Ammyyハッキングツールにおいて確認されたShim Database(SDB)インジェクション攻撃 Posted By ATCP , 2019년 09월 02일 ASECは、FlawedAmmyyバックドアからClopランサムウェアまでのフローの確認中に珍しい方式の攻撃手法を確認したため、共有する。 Ammyyバックドアは過去のブログ(https://asec.ahnlab.com/1237)で言及したとおり、社会工学的な方法で開始され、ダウンローダーを経て最終的にバックドア型マルウェアがインストールされる方式で作動する。以降、一種の潜伏期間を経てCLOPランサムウェアがインストールされ、ユーザーのシステムを暗号化するが、Ammyyバックドアが生成したマルウェアのうちWindowsアプリケーションのShim Database、すなわちsdbファイルを悪用して、システムに別のバックドアをユーザーが認識しづらい方式でインストールされる種類のマルウェアが確認された。loader32.exe等の名前で生成されるInjectorマルウェアとsdb_msf_32_crypted.dll等の名前で生成される不正なsdbインストール機能を持つマルウェアである。 sdbファイルはWindows OS環境におけるソフトウェアに対する下位互換をサポートするための用途で作られたメカニズムとして、様々な形態のCompatibility Fixを使用できる。アプリケーションがDLLを呼び出して使用するとき、その中間でsdbファイルのコードを通して修正され、作動する方式である。マルウェアは、このような正常な目的により提供されたアプリケーションのパッチメカニズムを悪用して作動する。 このマルウェアのフローを簡単に整理すると、以下の通りとなる。 1.Ammyyバックドアがloader32.exeとsdb_msf_32_crypted.dllを生成する。2.loader32.exeがsdb_msf_32_crypted.dllを直接ロード、または他のプロセスにインジェクションする。3.loader32.exeはエンコードされたバックドアPEを特定レジストリに書き込む。4.以降、不正なsdbファイルを生成してsdbinst.exeを利用し登録する。このsdbファイルの対象はservices.exe、具体的にはこのプログラムの関数であるScRegisterTCPEndpoint()である。5.システムの再起動時、services.exeが実行され、このとき登録した不正なsdbが適用される。6.関数ScRegisterTCPEndpoint()は、services.exeの初期ルーティンで実行される。すなわち、services.exe実行後にservices.exeのパッチされたシェルコードがすぐ実行される。7.シェルコードはエンコードされたバックドアPEが含まれたレジストリを読み、復号した後にメモリ上で実行する。8.最終的に、再起動するたびにservices.exe内部にはバックドア型マルウェアが作動するようになる。 上記のとおり、このマルウェアはまずエンコードされた実際のバックドア型マルウェアを以下のようなレジストリに書き込む。 エンコードされたバックドアが登録されるレジストリ:HKLM\SOFTWARE\Microsoft\[ランダム] 以降、不正なsdbファイルを生成してsdbinst.exeユーティリティプログラムを利用し、このsdbファイルを登録する。このようにして登録されたsdbファイルは、C:\Windows\AppPatch\Customというパスに保存される。 不正なsdbファイルは対象となるプロセスがservices.exeであり、特定のオフセットを内部に含むシェルコードに置き換える機能を持っている。この方式は、Shimによって公式的にサポートされている機能ではなく、具体的に特定アドレスのメモリをパッチする目的でマルウェアの製作者が直接実装してsdbファイルを生成する。 この特定オフセットは、services.exeの内部関数であるScRegisterTCPEndpoint()関数として、services.exeの実行中にこの関数を呼び出すと、この関数の代わりにシェルコードが実行される方式である。シェルコードは過去にレジストリに登録したエンコードされたPEをデコードして、メモリ上で実行させる。…
Word文書ファイルとJavaScript形態で拡散するTrickBot Posted By ATCP , 2019년 08월 28일 最近、韓国の国内企業から難読化されているスクリプトのサンプルが確認された。これは、2019年初頭から海外で大量に出回っている Trickbot ダウンローダーであり、マクロを使用する文書ファイルの内部に JavaScript ファイルが内蔵されており、これを実行すると JavaScript が不正な実行ファイルをダウンロードする形式である。 1. 文書形式で拡散 Word 文書を開くと、以下の…
[緊急] 「スキャンファイル」メールで拡散するWord文書に注意 – Ammyy の拡散 Posted By ATCP , 2019년 08월 09일 2019年8月9日金曜日の早朝から、国内企業を主なターゲットとしたAmmyyのバックドアを含むスパムメールが多数出回っており、ユーザーの注意が必要である。同目的のスパムメールは8月8日から国外でも出回っており、国内では本日の早朝から集中的に拡散している。 現在までに確認された国内企業をターゲットとして出回っているスパムメールの件名は、「スキャンファイル」である。このメールは「スキャン_(任意の数字).doc」ファイル名のMicrosoft Office Word文書のファイルが添付されている。メールの送信者は「チェ・ソンウン」であり、不正Word文書の内容は「物品引受証」である。送信者とメール件名の内容は異なる可能性が高い。不正Word文書を開くと、次のような画面が表示され、ユーザーのマクロコンテンツ使用許可を誘導する。 Word文書に含まれているマクロコードは、動作方式に応じて2種類のタイプが確認された。まず、1つ目のタイプはInternetExplorerオブジェクトを利用して外部アドレスにアクセスし、ファイルをダウンロードする。ダウンロードしたファイルはエンコードされたバイナリファイルであり、マクロコードでこれをデコードした後、DLLファイルとして生成し実行する。DLLファイルは、動作の過程でUPXでパックされた内部PEを通して外部アドレスにアクセスし、ファイルのデータを受け取り、これをシステムのパスに「rundl32.exe」(国内で出回っているWord文書)または「dllhots.exe」(国外で出回っているWord文書)というファイル名でAmmyyのバックドアファイルを生成する。文書を開いたあとのプロセスツリーは、次のように書かれている。 2つ目のタイプは過去に拡散されたマクロ形態と同じであり、フォームオブジェクト情報を利用し、MSIファイルを外部からダウンロードして実行する。上記と同じ文書内容だが、動作コードの形式が異なっている。 Downloaderマルウェアのほか、バックドア型マルウェアにも異なる点が存在する。下記のように「Ammyy Admin」という文字列を変更せずにそのまま使用していたものとは異なり、今回のFlawedAmmyyマルウェアは「Popss Admin」という名前に変更されている。 そして、FlawedAmmyyバックドアをデコードして生成するたびに、下記のようにPEヘッダの特定部分をランダムに生成するため、インストールされるたびに異なるHash値を持つ。これによって同じ証明書として署名されているが、無効なものと確認できる。 アンラボは、スパムメールとして出回っている不正なドキュメントファイルとダウンロードされる実行ファイルを、次のように診断している。また、不正Wordファイルがアクセスする不正C&CアドレスをASDネットワークでブロックしている。(V3製品のActive Defense設定オプションが有効になっているか確認)…
様々な形式で拡散するCLOPランサムウェア Posted By ATCP , 2019년 06월 27일 当社は、これまで Ammyy バックドアの拡散プロセスと、Ammyy バックドアと CLOP ランサムウェアが同じ証明書を使用している点をブログに掲載してきた。これらを総整理し、拡散の段階から最後のランサムウェアまでの拡がりを整理する。以下の [図1] は全般的な構造を表現したものであり、一目で見ても複雑に構成されていることがわかる。 今年、2月初めからメールに不正な文書が添付されて拡散されたが、当社ブログに掲載したように、国税庁を騙るメールをはじめとして、実行を誘導する内容と共に文書ではなく HTML ファイルが添付されたものが出回っていることを確認した。上の [図1]…
有効なデジタル証明書により署名された不正なファイルの増加 Posted By ATCP , 2019년 06월 04일 発行元の識別情報をもとに信頼性を高め、完全性を確保するためにファイルにデジタル署名を行う過程を、コードサイニング(Code Signing)という。ファイルの作成者は、公認の認証局(CA、Certificate Authority)を通してデジタル証明書(Digital Certificate)の発行を受け、作成したファイルをその証明書で署名する。 コードサイニングが行われたファイルは認証局によって認証されたファイルであるため、Web ブラウザのダウンロード検証段階やファイルの実行段階でアンチウイルスソフトの検出を回避するのが容易である。これによって、マルウェアの攻撃者はファイルに有効なデジタル署名(Digital Signature)情報を追加して拡散を試みることもあるが、このような試みはすでに2010年のスタクスネット(Stuxnet)等、過去から確認され続けている。 注目する点は、今年上半期に国内で活発に拡散された不正なファイルのうち、有効なデジタル証明書によって署名されたファイルが非常に多く、現在も活発に作成されているという事実である。また、国際的なハードウェアメーカーである ASUS が発行を受けた証明書により署名されたファイルの中にも、情報流出機能があるマルウェアが発見され、大きな話題となった。 識別情報が確認され、信頼可能な認証局を通してのみデジタル証明書の発行を受けることが可能だが、どのようにして有効な証明書により署名された不正なファイルが作られるのだろうか?証明書がある不正なファイルは、証明書の発行シナリオによって次の3種類に分かれる可能性が高い。 ①…
