最近 AhnLab SEcurity intelligence Center(ASEC)では、DLL Side-Loading 手法を利用する XLoader マルウェアの拡散状況を確認した。DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL が同時に動作するようにする手法である。攻撃に使用された正常なアプリケーションである jarsigner は、Eclipse Foundation が配布する IDE パッケージをインストールすると作成されるファイルであり、JAR(Java Archive)ファイルに署名を行うツールである。
確認されたところによると、ファイルは圧縮ファイル形式で配布され、内部には正常な EXE ファイルと不正な DLL ファイルが含まれている。このうち、「jli.dll」、「concrt140e.dll」のみが不正なファイルである。
[図1] 圧縮ファイルに含まれたファイル
– jli.dll:攻撃者により改ざんされた DLL ファイルで、concrt140e.dll の復号化およびインジェクションを実行
– concrt140e.dll:暗号化されたペイロード(XLoader マルウェア)
– Documents2012.exe:正常なファイル(jarsigner.exe)のファイル名を変更
[図2] 正常なファイルに署名された証明書
Documents2012.exe ファイルは jli.dll をロードして export 関数を使用するが、正常な jli.dll とは異なり不正な jli.dll はすべての export 関数のアドレスが同じである。したがって、ロードされた不正な jli.dll の任意の関数を呼び出すと、攻撃者が作成した関数が実行される。
[図3] 正常な jli.dll と不正な jli.dll の export 関数一覧の比較
同時に配布された concrt140e.dll ファイルは暗号化されたペイロードであり、攻撃プロセスにおいて復号化されたあと、正常なファイルである aspnet_wp.exe にインジェクションされて実行される。インジェクションされたマルウェアは XLoader であり、ユーザーの PC 情報、ブラウザ情報などのプライベートな情報を窃取し、さらなるマルウェアのダウンロードなど、様々な機能を実行する。
このように、攻撃者は正常な EXE ファイルによって不正な DLL を実行するようにファイルを配布しているため、ユーザーは実行ファイルと同時に配布されるファイルに注意する必要がある。
IOC 関連情報
MD5
42f5b18d194314f43af6a31d05e96f16
8e6763e7922215556fa10711e1328e08
URL
http[:]//www[.]datarush[.]life/uhtg/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア