bomb_log

セキュリティに関するbom

2019/05/30(木) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

久しぶりに、1週間に二度、bebloh->ursnifの不正送金マルウェアへの感染を狙ったメールのばらまきを観測しました。
先週にはメールのばらまきがなかった反動かもしれません。
今回は2種類の件名、3種類の添付ファイルがありますが、どれも同じ通信先へ接続します。

 

■日時
2019/05/30(木)

 

○15:00頃-
■件名
FW: 【(株) . 】
FW: 【重要連絡】
お支払案内書
5/30送り状No報告
5月請求書の件
0nnnn発注分

■添付ファイル
請求書_00nnnnn.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/6f1bcd419a827a9dbdbfef3dfd228d75fdb9844a58f62c9d7a1584dbfb18046a/details

f:id:bomccss:20190602223322p:plain


○16:00頃-
■件名
申請書類の提出

■添付ファイル
D O C 00nnnn nnnn2019nnnnn.xls
https://www.virustotal.com/#/file/75d36c18778804666ea78c47498ea7e4e29e788d36866bcbd35db32d64ba2fc5/details

f:id:bomccss:20190602223340p:plain

 

○17:20頃-
■件名
FW: 【(株) . 】
FW: 【重要連絡】
お支払案内書
5/30送り状No報告
5月請求書の件
0nnnn発注分

■添付ファイル
30052019nnnnnnnn.xls
※nnnnnは数字8桁
https://www.virustotal.com/#/file/042af9f28133aedbd4cb819eec856ccfb9efcf25976aac3ff479d589d9db26bf/details

f:id:bomccss:20190602223359p:plain

 

添付ファイルのExcelにはマクロが付いており、外部からマルウェアをダウンロードしてくるダウンローダです。

通信先は以下です。

 

■通信先(ダウンローダ通信先)
hxxps://berdiset[.]top/uploads/QuotaManager
ダウンローダマルウェアbeblohの実行ファイル(.exe) 
端末上ではOutlooksrss.exeとして実行されます。

ダウンロードした日により、hashは異なります。
・2019/05/30
https://www.virustotal.com/#/file/79fca0988013c19b6bff7d664a033a454e447c3efffebff72a8f913cadd246be/details
・2019/05/31
https://www.virustotal.com/#/file/07c7ec61d9e4fe3af22a80fa206a019ed490aa37a1c1f6c46c3563701adc0510/details

■通信先(bebloh C2)
hxxps://berdiset[.]top/
C2への通信は以下のように出ます。通信先のパスは/auth/配下はランダムです。

f:id:bomccss:20190602223936p:plain


■通信先(bebloh取得ファイル)
beblohにより、以下のファイルがダウンロードされます。
・2019/05/30
hxxp://berdiset.top/uploads/orders.rar
・2019/05/31
hxxps://berdiset.top/uploads/tao.zip
※どちらも圧縮ファイルや実行ファイルではない
 beblohはこれを利用し、不正送金マルウェアursnifを作成、感染させます。
beblohからダウンロードの命令が来る場合は以下のようになります。

f:id:bomccss:20190602224323p:plain

参考:bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

 

■ursnif
beblohにより不正送金マルウェアursnifが作成されます。
なお、作成されるマルウェアは環境によりタイムスタンプが異なるためハッシュが異なります。
以下3つのursnifはそれぞれ同じ環境上で別の時刻で作成されたものです。どれもタイムスタンプが異なるのみで、その他の部分は同一です。
https://www.virustotal.com/#/file/93016ae82d67bc8ea3d89958104d6f2024f317cbb8a272fcb628f19914b00b73/detection
https://www.virustotal.com/#/file/7887cc4d577a1559525b30466cd3a31737dbaedf07968328f244d09e7d0d329c/detection
https://www.virustotal.com/#/file/1eca399763808be89d2e58e1b5e242324d60e16c0f3b5012b0070499ab482510/detection
https://app.any.run/tasks/633b6072-a15c-407d-a070-28db2679dc0d/

 

■ursnif C2
hxxps://paderson.top/

 

