bomb_log

セキュリティに関するbom

トップ > 2018/05/31(木) 『2018.5月分請求データ送付の件』の調査

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。
この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。
5/30(水)よりは件数は多いですが、楽天を騙ったメールのタイプに比べると配布される数は1/10程度です。


■日時
2018/05/31(水) 15:00頃 - 17:05頃

件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)、5/30(水)と同一です
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件

■本文

f:id:bomccss:20180605150736p:plain


■添付ファイル
(n)_nnn.201805請求データ.xls
nは任意の数字1文字、nnnは任意の数字3文字です。
※添付ファイルのネーミングルールのみ、変化しています。

https://www.hybrid-analysis.com/sample/58413c10a54a4b9b3c897b4d250492ebeade0a528ab9ecdf8f6de6c79bb14822?environmentId=100

f:id:bomccss:20180605150802p:plain

■通信一覧

f:id:bomccss:20180605150845p:plain

マルウェアの動きf:id:bomccss:20180605151530p:plain

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生します。
hxxp://monerotan[.]com/ieprotocol
47.91.56[.]122
47.91.44[.]13
95.213.236[.]72
https://www.hybrid-analysis.com/sample/d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c?environmentId=120
beblohと呼ばれるダウンローダマルウェアです。
今回、一度目の取得の際に理由は不明ですが失敗しています。その後、約8分後に再び同じファイルを取得しそこで感染しています。
取得するドメインは前日と同じですが、IPは変化しています。これは、再度の配信に合わせて変更している可能性があります。
https://www.virustotal.com/#/domain/monerotan.com

f:id:bomccss:20180605151625p:plain

なお、その後6/3に変更されていますが、6/5時点では配信を確認できていません。
ieprotocolファイルは自身のコピーを8880515.exeという名前でデスクトップ上に作成し、その後explorer.exeを起動し、そこにインジェクションします。

f:id:bomccss:20180605152630p:plain
※他のoffice系ファイル等はおとりファイルです。
explorer.exeのメモリ内を確認すると実行プログラム(MZから始まるバイナリ)があることが確認できます。

f:id:bomccss:20180605152747p:plain

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとursnifがダウンロードされます。
hxxp://brightonline[.]org/mrt_ms.exe
50.87.150[.]249
https://www.hybrid-analysis.com/sample/86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad?environmentId=120
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログインを盗んだりします。
こちらは前日と同一ハッシュのursnifです。
ただし、前日30日に配信があったメールの添付ファイルを実行しbeblohでursnifを取得したのが、31日の不審メールの配信があってからのため、前日分の調査の際に31日分のファイルを取得した可能性もあります。
そうであれば、beblohはどんなファイルから感染してもそのタイミングでは一つのファイルしか取得しない可能性があります。
その観点で数日間実行してみましたが、同じハッシュのursnifに感染していました。ただし、その間に再びbeblohの配布はありませんでした。もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組みが推察できそうです。同じファイルを取得するのであれば一つのbeblohのハッシュに対し取得するファイルが決まっていそうですし、別のファイルを取得するのであればbeblohは時期によってbebloh全体で取得するファイルが決まっていると言えそうです。
ursnifは自身のコピーをC:\(users)\AppData\Roaming\api-clen\AudiCore.exeにコピーします。

f:id:bomccss:20180605153358p:plain

※hybrid-analysisのファイル名がbeblohから取得したmtr_ms.exeでないのはursnifが感染完了後のファイルをアップロードした為です。beblohからダウンロードしたmtr_ms.exeも感染完了後のAudiCore.exeも同一ハッシュです。
ursnifはexplorer.exeにインジェクションしています。explorer.exeのメモリ内に含まれる文字列で例えばhttpで検索してみると、C2の接続先URLが判明します。

f:id:bomccss:20180605154214p:plain

f:id:bomccss:20180605154435p:plain

以前はC2との通信がhttpであった為、アクセスするパスが簡単にわかりましたが、5月頃からhttpsでの通信に変化したため、こういった形で調査をしないとパスまでは判別しません。
なお、これらはexplorer.exeのheap領域に存在します。
過去のursnifやbebloh(今も)はメモリ領域のprivate領域に実行権限がRWXの状態で存在しており、通常この権限の領域はあまり見ないため判別することが可能です。以下は今回のbeblohのものです。

f:id:bomccss:20180605155119p:plain
こういった実行形式が変化しているせいか、JC3のDreamBot・Gozi・Ramnit感染チェックサイトでは判定できていません。
https://www.jc3.or.jp/info/dgcheck.html

f:id:bomccss:20180605155420p:plain


■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com


IoC
○URL
hxxp://monerotan[.]com/itunesync
hxxp://brightonline[.]org/mrt_ms.exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
47.91.44[.]13
95.213.236[.]72
50.87.150[.]249
○HASH(SHA256)
c95c3388d9a36bb1c9362195b321ed4e0728eb69424422187e976597b33425b5
d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c
86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad