以下の記事の続きになります。

bomccss.hatenablog.jp

前回調査をした際に、以下の疑問がわきました。

もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組みが推察できそうです。
同じファイルを取得するのであれば一つのbeblohのハッシュに対し取得するファイルが決まっていそうですし、別のファイルを取得するのであればbeblohは時期によってbebloh全体で取得するファイルが決まっていると言えそうです。

beblohは各検体毎に取得するマルウェアが決まっているのか、時期によってどのbeblohを実行しても同じマルウェアを取得するのか？

実際に、別のbeblohの配布が起きてから、古いbeblohを実行しどんなマルウェアを取得するかを検証しました。

■前回(5/31)取得先
hxxp://monerotan[.]com/ieprotocol　(bebloh)
hxxp://brightonline[.]org/mrt_ms.exe　(ursnif)

■実行結果

結果、xlsファイルが取得したbeblohは5/31のものと同じbeblohでしたが、beblohが取得したursnifは5/31のものではなく6/5のものと同じursnifでした。
また、beblohが初回にC2に通信を行った際にすぐに2度目のC2宛通信が発生し、その後すぐにursnifのダウンロードが発生しています。
そのため、beblohはC2からの通信でダウンロード先を取得していると推測でき、beblohは同じC2にアクセスするものは同一時期には同じダウンロード先を与えられると推測できます。