■ursnifコンフィグ
コンフィグは以下です。
・Serpent Key: CBA17F7E892431A1
Bot version: 3.00.05.4
・Botnet id=1000
・C2 Domain: pilodirsob.com
・C2 server ID: 12
・Soft: 1
(参考)https://pastebin.com/CTeH9XZP

 

■ursnifの永続化
ursnifは再起動後も動作するよう、以下に設定を残します。
環境により保存先フォルダ名、ファイル名は異なります。
また、設定は通常時は存在せず、PCのシャットダウン処理中にファイルとレジストリキーが作成されます。PCが起動しursnifが自動実行された後にはファイルとレジストリキーは削除されます。

f:id:bomccss:20190602225128p:plain
f:id:bomccss:20190602225206p:plain
f:id:bomccss:20190602225215p:plain
f:id:bomccss:20190602225223p:plain

 

■プロセスの動き
Excel -> wmic.exe -> wmiprvse.exe -> PowerShell.exe -> bebloh.exe -> bebloh.exe(コピー) -> explorer.exe(32bit)(bebloh感染) -> cmd,exe -> chcp.exe , wmic.exe -> ursnif.exe -> ursnif.exe(コピー) -> explorer.exe(64bit) -> explorer.exe(インジェクション)(ursnif感染) -> cmd.exe , systeminfo.exe , net.exe , nslookup.exe , tasklist.exe , driverquery.exe , reg.exe , reg.exe , makecab.exe

f:id:bomccss:20190602225327p:plain
f:id:bomccss:20190602225338p:plain


■通信先一覧
通信先はbeblohと(bebloh感染後のnet確認のgoogleと)ursnifのC2です。
なお、この日からC2通信先のドメインがこれまでの.comから.topに変わりました。
f:id:bomccss:20190602225836p:plain

 


マルウェア感染有無の確認
C2サーバへの通信がないか、確認します。ursnifのC2へのアクセスは/images/配下のパスで.gif、.jpeg、.pngへのアクセスになります。
また、ursnifは一定時間毎に%Temp%配下のフォルダ(通常C:\Users\(UserName)\AppData\Local\Temp)にランダムな4桁.binというファイルを作ります。インターネットに接続しない状態でそういったファイルが作られないか確認します。


マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。

・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。

 

以上

2019/05/27(月) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

5/7から20日ぶりにbebloh->ursnifへの感染を狙ったバラマキメールを観測しました。
今回は3種類の件名、添付ファイルがありますが、どれも同じ通信先へ接続します。

 

■日時
2019/05/27(月)

○16:00頃-
■件名
FW: 【再送】2019/2
【仮版下送付】
【電話未確認】
(※)2019ご請求の件
(※)指定請求書
(※)注文書、請書及び請求書のご送付
(※)はなし、-、Fw:、Fwd:、Re:、RE:のどれか

■添付ファイル
5.(nnnnn)-nnnnn.xls
※nnnnnはそれぞれ数字5桁となります。
https://www.virustotal.com/#/file/531f1134ab8e3cdab18c02af57cd6e64843e696dece9aef0aa88910f3914b0c7/detection
https://app.any.run/tasks/369bfef9-226f-44d4-8f37-b21efce10e31/

f:id:bomccss:20190602122435p:plain

 

○17:10頃-
■件名
修正版
出荷明細添付
紙看板送付の件
券類発注書
(修正依頼)
発注分 追加

■添付ファイル
D O C N.nnnnnn 2019_05.XLS
※nnnnnnは数字6桁
https://www.virustotal.com/#/file/cb0b8a2c1ca33d89a2181e58a0948bd88f478a39af45d0b54c53913cd89a5aba/details


○19:10-
■件名
写真添付
写真送付の件

■添付ファイル
2019_nnnnn_mmmmm.xls
※nnnnn,mmmmmは数字2-5桁
https://www.virustotal.com/#/file/da8ed41834d775e686ce129518e23b9e5f6fb74dc0a55f66d2242862566a3cf0/details

 

