AhnLab Security Emergency response Center (ASEC)は8月28日、大韓民国を対象に不特定多数に向けて、著作権侵害の内容に偽装したダウンローダーマルウェアが配布された状況を確認した。配布されたマルウェアは、サンドボックスベースのセキュリティソリューションによる検知を回避するための仮想環境を検知するコードが含まれており、MainBot と呼ばれるマルウェアをダウンロードする .NET マルウェアであった。当社 ASD(AhnLab Smart Defense)インフラおよび VirusTotal に収集されたファイル情報を確認したところ、大韓民国と台湾に配布されたものと推定される。
| ファイル名 |
| 著作権侵害関連の映像イメージ.exe |
| 詳しい映像.exe |
| 違法コピーに関する資料-OO エンターテインメント.exe |
| 涉及侵犯版權的視頻圖像.exe (翻訳:著作権侵害に関する動画イメージ) |
| 製品エラー動画、写真.exe |
| ReaderPDFWindowFile.exe |
発見されたマルウェアは著作権に関する内容のファイル名を含ませ、ファイルのアイコンを PDF に偽装することで、ユーザーがマルウェアを PDF ドキュメントであると錯覚させるようにしていた。
[C&C 通信方式]
マルウェアは攻撃者の Google Docs の共有ページから Telegram トークン、チャット ID、MainBot ダウンロードアドレスなど、基本的な Config 情報を受け取る。
- BASE64 デコード URL : hxxps://docs.google.com/document/export?format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true
* id は Config 情報が保存された攻撃者のGoogle Docs 共有 ID である
[図2]のように攻撃者の共有ドキュメントページをパーシングして攻撃者の Telegram サーバー情報を取得したあと、伝達されたメッセージをもとに感染 PC に対して、MainBot インストール、実行、ファイル名の変更、終了のコマンドを伝達することができる。解析当時、MainBot は確保できなかった。
[Anti-VM]
マルウェアにはサンドボックスベースのマルウェア検知ソリューション機器の検知回避のために、仮想環境をチェックする6つの条件が存在していた。
- 動作環境に Anti-Virus が0個かどうかを確認
- “SELECT * FROM WmiMonitorBasicDisplayParams” WMI クエリを実行して、そのコンピューターのすべてのモニターの基本ディスプレイにおけるパラメータ情報が0個かどうか確認(モニターの物理的接続の有無を確認する用途)
- Win32_Keyboard WMI クラスを使用して USB キーボード情報が存在するかどうか確認(キーボードの物理的な USB 接続の有無を確認する用途)
- RAM が 4GB 未満かどうかを確認
- ディスク容量が 128GB 未満かどうかを確認
- HKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternet のサブキーが存在しない、または「IEXPLORE.EXE」と「Microsoft Edge」のどちらか1つのみ存在するかどうかを確認
6つの条件のうち3つ以上に合致した場合は仮想環境であると認知し、マルウェアは攻撃者の Telegram サーバーに以下の文字列を渡していた。その後、ホストから Sleep 関数を5秒ごとにコールして攻撃者サーバーから [HWID]-SKIP VM コマンド を受け取るまで無期限の待機を実行していた。
 DETECT VM,SANBOX: 検知された条件の個数To continue please write the content: [HWID]-SKIP VM We are still active until victime shuts down! |
その後、[HWID]-SKIP VM 文字列を Telegram サーバーを通して受け取った場合、当該 PC に MainBot をダウンロードしてインストールする。
[MDS 製品の検知]
AhnLab MDS は、このようなタイプのマルウェアをサンドボックス環境では「Execution/MDP.Event.M11291」という検知名で検知している。
最近、攻撃者たちがセキュリティ製品の検知回避のために Anti-VM 手法をマルウェアに組み込むだけでなく、今回のタイプのように Telegram、Google Docs などの正常なサーバーを利用してコマンド制御を実行する事例が増えてきている。正常なサーバーと通信を行いコマンドを実行する振る舞いを行うため、ネットワークソリューションでも検知が難しい。したがって、セキュリティ担当者はネットワークソリューションとAPT ソリューション以外にも、エンドポイントで発生する異常な振る舞いに対しEDR 製品でモニタリングを行い、企業のセキュリティ事故を予防しなければならない。
[IoC]
[MD5]
– 411f04a6b60d02072a67a7bbddf9b752
– 187ce0c69ae10fcc93e546e02a4c9bb9
[ファイル検知]
– Trojan/Win.Agent.C5478091 (2023.08.29.02)
– Malware/Win.Generic.C5479395 (2023.09.01.00)
[振る舞い検知]
– Execution/MDP.Event.M11291
サンドボックスベースの動的解析によって未知の脅威を検知して対応する AhnLab MDS に関する詳しい情報は、ahnlab.com で確認できる。
Categories:AhnLab 検知