bomb_log

セキュリティに関するbom

2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。
この件名でのバラマキは5/30以来でした。
配信で使用するドメインマルウェア等は同一のため、同じ攻撃者によるものと思われます。
配信量は楽天市場の件名と同程度で通常の1/3程度と少量でした。

 

■日時
2018/06/06(水) 16:25頃 - 18:10頃

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■送信者
info[@]mail.rakuten-card.co[.]jp

■本文

f:id:bomccss:20180618231652p:plain

■添付ファイル
なし

以下は同日の件名が「【楽天市場】注文内容ご確認(自動配信メール)」と同一の内容です。

■メール内リンクURL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
等、IPが185.236.202[.]149に解決されるドメインに誘導されます。
https://www.virustotal.com/#/ip-address/185.236.202.149

■ダウンロードされるファイル
リンク先URLにアクセスすると、ダウンローダスクリプトへリダイレクトされダウンロードされます。
Chrome等でアクセスするとダウンロードされるファイルは「楽天銀行の重要な情報.pdf.js」です。
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735?environmentId=120
IEでアクセスすると.zipファイルをダウンロードし、中にjsファイルが含まれています。

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ファイルを実行すると、以下のパスへアクセスし、不正送金マルウェアursnifを取得し実行します。
hxxp://bn.wonderingwriter[.]com/020.bin
https://www.hybrid-analysis.com/sample/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd?environmentId=120

マルウェアの動き
jsを実行すると、コマンドプロンプトからPowerShellが実行され、ursnifがダウンロードされ、実行されます。今回のケースでは020.binがリネームされ29021.exeとして実行されます。
その後29021.exeがcontrole.exeからrundll32.exeを実行します。
そこから先はプロセスの動きとしては追えないですが、挙動から最終的にはExplorer.exeにインジェクションしていました。

f:id:bomccss:20180618230653p:plain

■C2
ursnifが接続する先は以下の2種です。
設定ファイルを取得する先
hxxp://dwupg[.]icu
マルウェアが取得した情報を送信する先
hxxp://ne.winzzer[.]com

■通信の動き

f:id:bomccss:20180618231026p:plain

 

IoC
○URL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
hxxp://bn.wonderingwriter[.]com/020.bin
hxxp://dwupg[.]icu
hxxp://ne.winzzer[.]com
○IP
185.236.202[.]149
○HASH(SHA256)
fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735
601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd

2018/06/06(水) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 
この件名でのバラマキは5/11以来でした。
配信量は同件名で通常の1/3程度と少量でした。

 

■日時
2018/06/06(水) 14:55頃 - 17:10頃

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten.co.jp

■本文f:id:bomccss:20180618224628p:plain
 ■添付ファイル
なし 

■メール内リンクURL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
等、IPが185.236.202[.]149に解決されるドメインに誘導されます。
https://www.virustotal.com/#/ip-address/185.236.202.149

■ダウンロードされるファイル
リンク先URLにアクセスすると、ダウンローダスクリプトへリダイレクトされダウンロードされます。
Chrome等でアクセスするとダウンロードされるファイルは「楽天銀行の重要な情報.pdf.js」です。
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735?environmentId=120
IEでアクセスすると.zipファイルをダウンロードし、中にjsファイルが含まれています。

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ファイルを実行すると、以下のパスへアクセスし、不正送金マルウェアursnifを取得し実行します。
hxxp://bn.wonderingwriter[.]com/020.bin
https://www.hybrid-analysis.com/sample/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd?environmentId=120

マルウェアの動き
jsを実行すると、コマンドプロンプトからPowerShellが実行され、ursnifがダウンロードされ、実行されます。今回のケースでは020.binがリネームされ29021.exeとして実行されます。
その後29021.exeがcontrole.exeからrundll32.exeを実行します。
そこから先はプロセスの動きとしては追えないですが、挙動から最終的にはExplorer.exeにインジェクションしていました。

f:id:bomccss:20180618230653p:plain

■C2
ursnifが接続する先は以下の2種です。
設定ファイルを取得する先
hxxp://dwupg[.]icu
マルウェアが取得した情報を送信する先
hxxp://ne.winzzer[.]com

■通信の動き

f:id:bomccss:20180618231026p:plain

 

IoC
○URL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
hxxp://bn.wonderingwriter[.]com/020.bin
hxxp://dwupg[.]icu
hxxp://ne.winzzer[.]com
○IP
185.236.202[.]149
○HASH(SHA256)
fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735
601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査その2

以下の記事の続きになります。

bomccss.hatenablog.jp

 

前回調査をした際に、以下の疑問がわきました。

もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組みが推察できそうです。
同じファイルを取得するのであれば一つのbeblohのハッシュに対し取得するファイルが決まっていそうですし、別のファイルを取得するのであればbeblohは時期によってbebloh全体で取得するファイルが決まっていると言えそうです。

beblohは各検体毎に取得するマルウェアが決まっているのか、時期によってどのbeblohを実行しても同じマルウェアを取得するのか?

実際に、別のbeblohの配布が起きてから、古いbeblohを実行しどんなマルウェアを取得するかを検証しました。

■前回(5/31)取得先
hxxp://monerotan[.]com/ieprotocol (bebloh)
hxxp://brightonline[.]org/mrt_ms.exe (ursnif)

■実行結果

f:id:bomccss:20180610174217p:plain

f:id:bomccss:20180610174239p:plain

結果、xlsファイルが取得したbeblohは5/31のものと同じbeblohでしたが、beblohが取得したursnifは5/31のものではなく6/5のものと同じursnifでした。
また、beblohが初回にC2に通信を行った際にすぐに2度目のC2宛通信が発生し、その後すぐにursnifのダウンロードが発生しています。
そのため、beblohはC2からの通信でダウンロード先を取得していると推測でき、beblohは同じC2にアクセスするものは同一時期には同じダウンロード先を与えられると推測できます。

2018/06/05(火) 『2018.5月分請求データ送付の件.6月請求データ.xls』『6月分請求データ送付の件』『6月請求データ.xls』の調査

タイトルが長くなってしまいました。

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。
bebloh取得から先は別件名と同一の動きとなります。

 

■日時
2018/06/05(水) 17:40頃 - 18:50 頃

■件名
2018.5月分請求データ送付の件.6月請求データ.xls
6月分請求データ送付の件
6月請求データ.xls
※どれも件名の先頭に「.」「Fwd: 」「Fwd: Re:」「Re: 」「Re: Re: 」が付く場合があります。付かない場合もあります。

■本文

f:id:bomccss:20180610165023p:plain

■添付ファイル
nnnnn-6月請求データ.xls
nnnnnは数字5桁
https://www.hybrid-analysis.com/sample/638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113?environmentId=100

f:id:bomccss:20180610165251p:plain

添付ファイルにはマクロが付いています。

f:id:bomccss:20180610165425p:plain

f:id:bomccss:20180610165435p:plain

 

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
beblohと呼ばれるダウンローダマルウェアです。
この取得先は同日に配布のあった別件名『請書及び請求書のご送付』『RE: 請求書XLSについて』『のご注文について』と同一となります。
そのため、以降の情報は同一となります。

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログイン情報を搾取します。

■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

 

IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252

2018/06/05(火) 『のご注文について』の調査

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。
bebloh取得から先は別件名と同一の動きとなります。

 

■日時
2018/06/05(水) 16:55頃 - 17:10頃

■件名
のご注文について

■本文
JC3によると以下です。

f:id:bomccss:20180610162555p:plain

添付ファイル
nnnnnn.(※).nn.xls
(※)ユーザー名、nnnnnnは数字6桁、nnは数字2桁
https://www.hybrid-analysis.com/sample/fa98832efd63fe8021c421b3ed47f818bb2db21b526928cb97489be79cd98514?environmentId=100

 

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
beblohと呼ばれるダウンローダマルウェアです。
この取得先は同日に配布のあった別件名『請書及び請求書のご送付』『RE: 請求書XLSについて』と同一となります。
そのため、以降の情報は同一となります。

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログイン情報を搾取します。

■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

 

IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
fa98832efd63fe8021c421b3ed47f818bb2db21b526928cb97489be79cd98514
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252

2018/06/05(火) 『請書及び請求書のご送付』『RE: 請求書XLSについて』の調査

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。
配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5~1/10程度と少量です。

 

■日時
2018/06/05(火) 15:15頃 - 16:35頃

■件名
請書及び請求書のご送付
RE: 請求書XLSについて

■本文

f:id:bomccss:20180610152629p:plain


■添付ファイル
(nnnn)_サービス㈱様(請求書).xls
nnnnは任意の数字4文字
添付ファイルは複数のハッシュのものがあるようです。
https://www.hybrid-analysis.com/sample/df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402?environmentId=100
https://www.virustotal.com/#/file/df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402/analysis/
https://www.virustotal.com/#/file/a6203a6b3163b65c726df6f62cf47ce00a376ba6e3336b25eb120f7dd046bc32/detection

f:id:bomccss:20180610152313p:plain


■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
https://www.virustotal.com/#/file/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/detection
beblohと呼ばれるダウンローダマルウェアです。

f:id:bomccss:20180610155423p:plain

beblohはexplorer.exeを起動し、そこにインジェクションします。

beblohが起動したexplorer.exe(PID=1044)のメモリ領域に実行ファイルがあること、explorer.exeが外部と通信するのがわかります。 

f:id:bomccss:20180610155813p:plain

f:id:bomccss:20180610155827p:plain


■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログインを盗んだりします。
今回、beblohがursnifを取得するパスがリクエストを出す際はhttpで通信が発生しますが、サーバ側でhttp→httpsへリダイレクトしてそこからursnifを取得しています。
これは、https化することで通信内容を隠し見つけづらくする意図があるものと思われます。

f:id:bomccss:20180610161018p:plain

ursnif実行後、cmd.exeから様々なコマンドを実行し端末の情報を収集し、makecab.exeで圧縮して情報をC2に送ります。

f:id:bomccss:20180610160347p:plain

ursnifは自動起動の設定を以下に残します。

f:id:bomccss:20180610161226p:plain


■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com
beblohの取得先、C2ともに以下のIPです。これは先週の配布と同一のIPです。
https://www.virustotal.com/#/ip-address/47.91.56.122
beblohの取得先に使われるもう一つのIPも過去の配布で使われたドメインに紐付いています。
https://www.virustotal.com/#/ip-address/95.213.237.119


IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402
a6203a6b3163b65c726df6f62cf47ce00a376ba6e3336b25eb120f7dd046bc32
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。
この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。
5/30(水)よりは件数は多いですが、楽天を騙ったメールのタイプに比べると配布される数は1/10程度です。


■日時
2018/05/31(水) 15:00頃 - 17:05頃

件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)、5/30(水)と同一です
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件

■本文

f:id:bomccss:20180605150736p:plain


■添付ファイル
(n)_nnn.201805請求データ.xls
nは任意の数字1文字、nnnは任意の数字3文字です。
※添付ファイルのネーミングルールのみ、変化しています。

https://www.hybrid-analysis.com/sample/58413c10a54a4b9b3c897b4d250492ebeade0a528ab9ecdf8f6de6c79bb14822?environmentId=100

f:id:bomccss:20180605150802p:plain

■通信一覧

f:id:bomccss:20180605150845p:plain

マルウェアの動きf:id:bomccss:20180605151530p:plain

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生します。
hxxp://monerotan[.]com/ieprotocol
47.91.56[.]122
47.91.44[.]13
95.213.236[.]72
https://www.hybrid-analysis.com/sample/d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c?environmentId=120
beblohと呼ばれるダウンローダマルウェアです。
今回、一度目の取得の際に理由は不明ですが失敗しています。その後、約8分後に再び同じファイルを取得しそこで感染しています。
取得するドメインは前日と同じですが、IPは変化しています。これは、再度の配信に合わせて変更している可能性があります。
https://www.virustotal.com/#/domain/monerotan.com

f:id:bomccss:20180605151625p:plain

なお、その後6/3に変更されていますが、6/5時点では配信を確認できていません。
ieprotocolファイルは自身のコピーを8880515.exeという名前でデスクトップ上に作成し、その後explorer.exeを起動し、そこにインジェクションします。

f:id:bomccss:20180605152630p:plain
※他のoffice系ファイル等はおとりファイルです。
explorer.exeのメモリ内を確認すると実行プログラム(MZから始まるバイナリ)があることが確認できます。

f:id:bomccss:20180605152747p:plain

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとursnifがダウンロードされます。
hxxp://brightonline[.]org/mrt_ms.exe
50.87.150[.]249
https://www.hybrid-analysis.com/sample/86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad?environmentId=120
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログインを盗んだりします。
こちらは前日と同一ハッシュのursnifです。
ただし、前日30日に配信があったメールの添付ファイルを実行しbeblohでursnifを取得したのが、31日の不審メールの配信があってからのため、前日分の調査の際に31日分のファイルを取得した可能性もあります。
そうであれば、beblohはどんなファイルから感染してもそのタイミングでは一つのファイルしか取得しない可能性があります。
その観点で数日間実行してみましたが、同じハッシュのursnifに感染していました。ただし、その間に再びbeblohの配布はありませんでした。もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組みが推察できそうです。同じファイルを取得するのであれば一つのbeblohのハッシュに対し取得するファイルが決まっていそうですし、別のファイルを取得するのであればbeblohは時期によってbebloh全体で取得するファイルが決まっていると言えそうです。
ursnifは自身のコピーをC:\(users)\AppData\Roaming\api-clen\AudiCore.exeにコピーします。

f:id:bomccss:20180605153358p:plain

※hybrid-analysisのファイル名がbeblohから取得したmtr_ms.exeでないのはursnifが感染完了後のファイルをアップロードした為です。beblohからダウンロードしたmtr_ms.exeも感染完了後のAudiCore.exeも同一ハッシュです。
ursnifはexplorer.exeにインジェクションしています。explorer.exeのメモリ内に含まれる文字列で例えばhttpで検索してみると、C2の接続先URLが判明します。

f:id:bomccss:20180605154214p:plain

f:id:bomccss:20180605154435p:plain

以前はC2との通信がhttpであった為、アクセスするパスが簡単にわかりましたが、5月頃からhttpsでの通信に変化したため、こういった形で調査をしないとパスまでは判別しません。
なお、これらはexplorer.exeのheap領域に存在します。
過去のursnifやbebloh(今も)はメモリ領域のprivate領域に実行権限がRWXの状態で存在しており、通常この権限の領域はあまり見ないため判別することが可能です。以下は今回のbeblohのものです。

f:id:bomccss:20180605155119p:plain
こういった実行形式が変化しているせいか、JC3のDreamBot・Gozi・Ramnit感染チェックサイトでは判定できていません。
https://www.jc3.or.jp/info/dgcheck.html

f:id:bomccss:20180605155420p:plain


■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com


IoC
○URL
hxxp://monerotan[.]com/itunesync
hxxp://brightonline[.]org/mrt_ms.exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
47.91.44[.]13
95.213.236[.]72
50.87.150[.]249
○HASH(SHA256)
c95c3388d9a36bb1c9362195b321ed4e0728eb69424422187e976597b33425b5
d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c
86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad