Ryukと類似したマルウェアに含まれたAhnLab文字列の意味!(特定国がターゲット?)

AhnLab ASEC分析チームは最近、「AhnLab」の文字列を含む情報流出マルウェアが拡散していることを確認した。このマルウェアには従来の Ryuk ランサムウェアと同じ文字列が使用され、内部コードのフローが類似しており、Ryuk ランサムウェアと関連しているものと把握されている。また、当該サンプルを分析した結果、特定国をターゲットにして製作されたマルウェアと推定されるいくつかの根拠が発見された。 昨年8月に発見された Ryuk ランサムウェアは、ファイルの拡張子を「.RYK」に変更して「RyukReadMe.txt」という名前のランサムノートを生成し、AhnLab フォルダを暗号化対象から除外している。この情報流出マルウェアも、ファイル名およびフォルダ名に AhnLab 文字列が存在する場合、流出対象から除外している。 マルウェアを実行すると、引数で与えられた文字列のパスのファイルを削除する。自身をドロップしたファイルを削除して追跡を困難にする用途に使用されることがある。…

Ammyyハッキングツールにおいて確認されたShim Database(SDB)インジェクション攻撃

ASECは、FlawedAmmyyバックドアからClopランサムウェアまでのフローの確認中に珍しい方式の攻撃手法を確認したため、共有する。 Ammyyバックドアは過去のブログ(https://asec.ahnlab.com/1237)で言及したとおり、社会工学的な方法で開始され、ダウンローダーを経て最終的にバックドア型マルウェアがインストールされる方式で作動する。以降、一種の潜伏期間を経てCLOPランサムウェアがインストールされ、ユーザーのシステムを暗号化するが、Ammyyバックドアが生成したマルウェアのうちWindowsアプリケーションのShim Database、すなわちsdbファイルを悪用して、システムに別のバックドアをユーザーが認識しづらい方式でインストールされる種類のマルウェアが確認された。loader32.exe等の名前で生成されるInjectorマルウェアとsdb_msf_32_crypted.dll等の名前で生成される不正なsdbインストール機能を持つマルウェアである。 sdbファイルはWindows OS環境におけるソフトウェアに対する下位互換をサポートするための用途で作られたメカニズムとして、様々な形態のCompatibility Fixを使用できる。アプリケーションがDLLを呼び出して使用するとき、その中間でsdbファイルのコードを通して修正され、作動する方式である。マルウェアは、このような正常な目的により提供されたアプリケーションのパッチメカニズムを悪用して作動する。  このマルウェアのフローを簡単に整理すると、以下の通りとなる。 1.Ammyyバックドアがloader32.exeとsdb_msf_32_crypted.dllを生成する。2.loader32.exeがsdb_msf_32_crypted.dllを直接ロード、または他のプロセスにインジェクションする。3.loader32.exeはエンコードされたバックドアPEを特定レジストリに書き込む。4.以降、不正なsdbファイルを生成してsdbinst.exeを利用し登録する。このsdbファイルの対象はservices.exe、具体的にはこのプログラムの関数であるScRegisterTCPEndpoint()である。5.システムの再起動時、services.exeが実行され、このとき登録した不正なsdbが適用される。6.関数ScRegisterTCPEndpoint()は、services.exeの初期ルーティンで実行される。すなわち、services.exe実行後にservices.exeのパッチされたシェルコードがすぐ実行される。7.シェルコードはエンコードされたバックドアPEが含まれたレジストリを読み、復号した後にメモリ上で実行する。8.最終的に、再起動するたびにservices.exe内部にはバックドア型マルウェアが作動するようになる。 上記のとおり、このマルウェアはまずエンコードされた実際のバックドア型マルウェアを以下のようなレジストリに書き込む。 エンコードされたバックドアが登録されるレジストリ:HKLM\SOFTWARE\Microsoft\[ランダム] 以降、不正なsdbファイルを生成してsdbinst.exeユーティリティプログラムを利用し、このsdbファイルを登録する。このようにして登録されたsdbファイルは、C:\Windows\AppPatch\Customというパスに保存される。 不正なsdbファイルは対象となるプロセスがservices.exeであり、特定のオフセットを内部に含むシェルコードに置き換える機能を持っている。この方式は、Shimによって公式的にサポートされている機能ではなく、具体的に特定アドレスのメモリをパッチする目的でマルウェアの製作者が直接実装してsdbファイルを生成する。 この特定オフセットは、services.exeの内部関数であるScRegisterTCPEndpoint()関数として、services.exeの実行中にこの関数を呼び出すと、この関数の代わりにシェルコードが実行される方式である。シェルコードは過去にレジストリに登録したエンコードされたPEをデコードして、メモリ上で実行させる。…

Word文書ファイルとJavaScript形態で拡散するTrickBot

最近、韓国の国内企業から難読化されているスクリプトのサンプルが確認された。これは、2019年初頭から海外で大量に出回っている Trickbot ダウンローダーであり、マクロを使用する文書ファイルの内部に JavaScript ファイルが内蔵されており、これを実行すると JavaScript が不正な実行ファイルをダウンロードする形式である。 1.     文書形式で拡散 Word 文書を開くと、以下の…

[緊急] 「スキャンファイル」メールで拡散するWord文書に注意 – Ammyy の拡散

2019年8月9日金曜日の早朝から、国内企業を主なターゲットとしたAmmyyのバックドアを含むスパムメールが多数出回っており、ユーザーの注意が必要である。同目的のスパムメールは8月8日から国外でも出回っており、国内では本日の早朝から集中的に拡散している。 現在までに確認された国内企業をターゲットとして出回っているスパムメールの件名は、「スキャンファイル」である。このメールは「スキャン_(任意の数字).doc」ファイル名のMicrosoft Office Word文書のファイルが添付されている。メールの送信者は「チェ・ソンウン」であり、不正Word文書の内容は「物品引受証」である。送信者とメール件名の内容は異なる可能性が高い。不正Word文書を開くと、次のような画面が表示され、ユーザーのマクロコンテンツ使用許可を誘導する。  Word文書に含まれているマクロコードは、動作方式に応じて2種類のタイプが確認された。まず、1つ目のタイプはInternetExplorerオブジェクトを利用して外部アドレスにアクセスし、ファイルをダウンロードする。ダウンロードしたファイルはエンコードされたバイナリファイルであり、マクロコードでこれをデコードした後、DLLファイルとして生成し実行する。DLLファイルは、動作の過程でUPXでパックされた内部PEを通して外部アドレスにアクセスし、ファイルのデータを受け取り、これをシステムのパスに「rundl32.exe」(国内で出回っているWord文書)または「dllhots.exe」(国外で出回っているWord文書)というファイル名でAmmyyのバックドアファイルを生成する。文書を開いたあとのプロセスツリーは、次のように書かれている。 2つ目のタイプは過去に拡散されたマクロ形態と同じであり、フォームオブジェクト情報を利用し、MSIファイルを外部からダウンロードして実行する。上記と同じ文書内容だが、動作コードの形式が異なっている。  Downloaderマルウェアのほか、バックドア型マルウェアにも異なる点が存在する。下記のように「Ammyy Admin」という文字列を変更せずにそのまま使用していたものとは異なり、今回のFlawedAmmyyマルウェアは「Popss Admin」という名前に変更されている。 そして、FlawedAmmyyバックドアをデコードして生成するたびに、下記のようにPEヘッダの特定部分をランダムに生成するため、インストールされるたびに異なるHash値を持つ。これによって同じ証明書として署名されているが、無効なものと確認できる。 アンラボは、スパムメールとして出回っている不正なドキュメントファイルとダウンロードされる実行ファイルを、次のように診断している。また、不正Wordファイルがアクセスする不正C&CアドレスをASDネットワークでブロックしている。(V3製品のActive Defense設定オプションが有効になっているか確認)…

様々な形式で拡散するCLOPランサムウェア

当社は、これまで Ammyy バックドアの拡散プロセスと、Ammyy バックドアと CLOP ランサムウェアが同じ証明書を使用している点をブログに掲載してきた。これらを総整理し、拡散の段階から最後のランサムウェアまでの拡がりを整理する。以下の [図1] は全般的な構造を表現したものであり、一目で見ても複雑に構成されていることがわかる。 今年、2月初めからメールに不正な文書が添付されて拡散されたが、当社ブログに掲載したように、国税庁を騙るメールをはじめとして、実行を誘導する内容と共に文書ではなく HTML ファイルが添付されたものが出回っていることを確認した。上の [図1]…