AhnLab Security Emergency response Center (ASEC)は、侵害を受けたシステムにおいて、攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスを確認した。システムのリソースを利用して仮想通貨をマイニングするコインマイナーのインストールプロセスを、AhnLab EDR 製品を通じて検知する内容を紹介する。
図1. 攻撃者のコマンド実行
図1は、侵害を受けたシステムにおいて攻撃者が使用したコマンドを同じように使用した。CMD プロセスにより PowerShell コマンドを通じて PowerShell スクリプトを実行する方法が検知された内容を確認できる。直接的なファイルのダウンロードではなく、スクリプトのみを文字列で受け取り実行される。
図2. PowerShell の不正な振る舞い
実行された PowerShell スクリプトは base64 でエンコードされたデータを復号して TEMP パスに「nodejssetup-js.exe」のファイル名で作成および実行する。
図3. マルウェアの主な振る舞い
実行されたマルウェアは図3、図4の通りである。主な機能としては、配布元から DES で暗号化されたデータファイルを受け取り、復号化して正常なプロセスである MSBuild.exe にインジェクション(Process Hollowing)するものである。
図4. マルウェアの機能
図5. インジェクションされた msbuild メモリ
インジェクション(Process Hollowing)された MSBuild.exe は不正な振る舞いを実行する。図5、図6、図7、図8で不正な振る舞いを確認することができる。図5はインジェクションされた MSBuild.exe でメモリ値を確認した内容である。これらの値は図6、図7、図8の AhnLab EDR 検知画面から確認できる。さらなるマルウェアを受け取り(図6)、正常なプロセスである AddInProcess.exe にインジェクションし実行する(図7)。図8の実行される際のコマンドラインを見ると、コインマイナーの実行方式であることが確認できる。
図6. MSBuild の不正な振る舞い1
図7. MSBuild の不正な振る舞い2
図8. MSBuild の不正な振る舞い3
図9. AddInProcess.exe のマイナー行為
最後に、インジェクション(Process Hollowing)された AddInProcess.exe で CPU の占有率が一定数値以上発生する内容を確認できる。
このように、侵害を受けたシステムにおいて攻撃者がシステムのリソースを利用して仮想通貨をマイニングするコインマイナーをインストールするプロセスは多数のプロセスを利用するが、使用されたマルウェアは「nodejssetup-js.exe」の一つだけである。他のすべてのスクリプトとインジェクション(Process Hollowing)プロセスで使用された不正な PE も、メモリ上でのみ存在する方式である。このような方法の配布を検知するためには、エンドポイントアンチウイルスである V3 の振る舞い検知を有効化しなければならず、感染されても EDR 製品によって詳細な内容確認による措置が必要である。
[振る舞い検知]
Execution/MDP.Powershell.M2514
Connection/EDR.Behavior.M2650
Execution/EDR.Malware.M10459
Execution/MDP.Powershell.M1185
Injection/MDP.Hollowing.M10428
Execution/EDR.Powershell.M11170
[IOC]
1c5d05def6e3baabe8da94a3d275c5e5 Dropper/PowerShell.Generic
6efe15382531ae994f2f220046421b1d CoinMiner/Win.XMRig(2023.04.16.01)
hxxp://79.137.196[.]27/bypass.ps1
hxxps://files.catbox[.]moe/kwfxr7.dll
hxxps://files.catbox[.]moe/k541xr.dll
hxxp://185.174.136[.]91/name.dll
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知