1. 概要
コインマイナーは、主に仮想通貨をマイニングするためにユーザーのコンピューターの CPU と GPU 資源を密かに使用し、これによってコンピューターの性能が低下する。コインマイナーは、主にフィッシングメール、不正な Web サイト、システムの脆弱性などを通じて配布され、このマルウェアに対する解析は ASEC Blog でも紹介したことが[1](韓国語にて提供)ある。今回の記事では、前の投稿で解析したコインマイナーの不正な振る舞いを、当社 EDR 製品の相関図を通じてその証跡を確認し、検知内容について説明する。
2. 権限昇格
感染した USB には、ユーザーが保管した既存のファイルではなく USB Drive.lnk というショートカットが存在する。USB Drive.lnk は、伝播中に生成した rootdir という非表示フォルダー内部の x<ランダムな6桁の数字>.vbs ファイルを実行する。実行された x<ランダムな6桁の数字>.vbs ファイルは、「C:\Windows(空白)\System32」という名前の空フォルダーを生成する x<ランダムな6桁の数字>.bat ファイルを実行する。以下の相関図は、x<ランダムな6桁の数字>.bat ファイルが「C:\Windows(空白)\System32」という名前の空フォルダーを生成し、アクセスした時の振る舞いを示している。
[図1] 「C:\Windows(空白)\System32」という名前の空フォルダーを生成し、アクセスした時の振る舞い検知
x<ランダムな6桁の数字>.bat が正常に実行されると、「C:\Windows(空白)\System32」という名前の空フォルダー内に printui.exe(正常)、printui.dll(不正)ファイルを生成し、DLL Side-Loading 手法を使用して printui.exe(正常)ファイルを実行する。
また、「C:\Windows(空白)\System32」という名前の空フォルダーを生成する振る舞いは、マルウェアが主にシステムの重要なファイルが位置する「C:\Windows\System32」フォルダーに偽装し、実行ファイルの権限を昇格させるための目的で使用する方式である。権限昇格が必要な時、OS では以下のような条件を判断する。
- 実行ファイルに「<autoElevate>true</autoElevate>」が存在するかの確認
- 電子署名が有効であるかの確認
- 信頼できるフォルダー(ex.「C:\Windows\System32」のようなシステムフォルダー)で実行されたかの確認
これらの条件を満たさないと、実行ファイルの権限昇格は自動的に行われないが、[図1]のような「C:\Windows(空白)\System32」という名前の空フォルダー内のファイルは、信頼できるフォルダーという条件を回避できるため、権限昇格が可能である。
3. Windows Defender 回避
DLL Side-Loading 手法で実行されたマルウェアは、Powershell コマンドを通じて「C:\Windows(空白)\System32」という名前の空フォルダーと、「C:\Windows\System32」フォルダを Windows Defender のスキャンの例外パスに登録し、以後、このフォルダーに生成されるマルウェアが検知されないようにする。
AhnLab EDR 製品は、以下の図のように Windows Defender のスキャンの例外パス設定に登録する振る舞いを検知する。
[図2] Windows Defender 回避振る舞いの検知
4. 持続性の維持
コインマイナーの持続性維持のため、サービス登録およびタスクスケジューラ登録を実行する。サービス登録するファイルはコインマイナーマルウェアであり、タスクスケジューラに登録するマルウェアは一種のコインマイナーアップデートとして、コインマイナーの新しいバージョンをダウンロードする役割を果たす。
このような不正な振る舞いも AhnLab EDR 製品で検知している。
[図3] サービス登録振る舞いの検知
[図4] タスクスケジューラ登録振る舞いの検知
5. USB 伝播
コインマイナーを実行した後には、ユーザーのコンピューターに認識された USB を確認してマルウェアを生成する。感染した USB は、ユーザーが保管した既存のファイルを非表示フォルダーに隠しておく。そして、rootdir 非表示フォルダーに x<ランダムな6桁の数字>.vbs、x<ランダムな6桁の数字>.bat、x<ランダムな6桁の数字>.dat ファイルを生成した後、最後に USB Drive.lnk を生成する。
AhnLab EDR 製品は、以下の図のようにファイルを生成および非表示属性に変更する振る舞いを確認できるようにする。
[図5] USB 伝播振る舞いの検知
6. 結論
AhnLab EDR 製品を通じて、USB で伝播されるコインマイナーの配布振る舞いとマルウェアの権限昇格、Windows Defender 回避、持続性維持のような不正な振る舞いのプロセスを確認することができる。管理者はこれによりマルウェアが実行されたフローを把握することができ、攻撃にさらされた後も攻撃対象となったシステムで攻撃者の証跡資料として侵害事故の調査に必要なデータを確認することができる。
EDR 検知名
– Persistence/EDR.Event.M12408
– DefenseEvasion/EDR.WindowDefender.M11093
– Suspicious/DETECT.T1053.M2676
IOC 関連情報
MD5
607ac6645be22077443b74cf38b92ce0
60f6acfb9efce8dbf5a6d69a418c0eed
819aa5e784063af3bf18b7a7fcdc1855
8972c43c579d02b463484e31506a64ff
a62826dabcdf904941b0793e9f7b2238
追加 IoC は ATIP で提供しています。
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: EndPoint