マルウェアの情報

Word文書ファイルとJavaScript形態で拡散するTrickBot

最近、韓国の国内企業から難読化されているスクリプトのサンプルが確認された。これは、2019年初頭から海外で大量に出回っている Trickbot ダウンローダーであり、マクロを使用する文書ファイルの内部に JavaScript ファイルが内蔵されており、これを実行すると JavaScript が不正な実行ファイルをダウンロードする形式である。 1.     文書形式で拡散 Word 文書を開くと、以下の…

[緊急] 「スキャンファイル」メールで拡散するWord文書に注意 – Ammyy の拡散

2019年8月9日金曜日の早朝から、国内企業を主なターゲットとしたAmmyyのバックドアを含むスパムメールが多数出回っており、ユーザーの注意が必要である。同目的のスパムメールは8月8日から国外でも出回っており、国内では本日の早朝から集中的に拡散している。 現在までに確認された国内企業をターゲットとして出回っているスパムメールの件名は、「スキャンファイル」である。このメールは「スキャン_(任意の数字).doc」ファイル名のMicrosoft Office Word文書のファイルが添付されている。メールの送信者は「チェ・ソンウン」であり、不正Word文書の内容は「物品引受証」である。送信者とメール件名の内容は異なる可能性が高い。不正Word文書を開くと、次のような画面が表示され、ユーザーのマクロコンテンツ使用許可を誘導する。  Word文書に含まれているマクロコードは、動作方式に応じて2種類のタイプが確認された。まず、1つ目のタイプはInternetExplorerオブジェクトを利用して外部アドレスにアクセスし、ファイルをダウンロードする。ダウンロードしたファイルはエンコードされたバイナリファイルであり、マクロコードでこれをデコードした後、DLLファイルとして生成し実行する。DLLファイルは、動作の過程でUPXでパックされた内部PEを通して外部アドレスにアクセスし、ファイルのデータを受け取り、これをシステムのパスに「rundl32.exe」(国内で出回っているWord文書)または「dllhots.exe」(国外で出回っているWord文書)というファイル名でAmmyyのバックドアファイルを生成する。文書を開いたあとのプロセスツリーは、次のように書かれている。 2つ目のタイプは過去に拡散されたマクロ形態と同じであり、フォームオブジェクト情報を利用し、MSIファイルを外部からダウンロードして実行する。上記と同じ文書内容だが、動作コードの形式が異なっている。  Downloaderマルウェアのほか、バックドア型マルウェアにも異なる点が存在する。下記のように「Ammyy Admin」という文字列を変更せずにそのまま使用していたものとは異なり、今回のFlawedAmmyyマルウェアは「Popss Admin」という名前に変更されている。 そして、FlawedAmmyyバックドアをデコードして生成するたびに、下記のようにPEヘッダの特定部分をランダムに生成するため、インストールされるたびに異なるHash値を持つ。これによって同じ証明書として署名されているが、無効なものと確認できる。 アンラボは、スパムメールとして出回っている不正なドキュメントファイルとダウンロードされる実行ファイルを、次のように診断している。また、不正Wordファイルがアクセスする不正C&CアドレスをASDネットワークでブロックしている。(V3製品のActive Defense設定オプションが有効になっているか確認)…

様々な形式で拡散するCLOPランサムウェア

当社は、これまで Ammyy バックドアの拡散プロセスと、Ammyy バックドアと CLOP ランサムウェアが同じ証明書を使用している点をブログに掲載してきた。これらを総整理し、拡散の段階から最後のランサムウェアまでの拡がりを整理する。以下の [図1] は全般的な構造を表現したものであり、一目で見ても複雑に構成されていることがわかる。 今年、2月初めからメールに不正な文書が添付されて拡散されたが、当社ブログに掲載したように、国税庁を騙るメールをはじめとして、実行を誘導する内容と共に文書ではなく HTML ファイルが添付されたものが出回っていることを確認した。上の [図1]…

有効なデジタル証明書により署名された不正なファイルの増加

発行元の識別情報をもとに信頼性を高め、完全性を確保するためにファイルにデジタル署名を行う過程を、コードサイニング(Code Signing)という。ファイルの作成者は、公認の認証局(CA、Certificate Authority)を通してデジタル証明書(Digital Certificate)の発行を受け、作成したファイルをその証明書で署名する。  コードサイニングが行われたファイルは認証局によって認証されたファイルであるため、Web ブラウザのダウンロード検証段階やファイルの実行段階でアンチウイルスソフトの検出を回避するのが容易である。これによって、マルウェアの攻撃者はファイルに有効なデジタル署名(Digital Signature)情報を追加して拡散を試みることもあるが、このような試みはすでに2010年のスタクスネット(Stuxnet)等、過去から確認され続けている。  注目する点は、今年上半期に国内で活発に拡散された不正なファイルのうち、有効なデジタル証明書によって署名されたファイルが非常に多く、現在も活発に作成されているという事実である。また、国際的なハードウェアメーカーである ASUS が発行を受けた証明書により署名されたファイルの中にも、情報流出機能があるマルウェアが発見され、大きな話題となった。  識別情報が確認され、信頼可能な認証局を通してのみデジタル証明書の発行を受けることが可能だが、どのようにして有効な証明書により署名された不正なファイルが作られるのだろうか?証明書がある不正なファイルは、証明書の発行シナリオによって次の3種類に分かれる可能性が高い。 ①…

ファイルレス形式のMagniberランサムウェアの事前防御(V3行為検出)

一昨年(2018年)、AhnLab 分析チームが製作したマグニバー(Magniber)復旧ツールの配布以降、Magniber がファイルレス(Fileless)形式に変化したため、復旧が不可能になった。Fileless 形式で拡散している Magniber は、行為検出を回避してファイルの暗号化を成功させるために(感染システムの)権限がある不特定のプロセスに無差別なインジェクションを実行する形へと進化した。このような手法によって、ランサムウェア行為の主体が感染システム実行中の正常なプロセスとなり、そのプロセスを終了しても他のプロセスによってランサムウェア行為が再度実行される構造であるため、感染後はブロックすることが難しくなる。  Anti-Virus 製品が単純にランサムウェア行為(ファイルの暗号化)を実行するプロセスを検出して終了する場合、Windows システムのプロセスが終了すると、ブルースクリーンが発生するか、正常な使用が不可能になるため、ユーザーは再起動を行う必要がある。攻撃者は、Magniber を復旧が不可能な形式へと進化させ、検出を困難にするために Fileless 形式へと変更し、行為検出を回避するためにインジェクション対象を変更するなど、あらゆる方面で動作方法を変更してきた。しかし、最初に感染させるために利用する脆弱性は…