V3Liteの使用有無に応じて差別化された実行方式を使用する、BlueCrab(Gandcrabの後続)

最近新しく登場したBlueCrabランサムウェアは、従来のGandcrabランサムウェアのように様々な方式で拡散している。拡散手法は、不正な文書を含むフィッシングメール、ユーティリティフィッシングのダウンロードページ等が該当する。AhnLab ASECは、ユーティリティを装ったJavaScriptの拡散コードを監視している。 ユーティリティフィッシングのダウンロードページからダウンロードされたJavaScriptファイル(.js)は、実行するとBlueCrabランサムウェアが実行される。 現時点のJavaScriptの実行フローは[図1]の通りであり、Powershell.exeにBlueCrabランサムウェアがインジェクションされて暗号化が実行される。   ここで注目する点は、V3Liteのユーザーを対象に差別化された実行方式が使用されるという点である。当社製品は、BlueCrabランサムウェアが使用する特定のUAC(ユーザーアカウントコントロール)回避手法を行為ベースで事前ブロックしている。マルウェアの製作者は、このようなブロックを回避するために当社製品のユーザーにはUACの回避手法を用いずに、UAC通知ウィンドウを100回繰り返してユーザーに「はい」をクリックさせて実行するように誘導する。V3Liteがインストールされていない環境では、ユーザーが知らないうちにUAC通知ウィンドウが表示されることなく、回避手法によって直ちに実行する構造を持っている。 [図2]は、特定のUAC回避コードである。赤線部分のコードのように、当社製品ファイルの存在有無を確認し、存在する場合は当該コードは実行されない。 [図3]は、上記方法が実行されなかった場合に実行されるコードの一部であり、for文によってUAC通知ウィンドウを100回繰り返すコードであり、[図4]はUAC通知ウィンドウを発生させるShellExecueExA関数である。  この方式で実行される、UAC通知ウィンドウが発生し、[はい]ボタンをクリックするまでこのUAC通知ウィンドウが100回発生する。  この方式で拡散するBlueCrabランサムウェアの拡散スクリプトは、行為検出によってブロックされる。  ファイルの診断 – JS/Gandcrab.S10 (2019.05.10.00)…

スパムメールを悪用したCrypter系マルウェアの拡散および作動方式

文書ファイルや圧縮ファイルを添付してマルウェアを拡散させる不正なスパムメールによる攻撃手法は、過去から現在まで絶えず攻撃者が使用しているマルウェア拡散方法のひとつである。AhnLab ASEC 分析チームは、多数の顧客から収集したスパムメールを分析した結果、電子メールに添付された不正な文書ファイルからダウンロードされたファイルが主に Crypter 系の情報流出型マルウェア(HawkEye、Nanocore、FormBook、Lokibot、Remcos)であることを確認した。Crypter 系のマルウェアは、暗号アルゴリズムを使用して AV シグネチャ検知ができないように、ファイル内部にマルウェアを暗号化した状態で保存したものをいう。 スパムメールに添付された不正な文書ファイルは、以下の [図2] のようにユーザーのアクションが必要な場合と、そうでない場合に分けられる。 [図2]…

MBR感染機能のCoinMiner(コインマイナー)、国内で拡散中(DarkCloud Bootkit)

AhnLab ASECは2月、国内外のセキュリティ製品を無力化させ、感染システムのMBR(Master Boot Record)を改ざんするCoinMinerが拡散していることを確認した。海外では「DarkCloud Bootkit」として問題視されたこのタイプのマルウェアは、従来の暗号貨幣採掘型マルウェアとは異なり、MBRを感染させる機能を持っており、「ZwCreateSection」APIのパッチによって一般ユーザーが感染したMBRコードを確認できないようにする特徴を持つ。AhnLab ASECは、MBRを感染させようとする行為を検出して防御を行っており、確認の結果、2019年3月20日前後からMBR感染に関する行為の検出数が急増していた。 もちろん、MBRの感染させようとすることがすべて「DarkCloud Bootkit」マルウェアによるものとは考えられない。しかし、この時期に当該形式のマルウェアが国内で集中的に出回っていたことが確認されたため、ユーザーの注意が必要である。(3月22日に80件ほどを確認) 「DarkCloud Bootkit」マルウェア内の感染対象となるOSに関する情報は以下の[表]の通りであり、ほとんどのOSが感染対象であることがわかる。 OS Version…

拡張子ごとに暗号化方式の違いを示すGandCrab v5.2

当社ブログで以前から掲載してきたように、GandCrab は様々な方式で拡散している。これまでに GandCrab はバージョンをアップデートして変化してきたが、現在までに確認されている最新の内部バージョンはv5.2である。当社では、このv5.2バージョンの暗号化対象の拡張子を確認する方法と、これにより暗号化方式が以前のバージョンと異なるという点を発見した。 GandCrab v5.2 は拡張子リストを3つのグループに分類して管理および確認しているが、その構成は以下の通りである。 上で述べたように、一番上の拡張子リストは該当する拡張子の場合に暗号化から除外し、2つ目の拡張子リストの場合、事実上内部コードで比較した後に使用される部分がないため、フェイクとしてリストのみを持っていることが推測される。したがって、実際に暗号化を実行し、3つ目の拡張子リストに含まれていないため、0x100000サイズの暗号化を実行する。 (この内容は後で詳しく説明する)また、最後の3つ目の拡張子リストの場合、この拡張子にマッチする場合とそうでない場合に応じて、暗号化を行う方式に違いがあることが分かった。 GandCrab v5.2 の暗号化に必要なキーを使用する方式は、過去に当社が公開した従来のv4.xと変わらない。ただし、従来は暗号化されたSalsa20キーやローカルの秘密鍵をレジストリに保存していたが、現在は保存せずにランサムノートにのみBase64で暗号化して保存するため、攻撃者に復旧を要求するときにランサムノートが不可欠であるものと考えられる。 ファイルを暗号化する際、従来のバージョンと同じくSalsa20アルゴリズムを利用する。ファイルの前から0x100000のサイズに分けて暗号化を実行する。3つ目の拡張子リストにマッチした場合はファイル全体を暗号化し、マッチしない場合はファイルの一番最初から0x100000の位置までを暗号化する。そして、ファイルの下位に「暗号化されたサイズ」が保存されるとき、最終的に3つ目の拡張子リストにマッチする場合は暗号化対象の元のファイルのサイズと同じデータが保存され、マッチしない場合は0x100000が保存(ファイルサイズが0x100000よりも小さい場合)される。したがって、ファイルサイズが0x100000より大きく、上の3つ目のリストにマッチしない場合は、データが保存される。 そして、拡張子ごとに暗号化を区別して実行するルーティンによって暗号化除外条件を追加で確認できるのだが、その内容は以下の通りである。…

[注意] 国内仮想通貨業者をターゲットにした「Amadey」マルウェアの攻撃試行

AhnLab ASECは最近、国内の仮想通貨業者をターゲットとした電子メールの添付ファイル(DOC、RTF、VBS、EXE等、様々)による形で「Amadey」という名前のマルウェア攻撃が頻繁に試行されていることを確認した。現在までに攻撃に使用された文書ファイルおよび実行ファイル名は次の通りである。 – Crypto Market Predictor for Desktop V2.13.exe – Price list on blockchain…