シンクホールによるursnif(B)の感染端末の分析
前記事の通り、シンクホールによりursnif(B)の観測を行っています。
ursnif(B)のシンクホール化を初めたのは2/25からとなります。それ以降の約1ヶ月で分析できた内容についてとなります。
※環境を整えながら観測をしているため、一部結果に不備があります。
■アクセス数
日次のアクセス数は以下となります。
DGAのため、ドメインが一定日数で変わるため、ドメインを併記しています。
当初は4,000件くらいでしたが、3/6まで徐々に減少しているのは、観測基盤の設定ミスによるものです。
基盤のエラーによりIPを拒否リストに入れてしまっていた為減少しているようになっていますが、実際のアクセス数は3/7以降のものに近いです。
また、3/16以降に件数が減少しているのは、他にもDGAのドメインを取得した人が出た為であり、アクセス先ドメインが増えた事により1端末からの通信数が減ったものと考えられます。
■ユニークアクセス数
日次のアクセス元IPのユニーク数です。
3/6以前は総アクセス数で述べた通り、基盤の設定ミスにより参考値となります。
日によりアクセス数が上下しますが、感染端末が起動する日にばらつきがあるということ以外に、感染端末がDHCPを使っている環境にあることが考えられます。
端末を持っての移動が多い日にはIP数が増加している可能性があります。
感染数としては、200端末程度かと考えています。
なお、総アクセス元IP数としては1500IPを超えます。
■アクセス元IP
アクセスしてくるIPを見ると、大半は日本国内です。
そのIPはほとんどがISPのもので、恐らくは個人の端末や中小企業の端末が感染していものが多いのではないかと考えられます。
また、一部は中国やフランス等からのアクセスもあり、攻撃者や別の観測者による調査と思われるアクセスとも考えられます。
■アクセスにより分かる情報
ursnifはC2サーバにGETリクエストを送る際に、パスに複数の情報を付加します。
正確な意味は不明で推測するしかありませんが、以下のような情報です。
soft=1
version=216996
user=(32桁の16進数)
server=12
id=201810
crc=(8桁の16進数)
ip=xxx.xxx.xxx.xxx
os=6.1_1_7601_x86
softとversionはほぼ上記で一部soft=3,version=216062の組み合わせがありました。
serverは12固定で、攻撃者のグループIDのような扱いなのかと思われます。
userは感染端末により固定と思われますが、法則性等は不明です。このパラメータは200種類以上見られたため、感染端末もその程度存在するかと思われます。
idは201810、2018101、2018122、1000、99999がありました。これは攻撃キャンペーンIDと考えられます。
2018年10月のばらまきメールの検体は201810か2018101、12月のばらまきメールの検体は2018122でした。この攻撃グループの全てのマルウェアからidを取得できてはいないため、情報を持っている方がいましたら頂けると通知の助けになります。
ipは実際のアクセス元IPとは異なるケースがありました。これはマルウェア感染時に端末のIPを引く挙動をとるのですが、その際に取得した感染時のIPと思われます。
osはWindowsOSのバージョンについての情報と思われます。32/64bitかも取得しています。
これらの情報を見ていると、一部は攻撃者や別の観測者による調査と思われるアクセスが散見されました。
■感染端末へのアクション
アクセス元IPについては、多いものから順に各種連絡先へと通知を行っています。
個人的な活動のため、全てのIPに対してアクションを取るという段階までは到底行かず、少しずつゆっくりと、という状況です。
それでも、通知することにより、既に10IP以上からアクセスがなくなっており、少しずつですが感染している端末を減らすことが出来ています。
今後も引き続き、感染IPの観測と通知を行い、マルウェア感染端末を少しでも減らす努力をしていきます。
また、シンクホールのドメインも日本を標的としたばらまき系のドメインを中心に継続して増やし、様々な感染被害の特定・連絡を行っていきます。
以上
シンクホールの運用について
これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。
これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染してしまった端末を減らすべく、シンクホールの運用を始めました。
1.シンクホールの運用
1-1.シンクホールとは
マルウェアは通常、命令を受け取るためにC2と呼ばれる攻撃者が用意したドメインにアクセスします。
マルウェアの中には、予めプログラムによって複数のドメインにアクセスするよう設定されているものがあります。
シンクホールとは、このC2のドメインのうち、攻撃者が取得していない、または放棄したドメインを主にセキュリティの専門家が取得し、攻撃に利用できなくなったドメインのことを指します。
1-2.シンクホール運用の目的
シンクホールを運用する目的は、主に無害化と感染の特定です。
シンクホール化することで、そのドメインは攻撃には使用できなくなります。(ただし、C2が複数ある場合には全部をシンクホール化しないと全てが無害化される、とは言えない点は注意が必要です。)
