bomb_log

セキュリティに関するbom

2018/06/06(水) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 
この件名でのバラマキは5/11以来でした。
配信量は同件名で通常の1/3程度と少量でした。

 

■日時
2018/06/06(水) 14:55頃 - 17:10頃

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten.co.jp

■本文f:id:bomccss:20180618224628p:plain
 ■添付ファイル
なし 

■メール内リンクURL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
等、IPが185.236.202[.]149に解決されるドメインに誘導されます。
https://www.virustotal.com/#/ip-address/185.236.202.149

■ダウンロードされるファイル
リンク先URLにアクセスすると、ダウンローダスクリプトへリダイレクトされダウンロードされます。
Chrome等でアクセスするとダウンロードされるファイルは「楽天銀行の重要な情報.pdf.js」です。
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735?environmentId=120
IEでアクセスすると.zipファイルをダウンロードし、中にjsファイルが含まれています。

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ファイルを実行すると、以下のパスへアクセスし、不正送金マルウェアursnifを取得し実行します。
hxxp://bn.wonderingwriter[.]com/020.bin
https://www.hybrid-analysis.com/sample/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd?environmentId=120

マルウェアの動き
jsを実行すると、コマンドプロンプトからPowerShellが実行され、ursnifがダウンロードされ、実行されます。今回のケースでは020.binがリネームされ29021.exeとして実行されます。
その後29021.exeがcontrole.exeからrundll32.exeを実行します。
そこから先はプロセスの動きとしては追えないですが、挙動から最終的にはExplorer.exeにインジェクションしていました。

f:id:bomccss:20180618230653p:plain

■C2
ursnifが接続する先は以下の2種です。
設定ファイルを取得する先
hxxp://dwupg[.]icu
マルウェアが取得した情報を送信する先
hxxp://ne.winzzer[.]com

■通信の動き

f:id:bomccss:20180618231026p:plain

 

IoC
○URL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
hxxp://bn.wonderingwriter[.]com/020.bin
hxxp://dwupg[.]icu
hxxp://ne.winzzer[.]com
○IP
185.236.202[.]149
○HASH(SHA256)
fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735
601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査その2

以下の記事の続きになります。

bomccss.hatenablog.jp

 

前回調査をした際に、以下の疑問がわきました。

もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組みが推察できそうです。
同じファイルを取得するのであれば一つのbeblohのハッシュに対し取得するファイルが決まっていそうですし、別のファイルを取得するのであればbeblohは時期によってbebloh全体で取得するファイルが決まっていると言えそうです。

beblohは各検体毎に取得するマルウェアが決まっているのか、時期によってどのbeblohを実行しても同じマルウェアを取得するのか?

実際に、別のbeblohの配布が起きてから、古いbeblohを実行しどんなマルウェアを取得するかを検証しました。

■前回(5/31)取得先
hxxp://monerotan[.]com/ieprotocol (bebloh)
hxxp://brightonline[.]org/mrt_ms.exe (ursnif)

■実行結果

f:id:bomccss:20180610174217p:plain

f:id:bomccss:20180610174239p:plain

結果、xlsファイルが取得したbeblohは5/31のものと同じbeblohでしたが、beblohが取得したursnifは5/31のものではなく6/5のものと同じursnifでした。
また、beblohが初回にC2に通信を行った際にすぐに2度目のC2宛通信が発生し、その後すぐにursnifのダウンロードが発生しています。
そのため、beblohはC2からの通信でダウンロード先を取得していると推測でき、beblohは同じC2にアクセスするものは同一時期には同じダウンロード先を与えられると推測できます。

2018/06/05(火) 『2018.5月分請求データ送付の件.6月請求データ.xls』『6月分請求データ送付の件』『6月請求データ.xls』の調査

タイトルが長くなってしまいました。

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。
bebloh取得から先は別件名と同一の動きとなります。

 

■日時
2018/06/05(水) 17:40頃 - 18:50 頃

■件名
2018.5月分請求データ送付の件.6月請求データ.xls
6月分請求データ送付の件
6月請求データ.xls
※どれも件名の先頭に「.」「Fwd: 」「Fwd: Re:」「Re: 」「Re: Re: 」が付く場合があります。付かない場合もあります。

■本文

f:id:bomccss:20180610165023p:plain

■添付ファイル
nnnnn-6月請求データ.xls
nnnnnは数字5桁
https://www.hybrid-analysis.com/sample/638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113?environmentId=100

f:id:bomccss:20180610165251p:plain

添付ファイルにはマクロが付いています。

f:id:bomccss:20180610165425p:plain

f:id:bomccss:20180610165435p:plain

 

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
beblohと呼ばれるダウンローダマルウェアです。
この取得先は同日に配布のあった別件名『請書及び請求書のご送付』『RE: 請求書XLSについて』『のご注文について』と同一となります。
そのため、以降の情報は同一となります。

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログイン情報を搾取します。

■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

 

IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252