スパムメールを通して拡散しているファイルレスマルウェアの追跡

AhnLab Security Emergency response Center(ASEC)は、PE ファイル(EXE)をユーザー PC に生成せず、スパムメールを通して実行するファイルレス手法のフィッシングキャンペーンを発見した。hta 拡張子で添付されたマルウェアは、最終的に AgentTesla、Remcos、LimeRAT のようなマルウェアを実行する。このブログでは、スパムメールから最終バイナリまで配布される動作フローおよび関連手法に関して説明する。

[図1]はこのマルウェアを配布するスパムメールの本文である。銀行の振込通知書に偽装して配布されており、添付された ISO 画像ファイルの内部には[図2]のように振込通知書に偽装したスクリプトファイル(.hta)が含まれている。hta ファイルは、実行すると Windows のアプリケーションプログラムである mshta.exe によって起動されるスクリプトファイルの1種である。

[図3]は不正な hta ファイルが実行された時、当社の EDR に検知されたダイアグラムの証跡である。ダイアグラムで mshta.exe のプロセスから cmd.exe、powershell.exe、RegAsm.exe まで順次実行される疑わしいプロセスツリーを確認することができる。

[図4]は mshta.exe が実行した PowerShell コマンドである。これは文字列データをサーバーにリクエスト(DownloadString)してからデコード(FromBase64string)を実行した後、デコードされたデータをロード(CurrentDomain.Load)し、特定の関数(‘VAI’)を呼び出すコードであると PowerShell スクリプトの構文解釈を通じて確認できた。この手法は、バイナリを PE ファイルで生成せずに、Powershell.exe のメモリで実行させるファイルレス手法に該当する。

[図5]は PowerShell スクリプトが C2 にリクエストするデータで、ブラウザから確認したデータである。PowerShell スクリプトで確認されたように、データは Base64 デコード時に PE ファイル(DLL)が確認された。

[図6]はデコードされた DLL の機能で、最終バイナリを C2 からダウンロードし、Windows の正常プロセスである RegAsm.exe にインジェクションする機能である。そのため、最終マルウェアは RegAsm.exe から実行される。[図7]は DLL の機能を通して Powershell.exe が RegAsm.exe にインジェクションする振る舞いの EDR 画面である。このフィッシングキャンペーンから Remcos、AgentTesla、LimeRAT などの最終バイナリがダウンロードされると CYBLE ブログで言及されている。[1](英語外部サイト)

これまで、ファイルレス方式のマルウェアがメールを通して配布される方式について EDR 証跡データを活用して説明した。攻撃者は巧みに銀行の振込通知書に偽装して配布しており、PE ファイルで生成せずに、Powershell.exe のメモリで実行させるため、シグネチャ検知および対応が困難である。添付ファイルを開く時は、マルウェアを実行できる拡張子が存在していないか、常に注意を払わなければならない。また、セキュリティ製品を利用したモニタリングを通して攻撃者からのアクセスを把握し、統制しなければならない。

[IOC]

• ビヘイビア検知
  Connection/EDR.Behavior.M2650
  Execution/MDP.Powershell.M10668
• ファイル検知
  Downloader/Script.Generic 
  Trojan/Win.Generic.R526355
• URL & C2
  hxxps[:][/][/]cdn[.]pixelbin[.]io[/]v2[/]red-wildflower-1b0af4[/]original[/]hta[.]txt
  hxxp[:][/][/]195[.]178[.]120[.]24[/]investorbase64[.]txt
• MD5
  43e75fb2283765ebacf10135f598e98c (.hta)
  540d3bc5982322843934504ad584f370 (.dll)

振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。