2019/05/21(火) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査
5/8にも発生していた、不正送金マルウェアursnifへの感染を狙ったメールのばらまきを5/21にも確認をしています。
このアクターは過去(2018年12月まで)に楽天をかたったメールのばらまきを行っていましたが、今回から再び、楽天をかたったメールをばらまくようになりました。ただし、以前と違って正規のメールとは程遠いため、怪しいと判断できる人は多いかと思います。
■日時
2019/05/21 8:00頃 -
■件名
Fw:
■メール送信者(HeaderFrom)
"Akira Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。
■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。
運送状況を、お知らせ致します。
ご注文番号:1561932
----------------------------------------------------
運送会社:佐川急便
詳細状況は添付資料にて送りますので、ご確認ください
Akira Suzuki
+81 (ランダムな9桁の数字)」
■添付ファイル
・document.zip -> document.js
https://app.any.run/tasks/19befd79-761f-403d-9b66-1c65a99557e4/
・doc2.vbs
https://app.any.run/tasks/bc8ed2a8-db62-4c26-8353-334269b74bcf/
・document.zip -> document.js
他 (参考 https://www.daj.jp/bs/d-alert/bref/?bid=24&year=2019&month=5)
1.doc.rar
1.doc.zip
1.rar
1.zip
2233.zip
2765.zip
96.zip
Document.zip
INVOICE.zip
doc2.zip
doc3.zip
document.zip
new document.zip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■ダウンローダ通信先
・ダウンロード
hxxp://www.binance-forever[.]ru/x.doc
https://www.virustotal.com/#/file/317348087d3800c7ae9a08704356adad19f625f664714cc36ec203650d6883cc/details
https://www.virustotal.com/#/file/74843b188abbd998b2f77c1cec4444b551dff65381016112454d8f764c05542c/details
https://app.any.run/tasks/fd1a5698-fb53-4ef3-bc3d-b1fbe104287d/
※実行ファイルであり、不正送金マルウェアのursnifです。
■ursnif通信先
感染後の通信先は以下です。
・初期通信
※接続しているIPを調査するための通信。一度のみ。
hxxp://curlmyip.net
・追加ファイル取得の通信
※IP未割り当てのためDNS通信のみ発生し接続できない。64bit環境ではt64.binへ接続
hxxp://11totalzaelooop11[.]club/jd/t32.bin
・C2
※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png等で定期的に発生
hxxp://adonis-medicine[.]at/images/~省略
※4/15から来ているのと同じC2通信先です。
■Webインジェクション対象
Webインジェクションの対象となるサイトの情報も取得できました。
今回確認したところ、昨年7月頃と比較し、国内の対象サイトは大きな変化は見られませんでした。
対象となっているのは、銀行77サイト、カード会社12サイト、仮想通貨事業者6サイト、Googleアカウント、アマゾン、paypalでした。
また、何故か日本のサイト以外に、イタリア11サイト、ブルガリア11サイト、ポーランド8サイトが含まれていました。
昨年分析していた際には、日本国内のサイトのみの設定となっていました。
どうやら現在ではどこの国に対しても同じ対象サイトの設定を与えているものと考えられます。
■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。
■ursnif感染後の無害化
ursnif感染後は上記自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体(レジストリの値のパスに存在する)の削除が必要となります。
以上
2019/05/08(水) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査
4/25にもあったばらまきと同様、5/8にもursnif への感染を狙ったも不審メールのばらまきを観測しています。
■日時
2019/5/8 11:30 -
■件名
Fw:
■メール送信者(HeaderFrom)
"Takashi Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。
■本文
添付ファイルがパスワードが付いていないものといるもので、2パターンを観測しています。
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください
Takashi Suzuki」
本文の添付ファイルはパスワード(123456)付きでした。
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください
アーカイブ されたファイルのパスワードは123456です。よろしくお願いします。
Takashi Suzuki」
本日は前半にパスワードなしのものを、後半にパスワード付きのものをばらまいていたのかもしれません。パスワード付きのパターンは16:00頃まで受信を確認しています。
■添付ファイル
doc.rar -> 1.doc.js
doc.zip -> 1.doc.js
1.rar -> 1.js
1.zip -> 1.js
2019.rar -> 2019.js
2019.zip -> 2019.js
1.doc.rar
1.doc.zip
20190508.rar
20190508.zip
0805.rar
0805.zip
これ以外にも添付ファイル名が存在する可能性があります。
圧縮ファイルの中身まで確認しているものは中のjsファイル名も記載しています。
一部のファイル名は以下などを参考として記載しています。
参考:https://www.daj.jp/bs/d-alert/bref/?bid=23
■サンプル
1.doc.rar -> 1.doc.js
https://app.any.run/tasks/07b1e1a7-b452-4704-859c-f6d0c7dbe9e4/
2019.rar -> 2019.js
https://app.any.run/tasks/d3ee2a62-62a6-479d-a3a2-e362843fb331/
■通信先
圧縮ファイルに含まれるjsファイルを実行すると、以下からファイルをダウンロードします。このファイルはリネームされ、実行されます。
これは不正送金マルウェアursnif(Dreambot)です。
・ダウンロード
hxxp://registry-cloud[.]ru/x.exe
※ダウンロードする時間によりハッシュが異なる可能性があります。
・ef5d61c73ae869e203ad1f7451ad7cdfad411a617290d91322ef8831d59fa0a2
https://app.any.run/tasks/2e26d1e1-e2dc-46c7-b5d7-62dbf1e3c37f/
・d6600f71bb227add6e45327cbc8635a4c98ac1037aa3a85f15a701939a4d94fc
https://app.any.run/tasks/da7bc04c-2a83-4740-b0ab-00461d60a86c/
ursnifは以下にアクセスします。
○ursnif C2
hxxp://11totalzaelooop11[.]club/jd/t32.bin
※IPアドレスが割当ないため、実際にアクセスは発生せず、dns問い合せのみです。
hxxp://adonis-medicine[.]at/images/
※4/15から来ているのと同じC2通信先です。
■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。
■ursnif感染後の無害化
ursnif感染後は上記自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体(レジストリの値のパスに存在する)の削除が必要となります。
以上
2019/05/07(火) 添付ファイル付不審メール(bebloh,ursnif(A))の調査
2019/05/07に、日本語の不審メール のばらまきが観測されています。
bebloh→ursnifと不正送金マルウェアへの感染を狙ったものです。
■日時
2019/05/07 16:00 頃-
○16:00頃-
■件名
(有償)注文書
FW:(通知)
RE: 通関
【訂正版】
建材発注書です
転送された画像 - From:
■添付ファイル
nnnnn2019年5月.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/5cb85d5bc7bc3eb44c747915f1b26a8bd923d32a5290424eeccb64e750b0fbe9/details
https://app.any.run/tasks/514e62c9-83ff-494e-9e3b-365a6f45e4b3
○17:00頃以降
■件名
【2019年5月】請求額のご連絡
■添付ファイル
nnnnn.XLS
※nnnnnは数字5桁
https://www.virustotal.com/#/file/2052b1c9455383827cc6d14da43249fd2172e6bdd82e1b782383391ac36baceb/details
https://app.any.run/tasks/cc128132-2723-4d00-9870-574041abbe8c
どちらの添付ファイルも動作は同じです。
開いてマクロを有効にすると、wmic.exeが起動し、wmiprvse.exeからPowerShellが実行されます。以下の通信先へ通信し、追加のスクリプトが取得し、マルウェアに感染する恐れがあります。
■通信先
・ステガノグラフィ
hxxps://i.imgur[.]com/47xDq9v.png
hxxps://images2.imgbox[.]com/1b/a6/9pJo30dK_o.png
※正規通信先(画像アップローダ)から画像ファイルを取得し、画像内に含まれていてそのままの形式では動作しないスクリプトをpowershellを使って抽出し、次の実行スクリプトとする。
上記通信後、後続のスクリプトによってマルウェアbeblohの実行ファイルが作成され、explorer.exeにインジェクションすることで動作・感染します。
■プロセスの動き
Excel.exe → Wmic.exe → wmiprvse.exe → PowerShell.exe -> PowerShell.exe -> explorer.exe
■bebloh
スクリプトにより作成されるのはDLL形式のダウンローダ型マルウェアのbeblohです。
・bebloh DLL
https://www.virustotal.com/#/file/f440d9d94b5bd99437ae0959679bc4c21e7fd7352af6894e9017d171a110ddc8/details
explorer.exeにインジェクションし、以下のC2と通信を行います。
・bebloh C2
hxxps://donersonma[.]com
今回、beblohのC2からの指令を受け取ることができ、以下はそれをメモリから抽出したものです。
ダウンロードする命令「>LD hxxps://donersonma[.]com/....」が含まれているのが分かります。
>CV 90
>DI
>LD hxxps://donersonma[.]com/uploads/rob.rar
参考:bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259
■追加のペイロード
beblohにより、以下のファイルがダウンロードされます。
hxxps://donersonma[.]com/uploads/rob.rar
beblohはこれを利用し、以下の不正送金マルウェアursnifを作成します。
※作成されるファイルはタイムスタンプが異なるため環境によりハッシュが異なります。
・ursnif C2
hxxps://lidersonef[.]com/images/
■マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。
・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。
以上