AhnLab Security Emergency response Center(ASEC)では、Hancom オフィスドキュメントファイルに偽装したマルウェアの配布状況を確認した。配布されているマルウェアの名前は「誰が、何が世界を脅かすのか(コラム).exe」であり、Hancom オフィスドキュメントファイルに見せかけるため、アイコンが Hancom オフィスドキュメントファイルと類似した形態で製作された。このファイルは圧縮されており、解凍すると 36,466,238 byte で比較的に大容量のファイルである事が確認できる。AhnLab EDR(Endpoint Detection and Response)の証跡資料を通じてこのような攻撃手法を検知することができ、侵害事例関連の調査に必要なデータを確認することができる。
[図1] 実行フローダイアグラム
[図1]はマルウェアのアイコンと全体的な実行フロー図である。マルウェアが実行されてからどんなプロセスを使用するのかを一目で確認できる。
[図2] マルウェアの生成ファイル証跡データ
[図3] マルウェアの主要証跡データ
[図2]と[図3]は、マルウェアの全体フローの中で主な振る舞いに関する証跡データである。[図2]では、マルウェアが正常なファイルであるように見せるため、AppData パスに onedrivenew というフォルダーを生成し、onedrivenew.exe というファイル名で自己複製する証跡が確認できた。[図3]では、マルウェアが実行されたパスと同じパスに、同じファイル名の正常なHancom オフィスファイルを生成して実行する証跡を確認することができた。マルウェアは Windows の正常なプロセスである mstsc.exe にインジェクションされて実行され、原本ファイルは cmd コマンドを利用して削除する。
[図4] Windows の正常なプロセス mstsc.exe の証跡データ
[図4]はマルウェアがインジェクションされて実行される mstsc.exe プロセスの証跡データである。マルウェアはシステムが再起動されても実行されるため、Run の下位に onedrivenew という名前でマルウェアファイルを登録する。その後、schtasks.exe コマンドを利用し、OneDriveOp の名前で特定の URL に、60分ごとに Windows の正常なファイルである mshta.exe を利用して接続するようにタスクスケジューラに登録する。タスクスケジューラに登録された URL は正常なホームページだが、Web シェルが挿入されている。挿入されている Web シェルはAhnLab Thread Intelligence Platformに掲載された「特定ホームページのメーカが製作したホームページターゲット型攻撃(Red Eyes、APT37)」と同じ Web シェルであると確認された。
ターゲット型攻撃では一般のユーザーが対応するに困難な要素が存在する。このような脅威にさらされても、AhnLab EDR(Endpoint Detection and Response)の証跡資料で対応することができる。
[ファイル検知]
– Trojan/Win.Agent.R580958 (2023.05.24.02)
[IOC]
MD5
– 93fc0fb9b87a00b38f18c1cc4ee02e50
C2
– hxxp://ingarchi.com/bbs/data/culture
– hxxp://ingarchi.com/bbs/data/culture/getcfg.php
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知