2019/10/15(火) 添付ファイル付不審メール(Emotet -> Trickbot)の調査
10/14週も日本語のEmotetのばらまきがありました。
今回は追加で感染させられるマルウェアがTrickbotでした。
■日時
2019/10/15(火) ~ 2019/10/18(金)
■件名
日本語の件名はどうやら毎回一定で以下のようです。
※件名の後ろに日付や人名等が付いている場合あり
また、件名がRe: から始まり、過去の履歴がついた返信型Emotetも確認されている
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
現在のバージョン
最後のオプション
助けて
情報
新バージョン
備考
※英語件名は省略
■添付ファイル
数字3~7桁※2019(日付).doc が多いようです。
※は ,-,_のいずれか
123-20191015.doc
12345 20191015.doc
123456_20191015.doc
1234567-20191015.doc
File 2019_10_15 1234567.doc
Notice-ABC12345.doc
Notice_AB123456.doc
INC_ABCD12EFGH_IJ.doc
※その他多数
添付ファイルの外見は同様に3種類です。
どれもマクロの有効化を誘う文言がありますが、マクロを有効化するとマルウェアEmotetに感染します。
1つの添付ファイルは5つの通信先を持っています。どれかにアクセスが成立しファイルがダウンロードされればそれ以上のアクセスは出ません。
■サンプル
添付ファイルと通信先の組み合わせ(10/15のサンプル)
・https://app.any.run/tasks/9a5870de-4922-4c9a-8e2b-ed494a7c0f26/
通信先
hxxp://andrewsiceloff[.]com/wp-admin/cj2d0009/
hxxp://beansmedia[.]com/zeus16/wp-includes/tubaw5y35/
hxxp://abhidhammasociety[.]com/wp-snapshots/ih3vzdc9/
hxxp://pcf08[.]com/wp-content/02447/
hxxp://acquiring-talent[.]com/dpaj/05gd575/
・https://app.any.run/tasks/f1d47edb-db3b-4bdd-b83e-e0abd32ed78b/
通信先
hxxps://filegst.com/wp-admin/Kl/
hxxps://www.merceko.com/wp-content/1ek7/
hxxps://kampusmania.com/wp-content/4f2c8/
hxxps://vps333.com/07h31/1gjy9/
hxxp://nuttlefiberart.com/wp-admin/eIDCaO/
・https://app.any.run/tasks/e304cf8f-c3e5-4c03-a37d-2eb47266e450/
通信先
hxxp://www.offmaxindia.com/wp-includes/smu471/
hxxp://ahenkhaircenter.com/blogs/k8iuno285918/
hxxps://dieutrixuongkhop.xyz/wp-admin/rts7nl6310/
hxxp://bluem-man.com/wp-content/uploads/2019/10/btrua567818/
hxxps://agusbatik.xyz/wp-includes/5e6252/
・https://app.any.run/tasks/30c2527b-06e6-4531-a395-83960382afde/
通信先
hxxp://rastreon[.]com/wp-admin/901/
hxxp://www.offmaxindia[.]com/wp-includes/smu471/
hxxp://ahenkhaircenter[.]com/blogs/k8iuno285918/
hxxp://bluem-man[.]com/wp-content/uploads/2019/10/btrua567818/
hxxps://agusbatik[.]xyz/wp-includes/5e6252/
・https://app.any.run/tasks/3061f143-471d-4e0f-b24a-fd3b8502c488/
通信先
hxxp://stn[.]methodist[.]org[.]hk/wp-includes/T8jR1an1/
hxxps://collectables[.]nojosh[.]com[.]au/wp-content/U/
hxxps://elemanbank[.]com/test/7/
hxxp://ndcgc[.]org/compview/CO7k5c/
hxxps://myboho[.]store/generalo/U3DnzUY/
・https://app.any.run/tasks/fc0bfcfa-cc9e-4d4d-9734-2a097e6de7ef/
通信先
hxxps://voiceacademyusa[.]com/85rs/cfEfsshfH9/
hxxp://armmonya[.]com/landingpagemayo/5mth/
hxxps://topinarabic[.]com/oht0878/bz/
hxxps://bestbusinesssoftware[.]net/img/8Xz/
hxxp://www[.]southtrustlaw[.]com/wp-content/n0wghBtL/
サンプル(10/17)
・https://app.any.run/tasks/dc16367e-2178-410b-b626-db73da53c1d7/
通信先
hxxp://cpleadsoffers[.]com/track[.]cpleadsoffers[.]com/71yxxan/
hxxps://keeppcsafety[.]com/9ultjb/5bm/
hxxps://abundancetradingmarketing[.]com/cream[.]lib/VHK7S/
hxxps://knightplanning[.]com/075877mb/lx/
hxxps://experiortec[.]com/0aw9tol/HCbZK/
・https://app.any.run/tasks/798ff705-0dc7-4717-b76b-8ca894da98cc/
通信先
hxxps://barirahb[.]com/wp-content/kewm6p6/
hxxp://www[.]vardancards[.]com/bu6oo37/48409/
hxxps://desertskyvacationrentals[.]com/thickbox/zbbbdi2/
hxxp://beauty-fullbox[.]com/35wl6i8jx/1h9y38/
hxxp://afimangement[.]com/directions/ezvyt0/
サンプル(10/18)
・https://app.any.run/tasks/5e392cc0-3f85-4572-9274-db99962a59b8/
通信先
hxxp://medienparadies[.]com/wp-content/nig6288/
hxxps://voiceacademyusa[.]com/85rs/85o9m6710/
hxxp://massivewebtech[.]com/sitemap/5reschy1892/
hxxp://kariyerrunway[.]com/multimedia/ulkvb08328/
hxxps://www[.]rsaavedrawalker[.]com/themesl/l533/
■一次ペイロード
これらの通信先からはEmotetがダウンロードされ、感染します。
Emotetは同じURLでも時間によってハッシュ値がことなります。アンチウイルスソフトによる検知回避のための対処と考えられます。
例えば、Emotetのhashは以下が取得されました。
95e56ee1065ef33d1a28ca3726267b5d
015b04471340d3a06de30a6c40b44cd1
65adc35b915fe594678e1a6c17aa37b0
2ba5c3ec24e7078fe7ca1acfe24648a2
EmotetのC2通信は、ドメインへのアクセスではなく、IPへのアクセスです。
ポートは80,443,8080,7080などのポートに対して通信します。
パスはランダムに作成されます。
・Emotetの永続化
■二次ペイロード
今回は日本のIPに対する追加のマルウェアとして、Trickbotに感染しました。
f6bbcade4065f4dbf392c46831588059
https://app.any.run/tasks/5fb16571-3f1a-4ecb-9958-fa834744d0e0/
Trickbotについては、初めて挙動を解析しました。
参考にした日本語のTrickbotの解析記事は以下です。
http://aes256bit.hatenablog.com/entry/2017/12/23/230659
https://www.cybereason.co.jp/blog/cyberattack/3613/
https://www.cylance.com/ja_jp/blog/jp-blackberry-cylance-vs-trickbot-infostealer-malware.html
■ファイル格納先
ファイルは以下の2箇所に保存されます。
※2つ目のRoaming配下のフォルダ名はランダム
モジュールが取得された場合には2つ目のフォルダに置かれるようですが、残念ながら取得はできていなかったため、その動的分析は出来ていません。
■永続化
