企業ユーザーをターゲットにしてインストールされるハッキングツール、Ammyy (CLOPランサムウェア)

最近、特定機関を騙るフィッシングメールが活発に出回っている。フィッシングメールに添付されたExcel文書ファイル(証明書.xls、依頼.xls等)には、不正なマクロが含まれている。この不正なマクロが実行されると、Ammyyと命名された遠隔操作機能のマルウェアがインストールされる。最近AhnLab ASECは、このバックドアマルウェアを監視している最中に、当該マルウェアが企業をターゲットにしているというコード上の変化を捉えた。また、前回の記事で紹介したようにAmmyyバックドアプログラムとCLOPランサムウェアが同じ証明書で拡散していることから、企業ユーザーをターゲット(ADサーバーに対する奪取)にした拡散に、Ammyyバックドアが利用されているものと推定される。 前回のブログ(https://asec.ahnlab.com/1197)で述べたように、フィッシングメールによって拡散する不正Excel文書ファイルは[図1]のようにして拡散している。ここで注目する点は、最近変化したマルウェアは当該ファイルが実行された環境のワークグループ名を確認する方式によって、企業ユーザー環境を感染ターゲットにしているという点である。  ワークグループ名を確認するコードは[図1]の拡散フローのうち、最終バックドアのダウンローダー(Downloader)で発見された。 [図2]は前回のブログで分析したダウンローダー(Downloader)のコードと、最近発見されたダウンローダー(Downloader)のコードの一部である。両者のコードを比較すると、最近のコードの方で赤枠で囲んだ部分に新しい条件文が追加されたことを確認できる。さらに、実行中のプロセスを確認して、存在する場合に実行が終了されるリストに変化を示した。感染除外対象をチェックするために使用していた実行中のプロセスリストのうち、「V3LITE」、「V3MAIN」、「V3SP」がリストから除外された。すなわち、V3製品のユーザーもAmmyyバックドアの感染対象に含まれていることがわかる。 [図3]は、新しく追加された条件文の全体コードである。このコードは、以下の[表1]のような機能を実行する。一般的な個人ユーザーの場合、cmd.exe /c net user /domainコマンドを実行するとWORKGROUP文字列が出力される一方で、企業ユーザーの場合は設定されたグループ名が出力されることがある。マルウェアの製作者はWORKGROUP文字列が出力されるユーザー(一般の個人ユーザー)の場合は、以降不正な行為(Ammyyバックドアダウンロード機能)を実行せずに終了する。 1. cmd.exe /c net…

GandCrab v5.2ランサムウェアで使用された動的解析の回避手法

最近活発に出回っているGandcrabランサムウェアには、動的解析環境を回避するためのコードが挿入されている。これにより、動的解析環境で正常に作動せずに終了する、または時間遅延によって分析に長時間かかるようにして検出を回避している。 現在確認されている動的解析環境回避コードは、以下の通りである。 – SetErrorMode関数によるAnti-Sandbox – SetTimer関数による時間遅延 1.SetErrorMode関数によるAnti-Sandbox まず、Gandcrabが主に使用するPackerには、以下の[図1]のようにSetErrorMode関数を利用してCuckoo Sandboxを回避するコードが存在する。 SetErrorMode関数はProcessDefaultHardErrorModeを設定したあと、過去に設定されたErrorModeを返す関数である。ErrorModeは、システムでエラーが発生したときの処理方法について設定している。このとき、[図1]のコードを見ると一般的な状況では以下のようなフローを示す。 (1) SetErrorMode(0x400) – ErrorModeで0x400を設定し、過去に設定されたErrorMode値が返される。…

国内アンチウイルスソフトに対する新たな無力化の試み (GandCrab v5.0.4)

最近 ASECは、GandCrab の拡散スクリプトを監視している最中に、国内のアンチウイルスソフトを対象とする新たな無力化の方式を使用していることを捉えた。以前のバージョンでは以下の [図1] のように「Uninst.exe」の実行によって製品の削除を試みていたが、最近拡散スクリプトでは、当該方式を削除して V3 サービスを終了しようとする新たな試みが発見された。 作動方式にも変化が確認され、従来は*.JSの JavaScript ファイルによって GandCrab ランサムウェア実行ファイル(*.EXE)が生成および実行される構造だったが、現在拡散している形式は以下の [図2] のように…

CVE-2018-8174 脆弱性分析

AhnLab ASEC 分析チームは、ランサムウェアを含む国内でのマルウェア拡散に広く使用されているIEの脆弱性、CVE-2018-8174 に対する分析を行った。この脆弱性はマグニバー(Magniber)ランサムウェアの拡散にも使用されており、セキュリティパッチの適用によって被害を予防する作業が必要である。 MS セキュリティアップデートページ (CVE-2018-8174) – https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8174 01.要約 1) CVE-2018-8174の概要 CVE-2018-8174の脆弱性は VBScript エンジンの…

JavaScript内に含まれたGandCrabランサムウェア(V3削除を誘導)

AhnLab ASECでは、国内に出回っているGandCrabランサムウェアの拡散プロセスを監視中に、GandCrab 拡散スクリプトから V3 Lite 製品の削除(Uninstall)を誘導する機能を発見した。(V3 Lite のみをターゲットにする) 拡散スクリプトは [図1] のように難読化された JavaScript が含まれており、難読化を解除すると [図2]…