AhnLab SEcurity intelligence Center(ASEC)は、最近 CMD ファイルで配布されているマルウェアを確認し、過去にフィッシングメールに EXE ファイルを含んだ RAR ファイル形式で出回っていた DBatLoader(ModiLoader)という Downloader マルウェアであることを確認した。
このファイルは「UTF-16LE」を意味する「FF、FE」が含まれており、内部コードをテキストエディタで開いた場合、コードの内容が正常に表示されない。
ただし、「FF、FE」を削除するか「UTF-8」に変換すると正しく表示される。
このファイルは韓国語版の Windows では実行されず、英語版の Windows で実行されるが、これは2つの OS の cmd.exe がデフォルトで使用する Code Page が異なるために発生する現象である。
また、コード自体が難読化されており、ファイル内部に BASE64 でエンコードされた EXE ファイルが含まれている。
CMD ファイルが実行されると Windows の内蔵プログラムである extrac32.exe ファイルを通じて cmd.exe と certutil.exe ファイルを、共用フォルダーに alpha.exe と kn.exe として保存する。その後 CMD ファイル内部に含まれたデータをデコードして「.pif」拡張子に変更したあと実行する。
主なコマンドは以下の通りである。
certutil -decodehex -F “C:\Users\User10\Desktop\中略\Sample.bat” “C:\\Users\\Public\\Audio.mp4” 9
certutil -decodehex -F “C:\\Users\\Public\\Audio.mp4” “C:\\Users\\Public\\Libraries\\Audio.pif” 12
デコードの際に引数値「-decodehex」を使用するが、これは16進数でエンコードされたデータをデコードするコマンドであり、CMD ファイルに含まれたデータは「—–BEGIN X509 CRL—–」(X.509 証明書の廃棄リスト(CRL)の開始を表す)で始まるため、正常にデコードされない。
しかし、デコードする際にデータタイプを強制的に「9」に指定してデコードを行う。この「9」とは、「—–BEGIN ——」および「—–END ——」形式の列の間に BASE64 を適用することを意味する。
これによりデコードが可能となり、データは16進数データでデコードされ、このときにタイプを再び「12」に指定してデコードし、DBatLoader を生成する。参考に、「-decodehex」の引数値は基本的に16進数データをデコードする。
デコードされた DBatLoader は Delphi 言語でコンパイルされた EXE ファイルであり、内部に含まれた DLL をロードして外部からさらなるデータを受け取り、復号化したあとに実行する。
当該タイプの調査をさらに進めた結果、過去と同じ方法でフィッシングメールに EXE ファイルの代わりに CMD ファイルを圧縮して配布していることがわかった。
被害を防ぐためには、出どころが不明なメールは閲覧時に注意する必要があり、常に V3 アンチウイルスプログラムおよび OS のセキュリティアップデートを最新の状態にしておき、アプリケーション、インターネットブラウザ(IE、Chrome、Firefox など)も最新バージョンにアップデートしておくことで、脆弱性にさらされないよう注意する必要がある。
[ファイル検知]
Dropper/BAT.ModiLoader (2024.06.06.00)
Trojan/Win.ModiLoader.R652278 (2024.06.06.00)
MD5
B9C3113BC5B603809DAC2515DD03E9FA (CMD ファイル)
8304C3170AD657E61B4352D0E7649B97 (DBatLoader)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: Uncategorized