる。
AhnLab EDR 製品を使用すると、前述した内容以外にもさらなる情報の窃取内容が確認でき、どんな情報をどこに窃取したかの追跡に役に立つ。様々なプラットフォームを通じてマルウェアがインストールされる恐れがあるため、違法プログラムをダウンロードする行為は控えなければならない。また、信頼できない送信元からのメールの閲覧は控えなければならない。すべての脅威に先制的な対応をしても、1回のミスで発生する可能性のある脅威には AhnLab EDR 製品を使用して対応することができる。
[ファイル検知]
– Infostealer/Win.CALIBER.R513735 (2022.09.06.00)
[IOC]
MD5
– 6649fec7c656c6ab0ae0a27daf3ebb8e
C2
– hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
– hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知