シンクホールにアクセスがあったIPはそのC2ドメインに対応したマルウェアに感染している可能性が非常に高いと言えます。
そのため、シンクホールの運用者はアクセスのあったIPの使用者に対して連絡をし、マルウェア感染の連絡と駆除を依頼します。
そうすることにより、マルウェアに感染している者を減らすことが、シンクホールの運用者の目的です。
また、アクセスログを分析することにより、攻撃のより詳細な手口を分析することも目的の一つです。
1-3.シンクホールの対象としたドメイン
今回、こちらで運用するシンクホールが対象としているドメインは主に不正送金マルウェアursnifに関連するものです。
特に、楽天を騙ってリンク付きの不審メールをばらまいていた、ursnif-Bと分類されるもので、2018年10月以降にばらまかれたものが対象となります。
対象となるマルウェアは過去に以下の様なメールによってばらまかれていたものです。
https://bomccss.hatenablog.jp/entry/2018/12/14/134301
この時期のursnif-BはDGAと呼ばれる手法により、一定期間毎に複数の定められたドメインをC2として使います。
この複数のドメインのうち、攻撃者が取得していないドメインをシンクホールの対象とすることで、感染しているIPを観測します。
マルウェアが利用するドメイは一定期間毎に変わるため、シンクホールするドメインも都度追加しています。
シンクホールするドメインは全て以下のIPに紐づけています。
https://www.virustotal.com/#/ip-address/133.18.169.139
※なお、このursnif-Bと分類される攻撃者は3月時点でドメインの取得を行っておらず、攻撃を行っていない可能性があります。
ただし、攻撃者がドメインを取得することですぐに攻撃を行えるため、引き続き注意が必要です。
2.観測しているマルウェアについて
2-1.不正送金マルウェアursnif
ursnifは銀行口座と認証情報を取得することで、不正送金を行うことに利用されるマルウェアです。
銀行のインターネットバンキングにログインする際にIDとパスワードをキー入力情報から取得したり、カード会社の偽のログイン画面を表示することで暗証番号を取得したり、という行為を行います。
日本はターゲットとして狙われており、主にメールのばらまきによって、感染を狙っています。
メールは楽天を騙ったものや請求書を騙って送られてきます。
ursnifの概要については以下を参照ください。
参考: https://www.jc3.or.jp/info/malware.html
2-2.ursnif感染端末の特徴
ursnifに感染した端末の特徴は以下になります。
・C2宛通信はURLに「/images/」や画像の拡張子「.bmp」、「.gif」、「.jpeg」を含む(ProxyなどのWebアクセスログから確認可能)
・端末内のテンポラリ領域「%AppData%\Local\Temp」に「*.bin」として窃盗情報が残っていることがある。
・端末の起動時に自動起動する設定としてレジストリキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に「%AppData%\」配下のプログラムを実行する設定がされる。
自分の端末がursnifに感染しているかをチェックするサイトがあります。ブラウザで以下にアクセスし、「感染チェック」ボタンをクリックし、赤い×が出たら感染しています。
2-3.マルウェアursnifの駆除
マルウェアursnifを駆除するには、先に述べたレジストリキーとその値のファイルを削除してください。
なお、マルウェア本体を削除するにはwindowsをセーフモードで起動してから削除する必要があります。
念の為、アンチウイルスソフトでPC全体をスキャンしてマルウェアがないことを確認ください。
また、マルウェアによりPCで入力したID/PWが漏れている可能性がありますので、変更することを検討ください。
3.感染端末の特定手法
3-1.感染元IPの特定
シンクホールのドメインに対してアクセスがあったIPのうち、ursnifの特徴となる/images/へのアクセスがあったIPを感染端末として判別しています。
3-2.感染IPの所有者への連絡
アクセスのあったIPについて、whoisやnslookupにより、感染しているIPの所有者の特定を行います。
特定が可能であれば、以下の順で所有者に対して連絡を行います。
・ 所有企業(あればCSIRT窓口宛に連絡)
・ISP Abuse窓口(ISPで契約者を特定しマルウェア駆除依頼を行ってもらう)
・JPCERT/CC(インシデントとして報告し、対応してもらう)
上記の手法により、マルウェア感染の特定とマルウェア駆除依頼を行うことで、マルウェアに感染してしまった端末を一つでも減らす努力を行っていきます。
以上
2019/03/06(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査
2019/03/06 16:30頃より 不審メール のばらまきを確認しています。
添付のxlsファイルを日本語環境下で開くと、ダウンローダ型マルウェアbeblohに感染することを確認しています。
beblohからursnifへ感染するという報告も確認しています。
■日時
2019/03/06 16:30~
■件名
【仮版下送付】
【電話未確認】
2019ご請求の件
Re: 2019ご請求の件
FW: 【再送】2019/2
※指定請求書