タスクスケジューラを登録します。11分間隔でTrickbotを起動しようとします。
■プロセス
Trickbotはプロセスホロウイングにより見かけ上はsvchost.exeとして動きます。
(キャプチャ忘れ)
■通信
Trickbotの通信は主に以下のポートを使用します。
・443/tcp、447/tcp、449/tcp (HTTPS)
・8082/tcp(HTTP)
※キャプチャには447,449が入っていません。
キャプチャの443/tcp(http)通信はEmotetのものです。
C2の通信先IPによって、使用するポートが違うようです。
TrickbotのC2通信は(Emotetもそうですが)ドメインではなく、IPに直接通信が発生します。
Trickbotは8082通信で使われるパスによってグルーピングがされています。パスのことをgtagと呼ばれていますが、今回のケースではgtagはmor21になります。
■動作について
Trickbotはバンキングマルウェアです。
主に金融系サイトでアカウント情報を入力するまたは送金を行う際の情報を盗むことで不正送金を行います。
また、パスワードや様々な端末内の情報をC2へ送信します。
さらに、NW内部の感染拡大の機能を持っています。これによって、更に同一NW上で感染が拡大する恐れがあります。
また、Trickbotを使う一部のアクターでは、TrickbotからCobaltStrikeやEmpire、BloodHoundなど様々なツールを使うことで、組織内部を侵害し、最終的には標的型ランサム攻撃に発展するケースも海外では報告されています。
標的型ランサムにかかると、復旧は絶望的で、とても被害甚大です。
標的型ランサムへの対策としては標的型攻撃に対応できる能力と同等のものが求められます。
■EmotetとTrickbotの無害化
EmotetとTrickbotに感染した場合には、以下の対応が必要です。
・永続化(Emotetはレジストリキー、Trickbotはタスクスケジューラ)を削除する。
・永続化によって登録されていた実行ファイルを削除する。
・実行中のプロセス(Emotetは環境による、Trickbotはsvchost.exeの中のどれか、どちらも親プロセスがないまたはExplorer.exeになっていると思われる)を停止させる。
以上
2019/10/10(木) 添付ファイル付不審メール(Emotet -> Ursnif-b)の調査
9月に続き、日本語のemotetのばらまきがありました。
一部では返信型emotetもあるようです。
件名にRE: がついており、と過去メール送受信した履歴が付いたメールですが、添付ファイルにマクロ付きのWordファイルがついてきます。この添付ファイルもemotetへ感染させるマルウェアです。
■日時
2019/10/10 - 2019/10/11
■確認できている日本語の件名
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
備考
助けて
情報
新バージョン
最後のオプション
現在のバージョン
※後ろに日付(20191010)や名前等の文字列が付く場合あり
■英語件名(サンプル、その他多数)
List
Mail
Notice
Report
Service
■通信先
※通信先パターンは複数あり、網羅できていない。検体も同様に複数あり網羅できない。
・通信先(例その1)
hxxp://bluelionconflictsolutions[.]com/wp-includes/5sk54068/
hxxp://www.winzerhof-kridlo[.]com/up/gqfm32861/
hxxp://www.coscorubber[.]com/lzhfb/3lzijk275/
hxxp://huyndai3sthanhhoa[.]com/pictures/p9104/
hxxps://wearetxvets[.]com/bat.function/p1bjn92466/
・同じ通信先へアクセスする検体(例その1)
9e0d9b1f5541367075d5ac55133b1e63
962ba8e97c527e29cdafb49bbf540068
534356e4c4bdf50ed7b2fd2b83ebd712
・通信先(例その2)
hxxps://www.mmtt.co[.]nz/genimage/ClUXVYfQ/
hxxps://wkoreaw[.]com/wordpress/FxiXOLHy/
hxxp://gennowpac[.]org/wp-content/DJRMUdiP/
hxxp://cjextm[.]ro/wp-snapshots/oDjcwvxm/
hxxp://www.antonieta[.]es/caeeq/dtWZYxVo/
・同じ通信先へアクセスする検体(例その2)
23f68ef1abecdce9ea2ce2b24f5574d6
0f5c3c10bbc1ad7b56f7555819d119e4
7473c1bc418738260df3926f928c166b
