Magniberランサムウェア拡散における脆弱性の変更(CVE-2019-1367 → CVE-2020-0968)および行為診断回避の実行 Posted By ATCP , 2020년 12월 17일 AhnLab ASEC 分析チームは今年の初め、Magniber の製作者がランサムウェアを拡散させるために使用する脆弱性を変更したことを公開した。 Magniber の製作者が拡散に使用していたCVE-2019-1367の脆弱性は、緊急セキュリティパッチ(Version 1903)でアップデートを行ったシステムについては2019年9月23日以降、脆弱性が動作しなかった。そこで製作者は最新の脆弱性に変更(CVE-2020-0968)して感染対象を拡張させた。さらに、Windows7の場合は今年1月14日時点でサポートが終了したため、CVE-2020-0968のセキュリティパッチ(2020年4月15日配布)が適用できない問題があった。以下は、理解の助けとなるための変更前のコード(POCを含む)と変更後のコードの比較である。 POC コードと拡散している脆弱性のスクリプトを比較すると、使用する変数名が複雑化しているだけで、実際のコードに違いはないことが確認できる。二つの脆弱性はどちらも jscript.dll の UAF…
画像ファイルを利用したPHP Webシェルによるマルウェア Posted By ATCP , 2020년 12월 08일 Web シェル(WebShell)とは、Web サーバーにアップロードされ、ファイルの検索やシステムシェルコマンド等を実行できるようにするファイルである。攻撃者は Web ブラウザを利用してサーバーシステムのファイルを検索し、シェルコマンドを実行できる。悪意のある Web シェルファイルがサーバーにアップロードされるのを防止するには、アップロードファイルの拡張子を制限する等の対応策がある。しかし、攻撃者は以下のような方法でこれを回避することができる。 サーバーサイドスクリプト(Server-Side Script)の拡張子フィルターを回避するファイルのアップロード GIF、PNG、JPEG 画像等のアップロード可能な拡張子のファイルに、不正なスクリプトを挿入してファイルをアップロード 本記事では、上記の2つ目の方法に該当する内容であり、GIF…
スパムメールで拡散しているRemcos RATマルウェア Posted By ATCP , 2020년 11월 23일 Remcos は、RAT(Remote Administration Tool)マルウェアとして数年前からスパムメールを通して絶えず拡散し続けている。Remcos は、製作者が以下のような Web サイトを通じてリモート管理を行うための RAT ツールであると説明して販売しており、最近も周期的にアップデートされている。 Remcos のホームページで説明している機能だけを見ると、リモートをサポートするための目的、または盗難時に機密データを削除したり、追跡したりする目的でも使用可能であると記載されている。もちろん、このような機能がサポートされていることは事実である。 しかし、キーロガー、スクリーンショットキャプチャ、Web…
情報奪取型マルウェアを拡散させるフィッシングキャンペーン Posted By ATCP , 2020년 11월 09일 AhnLab ASEC 分析チームは、正常なユーティリティのクラックプログラムを装ってインフォスティーラー型マルウェアを拡散させるフィッシングサイトを発見した。フィッシングサイトは、Google の検索キーワードでユーティリティプログラム名と「Crack」を一緒に検索した場合に上部に表示される。そのため、多数のユーザーがユーティリティプログラムのクラックバージョンをダウンロードするために当該ページにアクセスし、感染したものと推定される。 このフィッシングサイトの内容は [図2] のように、実際のユーティリティプログラムの画像を使用して精巧に作られている。サイトにアクセスしたユーザーがページ下部の [図3] のダウンロードリンクをクリックするとマルウェア配布元にリダイレクトし、最終的にマルウェアを含む圧縮ファイルをダウンロードすることになる。 マルウェアは、ユーティリティ名_特定ハッシュ値.zip の形式でダウンロードされる。圧縮ファイルには情報流出型マルウェアが含まれる SetupFile-86x-64xen.zip…
Vidarインフォスティーラー型マルウェアの情報流出機能の分析 Posted By ATCP , 2020년 09월 08일 Vidar は、ユーザー情報を流出させる機能を持つインフォスティーラー型マルウェアである。以下の週間統計でも確認できるように Top 5 内には含まれないが、常に一定の割合を占めており、ある期間では Top 5 にも含まれていた履歴を見ると、再びその拡散量が増加する場合もある。 ここ1か月の間に確認された拡散ファイルの個数は以下の表の通りである。すべてが「build.exe」という名前で出回っており、(Windowsのライセンス認証のための) KMSAuto に偽装したインストールファイル内部に存在するという共通点がある。 日付…
ファイルレス形式で動作するWannaMine(SMB脆弱性) Posted By ATCP , 2020년 09월 06일 最近、CoinMiner の拡散方式が少しずつ多様化している。 近年では「WannaMine」というファイルレス(Fileless)形式のCoinMinerマルウェアが、拡散のためにSMBの脆弱性だけでなく、WMI(Windows Management Instrumentation)、ADMIN$ 共有フォルダ、SMB によるリモートデスクトップサービスの登録、および起動する方式を使用していることが確認された。 WannaMine の全体的な動作方式は、最初の感染 PC で「sysupdater0.bat」ファイルが実行されると、感染 PC…
発注書メールに偽装して拡散しているLokibotマルウェア Posted By ATCP , 2020년 08월 30일 Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等、感染 PC にインストールされている様々なプログラムからアカウント情報を奪取する機能を持っている。数年前から拡散し続けているマルウェアだが、最近でもTop 5に毎週含まれている。 Lokibot は最近の AgentTesla、Formbook、AveMaria 等のマルウェアと同様、ほとんどがスパムメールを通して拡散している。また、診断を回避するために「.NET」アウトラインのパッカーによりパッキングされて拡散している。 最近拡散に使用されたスパムメールは典型的な発注書(P.O.–…
[注意] 特定企業をターゲットに拡散するWastedLockerランサムウェア Posted By ATCP , 2020년 08월 28일 7月23日、スマートウォッチやウェアラブルデバイスのメーカーである「Garmin」が WastedLocker という名前のランサムウェア攻撃を受け、サービスおよび生産ラインが中断されるといった問題が発生した。 このランサムウェアの製作者は「Evil Corp」というロシアのハッキンググループであり、彼らは特定の企業をターゲットにして APT 攻撃を実行したあと、ペネトレーションテストツールである Cobalt Striker を利用して WastedLocker ランサムウェアを配布したものと推定される。…
韓国国内有名ウェブハードを通して拡散するnjRATマルウェア Posted By ATCP , 2020년 08월 19일 njRAT マルウェアはユーザーの個人情報を奪取し、攻撃者の命令を受けると実行する RAT マルウェアであり、韓国国内で個人をターゲットに拡散が続いている。 診断ログを解析した結果、njRAT は主にウェブハードやトレント等の資料共有サイトを通じてゲーム、認証ツール、ユーティリティ等の正常なファイルに偽装して拡散し、ほとんどの場合は元のプログラムが実行されると同時にマルウェアに感染するため、ユーザーの立場では感染の事実を把握することが困難である。 AhnLab ASEC 分析チームは、njRAT マルウェアが韓国国内のウェブハードサイトを通じて拡散している事例を紹介する。最近拡散した njRAT のファイル名に基づいて逆追跡した結果、韓国国内の有名ウェブハードサイトで出回っているスレッドを確認した。 …
スパムメールで拡散しているAveMariaマルウェア Posted By ATCP , 2020년 08월 10일 AveMaria は、遠隔操作機能の RAT(Remote Administration Tool) マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な行為を実行することができる。Top 5内には含まれていないものの、常に一定の割合を占めている。 AveMaria マルウェアは、最近AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって拡散している。また、診断を回避するために上記マルウェアと類似する.NETアウトラインのパッカーによりパッキングされて拡散している。…