添付ファイルにはマクロが付いており、外部からマルウェアをダウンロードしてくるダウンローダです。
通信先は以下です。


■通信先
hxxps://paterdonga[.]com/uploads/HelpPaneS
※exe形式のbebloh
 2019/05/07ではステガノグラフィからDLL版のbeblohを作成していましたが、再び直接exe形式のbeblohをダウンロードするように動作が変わりました。

https://www.virustotal.com/#/file/6d0728bb6e334f39e683f192d8e2c56b4b13f301263f8b33483c5be038145a65/details
https://www.virustotal.com/#/file/c992a52900003887c978ef4de356678990a8e9182902aa58f28d602ac95a8408/details
ダウンロードした日により、hashは異なりました。1つ目:2019/05/27。2つ目:2019/05/28。

 

■通信先(bebloh C2)
hxxps://paterdonga[.]com/
C2への通信は、以下のように出ます。通信先のパスは/auth/配下はランダムです。

f:id:bomccss:20190602214856p:plain

 

■通信先(beblohが取得するファイル)
beblohにより、以下のファイルがダウンロードされます。
・2019/05/27時点
hxxps://paterdonga[.]com/uploads/sales.rar
・2019/05/28時点
hxxps://paterdonga[.]com/uploads/sony.rar
※どちらも圧縮ファイルや実行ファイルではない
 beblohはこれを利用し、不正送金マルウェアursnifを作成、感染させます。

beblohからダウンロードの命令が来ない場合は以下のような命令です。

f:id:bomccss:20190602215054p:plain

beblohからダウンロードの命令が来る場合は以下のような命令です。

f:id:bomccss:20190602215116p:plain

参考:bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

■ursnif(サンプル)
beblohにより作成されるursnifはタイムスタンプが異なるため環境によりハッシュが異なります。
https://www.virustotal.com/#/file/7564942346e166ff21e2e4cb7a07a290b2e3418e639645f17b9ea0d7d7ba5cc4/details
https://app.any.run/tasks/6594fccd-dcfa-41ac-ab44-89b0670ca198/

・version=300054
・id=1000

 

■通信先(ursnif C2)
hxxps://pilodirsob[.]com

 

■ursnifの永続化
ursnifは再起動後も動作するよう、以下に設定を残します。
環境により保存先フォルダ名、ファイル名は異なります。
また、設定は通常時は存在せず、PCのシャットダウン処理中にファイルとレジストリキーが作成されます。PCが起動しursnifが自動実行された後にはファイルとレジストリキーは削除されます。

f:id:bomccss:20190602222117p:plain

f:id:bomccss:20190602222131p:plain

f:id:bomccss:20190602222139p:plain

 

■プロセスの動き
Excel -> wmic.exe -> wmiprvse.exe -> PowerShell.exe -> bebloh.exe -> bebloh.exe(コピー) -> explorer.exe(32bit)(bebloh感染) -> wmic.exe -> ursnif.exe -> ursnif.exe(コピー) -> explorer.exe(64bit) -> explorer.exe(インジェクション)(ursnif感染) -> cmd.exe , systeminfo.exe , net.exe , nslookup.exe , tasklist.exe , driverquery.exe , reg.exe , reg.exe , makecab.exe

f:id:bomccss:20190602220424p:plain

f:id:bomccss:20190602220435p:plain

 

■通信先一覧
通信先はbeblohと(bebloh感染後のnet確認のgoogleと)ursnifのC2です。

f:id:bomccss:20190602221820p:plain

マルウェア感染有無の確認
C2サーバへの通信がないか、確認します。ursnifのC2へのアクセスは/images/配下のパスで.gif、.jpeg、.pngへのアクセスになります。
また、ursnifは一定時間毎に%Temp%配下のフォルダ(通常C:\Users\(UserName)\AppData\Local\Temp)にランダムな4桁.binというファイルを作ります。インターネットに接続しない状態でそういったファイルが作られないか確認します。


マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。

・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。

 

以上

2019/05/22(水) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査

5/21に続き、不正送金マルウェアursnifへの感染を狙った不審メールのばらまきを観測しています。

 

■日時
2019/05/22 8:00頃-

 

■件名
Fw:

 

■メール送信者(HeaderFrom)
"Akira Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。

 

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。

 運送状況を、お知らせ致します。

 ご注文番号:1561768
 ----------------------------------------------------
 運送会社:佐川急便

 詳細状況は添付資料にて送りますので、ご確認ください

 Akira Suzuki

 +81 (ランダムな9桁の数字)」

 

■添付ファイル
様々なファイル名を観測しています。圧縮ファイル(.zipまたは.rar)の中に含まれる.vbsファイルがダウンローダです。
・1.doc.zip -> 1.doc.vbs
https://www.virustotal.com/#/file/1c784c420efcda73d2f429c4532c95989b2d81b88e5ed0a21b33b53458ec2274/detection
・New_Document.zip -> New Document.vbs
https://www.virustotal.com/#/file/c763c6f49a2aea3f7cbaafeae8ee433470fa52a0f2fe457f19ee829c6a015d07/detection
・1.doc.rar / 1.doc.vbs
invoice.zip /invoice.vbs

これまで来ていたjs形式のダウンローダは前日で終わりました。前日にはjsファイルとvbsと双方をばらまいており、vbsファイルへの切り替えのテストだったのではないかと考えられます。

 

■通信先
ダウンローダのvbsファイルを実行すると、以下のファイルを取得します。
・ダウンロード
hxxp://wex-notdead[.]ru/1.doc
サイト上には.docファイルで存在していますが、実際には実行ファイルです。
サンドボックスで直接URLをスキャンされた際に.docファイルとして動作させることで検知回避を行うことを目的として拡張子を偽装しているものと考えられます。
ダウンローダから実行した場合には、ダウンロード後にファイル名を変更して実行します。
同じURLでも時間帯によってハッシュが変わっているのを観測しています。

https://www.virustotal.com/#/file/e48a698a3b778afeb0aab38e3311e5644af17c2fb58b06e03b9de3a23922d13c/details
https://www.virustotal.com/#/file/2b330d2eea637a524621dca0b18db45b53d7542d21323afed1f454f3437c4d3e/details
https://app.any.run/tasks/f663f558-ce8a-459f-ae5b-a8db9b1b73db

この実行ファイルは不正送金マルウェアのursnif(Dreambot)です。

 

■通信先
ursnif感染後の通信先は以下です。
・初期通信
hxxp://curlmyip.net
 ※接続しているIPを調査するための通信。一度のみ発生。
・追加ファイル取得の通信
hxxp://11totalzaelooop11[.]club/jd/t32.bin
  ※IP未割り当てのためDNS通信のみ発生し接続できない。64bit環境ではt64.binへ接続
・C2
hxxp://adonis-medicine[.]at/images/~省略
 ※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png等で定期的に発生

 

■プロセス
ursnifが実行されると、control.exe -> rundll32.exe -> Explorer.exe と遷移し、Explorerにインジェクションした状態でursnifが動作します。

f:id:bomccss:20190530032547p:plain

感染後はcmd.exe やnslookup.exeによる感染端末のIPの確認などが行われます。

■ursnifコンフィグ
前日までのばらまかれていたものと、コンフィグが変更されていました。
グループIDがこれまでの1002から1010へと変更しています。
・Config
TOR Domains : hxxp://h33a7jzovxp2dxfg.onion
Domains : hxxp://adonis-medicine.at
DGA TLDs : com ru org
BC Timeout : 10
Tor32bit DLL URLs : 11totalzaelooop11.club/jd/t32.bin file://c:\test\test32.dll
Tor64bit DLL URLs : 11totalzaelooop11.club/jd/t64.bin file://c:\test\tor64.dll
IP Service :curlmyip.net
Server : 12
Encryption key : s4Sc9mDb35Ayj8oO
Timer : 1
ConfigFailTimeout : 300
Config Timeout : 300
Task Timeout : 300
Send Timeout : 300
Knocker Timeout : 300
DGA Season : 10
Botnet/GroupID : 1010
DGA Sead : 1
TimeoutTimer : 60
version=217068
f:id:bomccss:20190530031656p:plain

f:id:bomccss:20190530031703p:plain

 

■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

 

■ursnif感染後の無害化
ursnif感染後は上記自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体(レジストリの値のパスに存在する)の削除が必要となります。

 

 

以上