・通信先(例その3)
hxxps://salesray[.]com/freebies/HzTRnIyl/
hxxps://westernwellbeing[.]co[.]uk/wp-content.bk/hr2qxq_mydeb-0513806524/
hxxps://dollarstorepluss[.]com/handle_api/91l800s6_j2tcee7p-50/
hxxps://chrismckinney[.]com/cris-new-file/dejopn9l68_pgef8-79749073/
hxxp://squareonerenovationsinc[.]com/roawk/wtuds/UhPJaCWK/
・同じ通信先へアクセスする検体(例その3)
c996be2a18e4ee00622194a4b47564da
8a747541d7178b817d76aa144b8c761d
・通信先(例その4)
hxxp://www.arquiteturasolucao[.]com/shells/il9l7_6fbjtt-50317998/
hxxp://www.kokuadiaper[.]com/wp-content/wp-rocket-config/gPjedSRcK/
hxxps://blog.lasoy[.]net/wp-admin/vBwxpquhVq/
hxxp://prettywoman-cambodia[.]com/vqxr/cwbeiqihf_7zv7l5jjx-017/
hxxp://barij-essence[.]ru/tropcj8kfd/HoBkALzmR/
・同じ通信先へアクセスする検体(例その4)
717edf19dd65f807188eb51bc0e3dc2b
8e76d75e8283b22b13b9db74732744de
・10/11分通信先(例)
hxxp://mayurpai[.]com/wp-admin/lb8232/
hxxp://mastersjarvis[.]com/7eds52/14/
hxxp://lagriffeduweb[.]com/clients/w9pw59/
hxxp://nyc[.]rekko[.]com/65r8ry/zmt61884/
hxxp://onickdoorsonline[.]com/wp-includes/g0uyt12/
・検体(例)
https://app.any.run/tasks/0e01ec21-0af1-49e2-8b0d-45f0b776dc1e/
■添付ファイル
添付ファイル名は様々あります。確認されているファイルの外見は3種類です。
確認されているものは、マクロ付きのwordファイル(.docファイル)です。
添付ファイルを開き、マクロを有効化するとダウンローダ型マルウェアのEmotetに感染します。
※Wordの設定でマクロを常時有効化していると、確認なしにマクロが動作し、Emotetに感染します。
マクロの常時有効化はオフにしておくことを推奨します。
■Emotet
Emotetはかつては主にバンキングマルウェアとして動作していましたが、現在では主にダウンローダとして動作するマルウェアです。
・感染すると、以下にレジストリに設定を残し、PC再起動後も自動実行させるよう設定します。
・利用しているメールアカウントの情報(メールサーバへの接続アカウント情報、アドレス帳、メール本文)を窃取します。
・メールアカウントを窃取できた場合、Emotet自身に感染させるためマルウェア付きメールを送信します。その際、メールアカウントに残っているメールに返信にマルウェアを添付して送信します。
・攻撃対象の国であれば、追加のマルウェアに感染させます。
このため、Emotetに感染すると、情報漏えいの恐れ、スパムボットとして(メールをやり取りしたことのある相手を含む)感染拡大の恐れ、追加のマルウェア感染の恐れ、があります。
■追加のマルウェア
今回ばらまかれたダウンローダemotet に日本のIPで感染すると、二次マルウェアとして ursnif(Dreambot) に感染させます。
このUrsnifは過去楽天等を騙ってばらまいていたUrsnifと同じキーを使っており、このblogではUrsnif-bと分類しているものです。
・追加ペイロード
Ursnif(Dreambot)
6ef8f825ce54eb5b06b86a89dfc661b0
https://app.any.run/tasks/f2eafbae-93fd-427a-be28-e73c8b3c9305/
■c2通信先
hxxps://cartoons-online[.]at
hxxp://h33a7jzovxp2dxfg[.]onion
■パラメータ
serpent_key: s4Sc9mDb35Ayj8oO
server: 12
botnet: 1111
tor_dll : google[.]com file://%appdata%/systemXX.dll
ip_check_url : curlmyip[.]net
このUrsnif-bが利用するWebInjectionConfigは9/27のものと同一でした。対象としている金融機関やそのコード、窃取したデータの送信先サーバも同一です。
そのため、同じアクターと考えて良いかと思われます。
9/27の時点では何故か別のキーのUrsnifを使用していましたが、それともWebInjectionConfigが同一であることを考えると、両方とも同じアクターで過去数年間日本を狙っているグループであると考えられます。
なぜ9/27のばらまきでは別のキーを使っていたかは不明です。
2019/09/27(金) 添付ファイル付不審メール(Emotet -> Ursnif)の調査
2018/11、2019/2、2019/4に続き、4度目の日本語のEmotetのばらまきが発生しました。
■日時
2019/09/27(金)
■件名(これ以外もあり)
ドキュメント
ドキュメント <名前>
メッセージ
メッセージを繰り返す <名前>
リマインダー
リマインダー <名前>
情報
情報 <名前>
最後のオプション <名前>
現在のバージョン <名前>
新バージョン <名前>
一覧
一覧 20190927
備考
備考 20190927
コメント 20190927
助けて 20190927
Read
Urgent
New
List
Service
General
Mail
件名が日本語のものは本文も日本語です。
また、添付ファイルのハッシュはバラバラです
■添付ファイルサンプル
https://app.any.run/tasks/4c08a8dc-7c23-403e-a1c6-ec00f006c784/
添付ファイルの外見も複数確認されています。
マクロを有効化するとマルウェアに感染します。
■通信先(例)
hxxps://themodifiedzone[.]com/
■プロセスツリー
自身のコピーを何度か呼び出します。
ファイルは最終的に以下に格納されます。
※mapitonerフォルダ、mapitoner.exeは端末に依存するランダムな名前
なお、Emotetは主にダウンローダとして使用されるマルウェアで、感染すると日本向けには更に ursnif に感染させました。
■Ursnif
b1dfb9bec5e466129b9146a9ecf48c9a
https://app.any.run/tasks/d3f5818d-2324-47da-89bb-e09b698ea7b8/
■Ursnif C2 通信先
hxxp://myhomesitter[.]fun/images/~
■Ursnif パラメータ
key=YQiUrgpfMGxlbXo6
soft=3
version=217027
server=12
id=500
■通信
このUrsnifは更に別のキーを持ったDreambotをダウンロード、感染させます。
※google.comへのアクセス以前が1つ目のUrsnif、以降が二つ目のDreambotです。
今回のUrsnifはパラメータがsoft=3で、C2通信時のURLが.aviへのアクセスになります。
これは主に海外で使われている主流のUrsnifで、始めのC2への.aviの通信で本体となるペイロードをダウンロードし、その次の.favicon.icoのアクセスでその本体ペイロードを実行するためのスクリプトをダウンロードします。
そうして、それらをレジストリに書き込みます。ファイルレス型と呼ばれる、実行時のみマルウェア本体がメモリ上に作成されるタイプのマルウェアです。
これ以外にHKCU\Software\Microsoft\Windows\CurrentVersion\Runに自動実行のキーが登録されます。
それが、上記のaeevviceを実行します。これはmshtaでAppVoderを読み込み、さらに実行のペイロードとしてautowmdmを読み込み、実行中のexplorer.exeにインジェクションすることでファイルレスとして実行されます。
■Dreambot C2
hxxp://cloud-start[.]at/images/
hxxp://mashallah[.]at/images/
■パラメータ
key=Gu9foUnsY506KSJ1
soft=1
version=217027
server=12
id=94
このDreambotは日本向けのWebInjectionConfigをダウンロードします。
WebInjectionConfigは9/24のUrsnif-b、key=s4Sc9mDb35Ayj8oOと同じです。
同じアクターが手を変えてEmotetを利用して配信してきた可能性があります。
なお、9/29、9/30にもEmotetに感染した場合でも同様にUrsnif->Dreambotがダウンロードされたようですが、若干パラメータが変わっていました。
・2019/9/29 Ursnif
MD5: 1e58a4d81186395fdde201ba0752ae23
■パラメータ
key=Gu9foUnsY506KSJ1
soft=1
version=217027
server=12
id=1000