ファイルレス形式のMagniberランサムウェアの事前防御(V3行為検出) Posted By ATCP , 2019년 05월 31일 一昨年(2018年)、AhnLab 分析チームが製作したマグニバー(Magniber)復旧ツールの配布以降、Magniber がファイルレス(Fileless)形式に変化したため、復旧が不可能になった。Fileless 形式で拡散している Magniber は、行為検出を回避してファイルの暗号化を成功させるために(感染システムの)権限がある不特定のプロセスに無差別なインジェクションを実行する形へと進化した。このような手法によって、ランサムウェア行為の主体が感染システム実行中の正常なプロセスとなり、そのプロセスを終了しても他のプロセスによってランサムウェア行為が再度実行される構造であるため、感染後はブロックすることが難しくなる。 Anti-Virus 製品が単純にランサムウェア行為(ファイルの暗号化)を実行するプロセスを検出して終了する場合、Windows システムのプロセスが終了すると、ブルースクリーンが発生するか、正常な使用が不可能になるため、ユーザーは再起動を行う必要がある。攻撃者は、Magniber を復旧が不可能な形式へと進化させ、検出を困難にするために Fileless 形式へと変更し、行為検出を回避するためにインジェクション対象を変更するなど、あらゆる方面で動作方法を変更してきた。しかし、最初に感染させるために利用する脆弱性は…
[注意] 国内企業をターゲットに大量拡散するExcelファイル分析 – AmmyyリモートコントロールバックドアとClopランサムウェアの拡散 Posted By ATCP , 2019년 05월 29일 最近、国内で最も問題となっているターゲット型の攻撃は、企業をターゲットとして拡散しているAmmyyリモートコントロールバックドアと、これによってインストールされるClopランサムウェアである。バックドアファイルはオンラインで公開されているAmmyyリモートコントロール・プログラムのソースを利用して製作され、これを攻撃対象のPCに埋め込んだ後、リモートでシステムにアクセスする。攻撃者が掌握したシステムにおいて最終的に実行しようとする不正なファイルは、Clopランサムウェアである。 特徴として、この攻撃は拡散過程において攻撃対象のPCがドメインコントローラを利用しているAD(Active Directory)サービス構造のユーザーかどうかを確認する。該当する場合は拡散プロセスを実行するが、これは一般的に、ユーザーをドメインで構成してシステムを運用する企業を攻撃対象とすることを意味している。 企業ユーザーをターゲットにしてインストールされるハッキングツール、Ammyy (CLOPランサムウェア)ハッキングツール、Ammyyを利用したCLOPランサムウェアの拡散国内ユーザーをターゲットに拡散している不正Excel文書ファイル 問題は、攻撃の発端となる不正なファイルが非常に巧妙に作られたExcelファイルだということである。Excelファイルは、企業の電子メールアカウントを対象に同時多発的に送信されるが、大量送信と送信された電子メールの内容によって、ユーザーがそれを実行する可能性が非常に高い。今回の記事では、過去から現在までAmmyyリモートコントロールバックドアとClopランサムウェアが含まれているExcelファイルの機能およびその特徴について、変化の順を追って詳細に分析する。そして、この過程で不正なファイルが利用した「Excelマクロ」という過去のExcel 4.0バージョンのマクロ方式のXLMについても説明する。 [1つ目] * 時期 – 2018年12月26日、最初に確認* 主な特徴 – Excel 4.0 (XLM)のマクロシートを利用、マクロシート非表示、msiexec.exeプロセスを利用したファイルのダウンロード 不正Excelファイルを開くと、”文書の内容を表示するには、上部のメッセージバーから[コンテンツの有効化]をクリックしてください”という韓国語または英語メッセージが確認できる。コンテンツの有効化は、マクロコードの動作に対する許可を意味している。メッセージはテキストではなく、攻撃者が意図的に作成した画像になっており、この画像名は図を意味する「Рисунок」となっている。この偽のメッセージ部分は、後に説明する不正Excelファイル全てに共通する特徴である。 有効化された不正なマクロはXLMマクロで作成されているが、これは従来のVBAとは全く異なる。XLMマクロは、過去のExcel 4.0(1992年リリース)のデフォルトマクロ形式である。以降、1993年に登場したExcel 5.0から現在まではデフォルトマクロコードにVBA言語を使用しているが、現在でも過去のExcel…
V3Liteの使用有無に応じて差別化された実行方式を使用する、BlueCrab(Gandcrabの後続) Posted By ATCP , 2019년 05월 17일 最近新しく登場したBlueCrabランサムウェアは、従来のGandcrabランサムウェアのように様々な方式で拡散している。拡散手法は、不正な文書を含むフィッシングメール、ユーティリティフィッシングのダウンロードページ等が該当する。AhnLab ASECは、ユーティリティを装ったJavaScriptの拡散コードを監視している。 ユーティリティフィッシングのダウンロードページからダウンロードされたJavaScriptファイル(.js)は、実行するとBlueCrabランサムウェアが実行される。 現時点のJavaScriptの実行フローは[図1]の通りであり、Powershell.exeにBlueCrabランサムウェアがインジェクションされて暗号化が実行される。 ここで注目する点は、V3Liteのユーザーを対象に差別化された実行方式が使用されるという点である。当社製品は、BlueCrabランサムウェアが使用する特定のUAC(ユーザーアカウントコントロール)回避手法を行為ベースで事前ブロックしている。マルウェアの製作者は、このようなブロックを回避するために当社製品のユーザーにはUACの回避手法を用いずに、UAC通知ウィンドウを100回繰り返してユーザーに「はい」をクリックさせて実行するように誘導する。V3Liteがインストールされていない環境では、ユーザーが知らないうちにUAC通知ウィンドウが表示されることなく、回避手法によって直ちに実行する構造を持っている。 [図2]は、特定のUAC回避コードである。赤線部分のコードのように、当社製品ファイルの存在有無を確認し、存在する場合は当該コードは実行されない。 [図3]は、上記方法が実行されなかった場合に実行されるコードの一部であり、for文によってUAC通知ウィンドウを100回繰り返すコードであり、[図4]はUAC通知ウィンドウを発生させるShellExecueExA関数である。 この方式で実行される、UAC通知ウィンドウが発生し、[はい]ボタンをクリックするまでこのUAC通知ウィンドウが100回発生する。 この方式で拡散するBlueCrabランサムウェアの拡散スクリプトは、行為検出によってブロックされる。 ファイルの診断 – JS/Gandcrab.S10 (2019.05.10.00)…
スパムメールを悪用したCrypter系マルウェアの拡散および作動方式 Posted By ATCP , 2019년 05월 02일 文書ファイルや圧縮ファイルを添付してマルウェアを拡散させる不正なスパムメールによる攻撃手法は、過去から現在まで絶えず攻撃者が使用しているマルウェア拡散方法のひとつである。AhnLab ASEC 分析チームは、多数の顧客から収集したスパムメールを分析した結果、電子メールに添付された不正な文書ファイルからダウンロードされたファイルが主に Crypter 系の情報流出型マルウェア(HawkEye、Nanocore、FormBook、Lokibot、Remcos)であることを確認した。Crypter 系のマルウェアは、暗号アルゴリズムを使用して AV シグネチャ検知ができないように、ファイル内部にマルウェアを暗号化した状態で保存したものをいう。 スパムメールに添付された不正な文書ファイルは、以下の [図2] のようにユーザーのアクションが必要な場合と、そうでない場合に分けられる。 [図2]…
MBR感染機能のCoinMiner(コインマイナー)、国内で拡散中(DarkCloud Bootkit) Posted By ATCP , 2019년 04월 22일 AhnLab ASECは2月、国内外のセキュリティ製品を無力化させ、感染システムのMBR(Master Boot Record)を改ざんするCoinMinerが拡散していることを確認した。海外では「DarkCloud Bootkit」として問題視されたこのタイプのマルウェアは、従来の暗号貨幣採掘型マルウェアとは異なり、MBRを感染させる機能を持っており、「ZwCreateSection」APIのパッチによって一般ユーザーが感染したMBRコードを確認できないようにする特徴を持つ。AhnLab ASECは、MBRを感染させようとする行為を検出して防御を行っており、確認の結果、2019年3月20日前後からMBR感染に関する行為の検出数が急増していた。 もちろん、MBRの感染させようとすることがすべて「DarkCloud Bootkit」マルウェアによるものとは考えられない。しかし、この時期に当該形式のマルウェアが国内で集中的に出回っていたことが確認されたため、ユーザーの注意が必要である。(3月22日に80件ほどを確認) 「DarkCloud Bootkit」マルウェア内の感染対象となるOSに関する情報は以下の[表]の通りであり、ほとんどのOSが感染対象であることがわかる。 OS Version…
