ASEC(AhnLab SEcurity intelligence Center)は最近、正常な Tool をパッキングして制作した Revenge RAT マルウェアが配布されていることを捕捉した。攻撃者は smtp-validator、Email To Sms 等の名前を持つ Tool を活用したことが確認され、実行時点で正常な Tool と不正なファイルを同時に生成して実行することにより、ユーザーが不正な振る舞いが発生していることを認知しにくいように制作している。
攻撃者は、以下のコードのように smtp-verifier.exe(正常な Tool)を実行させる前に Setup.exe(不正)を優先して生成した後、実行する。このとき、生成されるファイルの属性を「Hidden」に変更するため、一般的な環境では Windows エクスプローラー上で当該ファイルが表示されないという特徴がある。
以降、行われる不正な振る舞いの全体的なフローは以下の通りである。生成されるファイルが比較的多く、攻撃者の最終目標は Revenge RAT マルウェアを実行することである。
正常なツールと同時に生成される不正なファイル「setup.exe」は、以下のようにさらなるマルウェアを生成する役割のみを実行する。
[ Setup.exe ]
1. %appdata%Microsoft\Windows\Templates パスに svchost.exe を FileAttribute.Hidden 属性で生成し、実行
2.生成した svchost.exe をレジストリに自動実行登録 (Value Name : Microsoft Corporation Security)
svchost.exe は、以下のような機能を実行する。
[ svchost.exe ]
1. C2(hxxps://***********[.]blogspot.com)に接続して HTML ファイルをダウンロード
2.HTML ファイルの内部に攻撃者が特定したコメントを読み込み、解凍して %appdata%Microsoft\Windows\Templates パスに explorer.exe ファイルを生成および実行
C2 は正常に運営されているブログを装っており、特定の offset に one line コメントで不正なファイルを含んでいる。攻撃者は、この HTML ファイルの内部で <!–1111 ~ 2222–> の間の値を読み込み、Base64 デコードを実行して圧縮を解凍し、さらなるマルウェアを生成する。
1番で取り上げた C2 アドレスにアクセスできない場合、他の C2 アドレス(hxxp://**********.***********[.]com/2023/explorer.txt)にアクセスする。接続時、新たな C2 アドレスをリターンし、同じく正常なブログに偽装した形態である。攻撃者はこのようなメカニズムを通して従来の C2 アドレスが使用できない場合、もしくは攻撃者が新たな C2 をアップデートした場合に備えている。
上記のように C2 の HTML ファイルから抽出した不正なファイル(explorer.exe)は、以下のような機能を実行する。
[ explorer.exe ]
1. %appdata%Microsoft\Windows\ パスに version.exe ファイルを生成
2.version.exe のパスを含む inf ファイルを %temp% パスに生成した後、cmstp.exe に引数として渡して実行
(CMSTP Defense Evasion)
3.Fileless 方式で Revenge RAT マルウェアを実行
生成される version.exe は、以下のように単純な機能を実行する。
[ version.exe ]
1. 攻撃プロセスで使用された不正なファイルを Powershell コマンドで Windows Defender の除外ファイルに登録
攻撃者は、version.exe を cmstp に伝達して実行するが、これは Anti-Virus 製品の検知回避を目的として不正なファイルを Windows のデフォルトプログラム(cmstp.exe)で実行する CMSTP Evasion である。CMSTP Evasion 手法は MITRE ATT&CK が System Binary Proxy Execution: CMSTP (T1218.003、外部サイト、英語にて提供)手法として分類している。この手法は、過去の ASEC ブログでも何度か取り上げた [1](韓国語にて提供) [2](韓国語にて提供) ことがあるほど、複数のマルウェアで主に使用される方法である。
cmstp.exe に引数として残される .inf ファイルは、%temp% パスにランダムなファイル名(解析当時に生成されたファイル名:g1rfp0hb.inf)で生成され、ファイルステータスでは explorer.exe 内部の resource 領域に Template 形態で存在し、「REPLACE_COMMAND_LINE」文字列が生成される時点で version.exe のパスに Replace される。
このように CMSTP Evasion 方式で実行された version.exe は、以下のコマンドを実行して攻撃プロセスに使用した不正なファイルを Windows Defender の除外ファイルに登録する。explorer、svchost 等、攻撃のプロセスで使われる不正なファイルの名前が、Windows デフォルトプログラムであるという特徴がある。
cmd.exe /c PoserShell.exe -windowstyle hidden Add-Mppreference -ExclusionPath
%appdata%\Microsoft\Windows\explorer.exe
%appdata%\Microsoft\Windows\Cortana.exe
%appdata%\Microsoft\Windows\OneDrive.exe
%appdata%\Microsoft\Windows\Templates\svchost.exe
%appdata%\Microsoft\Windows\SystemSettings.exe
%appdata%\Microsoft\Windows\Taskmgr.exeその後、攻撃者はリソース領域でバイナリを読み込み、DES アルゴリズムを使用して復号化し、ついに攻撃者の最終目的である Revenge RAT マルウェアが出現する。この RAT は MITRE ATT&CK が Revenge RAT(S0379、外部サイト、英語にて提供)として分類しており、主にシステム情報の収集、画面キャプチャ、キーロガー、さらなる不正なファイルのダウンロード、スクリプト実行等の不正な振る舞いが含まれている。
RevengeRAT マルウェアはメモリ上で Fileless 方式で実行され、以下のように C2(qcpanel.hackcrack[.]io:9561)にユーザー PC のデータを収集し、Base64 でエンコードした形で送信する。窃取されるユーザーデータは以下の通りである。
[ 窃取される情報 ]
1. PC、User 名
2. OS、CPU、ドライブ容量等のシステム情報
3. 自身(Revenge RAT)を実行させた親プロセスの情報
4. IP アドレスおよび region 情報
5. 使用中の Anti-Virus、Firewall 製品名
このように、オープンソースや公開されている Tool を使用する際には細心の注意が必要であり、必ず公式ホームページからダウンロードする習慣が重要である。
[ファイル検知]
– Trojan/Win.Generic.C4223332
– Trojan/Win.Generic.C5583117
– Dropper/Win.Generic.C5445718
– Dropper/Win.Generic.R634030
– Backdoor/Win.REVENGERAT.C5582863
– Backdoor/Win.REVENGERAT.R634026
[IoC 情報]
MD5
42779ab18cf6367e7b91e621646237d1 (smtp-verifier.exe)
fb34fe9591ea3074f048feb5b515eb61 (Email To Sms V8.1.exe)
6d5ad2adce366350200958c37f08a994 (setup.exe)
914ec5019485543bb2ec8edcacd662a7 (setup.exe)
5e24e97bbc8354e13ee3ab70da2f3af6 (svchost.exe)
1242c41211464efab297bfa6c374223e (svchost.exe)
438817d3938ae5758d94bf2022a44505 (explorer.exe)
304e264473717fad8f7c6970212eaaa7 (version.exe)
d1af87e121d55230353cbad9b7024fae (Fileless RevengeRAT)
6e22b450a765caa999ca984521b42242 (g1rfp0hb.inf)
C&C
– qcpanel.hackcrack[.]io:9561
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報