AhnLab Security Emergency response Center(ASEC)は、AgentTesla 情報窃取型マルウェアがメールを通して不正な BAT ファイル形式で配布されている状況を発見した。BAT ファイルを実行すると、AgentTesla(EXE)はユーザー PC に作成されないファイルレス(Fileless)手法で実行される。このブログでは、スパムメールから最終バイナリ(AgentTesla)が配布されるまでの動作フローおよび関連手法に関して説明する。
[図1]は AgentTesla マルウェアを配布するスパムメールの本文である。他の電子メールアカウントから送信するというタイトルで受信者を欺き、不正なファイル(.BAT)の実行を誘導した。添付された zip 圧縮ファイルの内部には、[図2]のようにバッチスクリプトファイル(.BAT)が含まれている。BAT ファイルは、実行時に Windows アプリケーションプログラムの cmd.exe によって起動されるスクリプトファイルである。
[図1] フィッシングメールの本文
[図2] 添付された zip ファイル内部の不正なスクリプト(.bat)
[図3]は BAT ファイルのスクリプトであり、難読化されている。この BAT ファイルを実行すると、[図4]の EDR 検知画面のように xcopy コマンドを通して BAT ファイルをコピーし、正常な powershell.exe を png 拡張子に偽装してコピーする。
[図3] 不正な BAT ファイル
[図4] cmd.exe から実行された xcopy コマンド(bat ファイルのコピー、powershell.exe を png 拡張子に偽装してコピー)(EDR)
その後、png 拡張子に偽装された powershell.exe(Lynfe.png)を通して PowerShell コマンドを実行する。[図5]の EDR 検知画面で確認できるように、PowerShell プロセス名が png 拡張子のプロセス(Lynfe.png)で表記され、このプロセスが PowerShell コマンドを実行する。
[図5] cmd.exe から実行された PowerShell スクリプト(EDR)
[図6]はデコードした PowerShell コマンドである。PowerShell コマンドは BAT ファイル内部にエンコードされたデータを復号化(gzip、reverse)し、DLL ペイロードを作成した後、PowerShell プロセスにロードする。ロードされた DLL は[図7]のようにデコードしたシェルコードを実行する。このシェルコードは追加のデコードルーティンを実行した後、最終的に AgentTesla マルウェアをメモリで実行する。
[図6] デコードされた PowerShell コマンド(BAT ファイル内部にエンコードされた .NET DLL をロード)
[図7] .NET DLL の機能(デコードしたシェルコードを実行)
[図8]は最終的に PowerShell プロセス(Lynfe.png)で実行される AgentTesla マルウェアの機能で、特定のブラウザ(Edge)のアカウント情報を奪取する機能に該当する。このように様々なパスでアカウント情報に関するデータを窃取する。[表1]は情報を窃取する収集パスの一部である。
[図8] 最終ペイロード AgentTesla の機能(アカウント情報の奪取)
| アカウント情報関連データ収集パスの一部 |
|---|
| “Sputnik\Sputnik\User Data” “Elements Browser\User Data” “\NETGATE Technologies\BlackHawk\” “BraveSoftware\Brave-Browser\User Data” “\Waterfox\” “uCozMedia\Uran\User Data” “Opera Software\Opera Stable” “Microsoft\Edge\User Data” “\Comodo\IceDragon\” “CatalinaGroup\Citrio\User Data” “7Star\7Star\User Data” “Fenrir Inc\Sleipnir5\setting\modules\ChromiumViewer” “Yandex\YandexBrowser\User Data” “\Thunderbird\” “Chedot\User Data” “Iridium\User Data” “Kometa\User Data” “Chromium\User Data” “QIP Surf\User Data” “\Mozilla\Firefox\” “\Mozilla\SeaMonkey\” “\K-Meleon\” “liebao\User Data” “CocCoc\Browser\User Data” “\Mozilla\icecat\” “Amigo\User Data” “Vivaldi\User Data” “Orbitum\User Data” “MapleStudio\ChromePlus\User Data” “360Chrome\Chrome\User Data” “Google\Chrome\User Data” “Comodo\Dragon\User Data” “Epic Privacy Browser\User Data” “\Flock\Browser\” “\Postbox\” “Coowon\Coowon\User Data” “\Moonchild Productions\Pale Moon\” “\8pecxstudios\Cyberfox\” “Torch\User Data” “CentBrowser\User Data” |
[表1] アカウント情報関連データ収集パスの一部
[図9]は情報窃取の振る舞いに関する EDR 検知画面であり、png ファイルに偽装した PowerShell プロセスがブラウザのアカウント情報にアクセスしたことを確認できる。
[図9] AgentTesla のアカウント情報の奪取に関する検知(EDR)
情報窃取の振る舞いを実行した後、PowerShell プロセス(Lynfe.png)で実行される AgentTesla は、[図10]のように収集したデータを攻撃者が制御する FTP サーバーへ送信する。
[図10] 最終ペイロード AgentTesla の機能(FTP を通して C2 に窃取した情報を送信)
上記の通り、スパムメールで配布される AgentTesla 情報窃取型マルウェアの感染フローを EDR 検知データを活用して説明した。攻撃者は EXE ファイルが作成されない精巧なファイルレス手法を使用しており、拡散する電子メールもまた他の電子メールから送信するというタイトルで巧妙に偽装している。添付ファイルを開く時には、マルウェアが実行できる拡張子が存在していないか常に注意を払わなければならない。また、セキュリティ製品を利用したモニタリングで攻撃者のアクセスを把握し、統制する必要がある。
[振る舞い検知]
CredentialAccess/EDR.Event.M11362
[ファイル検知]
Trojan/BAT.Agent.SC192347
[IOC]
6d9821bc1ca643a6f75057a97975db0e
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知