※注文書、請書及び請求書のご送付
※は-、Fw:、Fwd:、Re:、がつく場合があります。
■本文
※ランダムに作成されるもののうちの一例です。
詳細は以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201903.html#d20190306c
■添付ファイル名:
・nnn_資料_nnnn.XLS
※nnnは数字3桁、nnnnは数字4桁
・(nnnnn)-(nnnnn)_3.2019_n.XLS
※nnnnnは数字5桁
https://app.any.run/tasks/2aa82cd3-7c60-4ada-b999-3b3504cab7e0
https://www.virustotal.com/#/file/23e85ee19a2f46f4f462e72995b6a91616ea2f315908c1566c36cd0afc3aa200/details
・2019.(nn-nnnnn)-(nn-nnnnn)_.xls
※nn-nnnnnは2桁-5桁ランダム
https://www.virustotal.com/#/file/242e2204916bed88b609de716c73bbae757efb29dae863e66c5692682d47adc2/details
・3.2019(nnnnn).nnnnn.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/66242a82beff9eedc3d61d04e8dc90369660f4d541269f40fdd1dd336f3ebd35/details
今回もxlsのマクロ内でxlCountrySettingをチェックしていますので、日本語環境でのみ動作するものと思われます。
■通信先
・ステガノグラフィの取得先(正規サイト)
・stage 1
hxxps://mger[.]co/img/bycYJ.png
hxxp://images2.imagebam[.]com/34/7d/0b/39d26e1152285004.png
hxxps://images2.imgbox[.]com/aa/36/95SxVQiA_o.png
・stage 2
hxxps://i.postimg[.]cc/kn50Ph3h/6A.png?dl=1
hxxps://i.imgur[.]com/wRli0qz.png
・stage 3
hxxps://images2.imgbox[.]com/25/39/dMnX3Y3Q_o.png
hxxps://i.imgur[.]com/vwN9O7y.png
■プロセスの動き
Excelからwmic.exeを実行し、その後プロセスツリーが途切れた先になりますが、wmiprvse.exeからPowerShellを実行し、新たに立ち上げたexplorer.exeに作成したdllをインジェクションして実行します。
■C2
C2ドメインは以下です。
・bebloh
baderson[.]com
・ursnif
mopscat[.]com
※2/28から変更なし
なお、ursnifはbeblohがスクリプトをダウンロードして端末上でコンパイルして作成されると思われるため、同一の動きを行うものでも無数のハッシュ値を持つことになるため、注意が必要です。
2/28のursnifの検体を3つ確認しましたが、どれもタイムスタンプのバイトだけが異っていました。
※beblohのDGAドメイン(ほぼ未取得)
baderson.com
1ihrg2q4miuq2r.net
1onuubqj5c.net
2mz4etpivhbecj.com
312gkrp4cn.com
33jmkzrq13b.net
33og3xxrali.com
42cgrjzhxj9az.net
4cmsktujyj.net
4g2d2r53egq.net
4ha44hgxshl.net
5ackl3pdpl.net
92y9txj9w3f5ik.net
9aovmfdce2l1p.com
9iud9zvktd.com
aundt2fwtyf.net
b19h2kliyl.com
bsup2uomsmrg.net
ckh4t2i91ry1ab.com
daw1pd939tqnck.com
doulirs1kvv.com
efucesmlorwj.com
gamdbdzmj5.net
gwxwxqeftygifz.net
gxx1xr4q2gz.net
i3rvi45oa4ngkh.net
ivv2xpdlkg.com
jczmfnhjioc.net
kbqrgzrpxvp.net
klh5izd12czwkp.net
ltmkk3p4sz4.com
m1hgx9mqrpz.com
m4c4yhi5x5c.com
midvk94iu2lq1f.net
mujydb9hfdg1l.net
netmidvk94iu2lq1f.net
ohmcu9rdmom.net
oujhubcagparo.com
pn54kxvzc9srhm.com
qb5mhrr2mtzv.com
rcantwu9hxhygn.com
rvkdbirfxwwh.com
ry33yxwofw.com
sjbiuodqg3q1.net
tessq3rnx1b9.com
tq322zs1hthe.com
vg3yfaru4nib.net
vvn9lj4b4v.com
w3le251k91yoe9.net
w9gcdir1fnc.com
whel94yvk25y34.net
woto932zqrv4y2.com
