bomb_log

セキュリティに関するbom

2018/07/10(火) 『書類について』『写真』『写真送ります。』『現場写真』『見積書再送付致します』『【至急】対応お願い致します』『【その2】』の調査

2018/07/10の添付ファイル付の不審メールのばらまきの情報です。

 

■日時

2018/07/10(火) 17:50頃~

■件名
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】

■本文

幾つかのパターンを確認しています。
※冒頭挨拶文は本文文章とは別に以下のパターンがあります。

本日はありがとうございました。
お世話になります。
お世話になっております。

●パターンその1
(※冒頭挨拶文)
写真を添付致しますのでご確認下さい。
宜しくお願い致します。

●パターンその2
(※冒頭挨拶文)
ZIPにて写真を送ります。遅くなり申し訳ございません。
よろしくお願いします。

●パターンその3
(※冒頭挨拶文)
ZIPデータ送ります。
申し訳ないですが、ZIPの方で、写真の確認お願いします。
宜しくお願い致します。

●パターンその4
(※冒頭挨拶文)
念の為 図と写真を送ります。
よろしくお願いします。

●パターンその5
(※冒頭挨拶文)
写真です。
宜しくお願い致します。

■添付ファイル名

IMG_[*].zip
*にはメールアドレスの@以前が入ります。

添付ファイル内には、以下2つのファイルが存在します。

IMG_0447_1.jpg
IMG_0447_2.jpg.vbs ※マルウェアです。
https://www.hybrid-analysis.com/sample/4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d/5b446aec7ca3e131097bdf29

マルウェアの動き(1)

zip内のvbsを実行すると、まず以下のbatファイルを取得し実行します。

hxxp://giarie[.]com/sc2.dat
IP: 92.53.66[.]244

このbatファイルの中ではbitsadminというプログラムを実行し、以下のファイルを取得し、C:\Users\(user名)\AppData\Local\Temp\certInfo.txtに書き込みます。

hxxp://giarie[.]com/no.bin
IP: 92.53.66[.]244

そのファイルを同フォルダ内のcertInf.txtにコピーした後、certutilコマンドでデコードし、C:\Users\(user名)\Documents\paint.exe として作成し、実行します。

作成されるマルウェアは以下のbeblohです。

paint.exe
https://www.hybrid-analysis.com/sample/81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9?environmentId=100

マルウェアの動き(2)

 beblohを実行し5分程度過ぎると、以下C2へ通信を行います。

hxxps://wigermexir[.]com
IP:92.53.66[.]244

その直前、ブラウザでgoogle宛に通信を行います。恐らくは解析環境かの確認に利用されているのかと思います。
なお、確認後ブラウザは終了されます。他の用途でブラウザを開いていても閉じますので、おや?となります。

C2との通信後、以下からursnifを取得します。

hxxps://socco[.]nl/galleries/inistream.exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853

マルウェアの動き(3)

ursnifに感染後、以下のC2と通信します。
hxxps://siberponis[.]com
IP:92.53.66[.]244

その後、端末情報を取得します。

f:id:bomccss:20180710210732p:plain

■通信

一連の通信は以下のようになります。

f:id:bomccss:20180710210848p:plain

■C2通信先

C2との通信はhttpsのため詳細なアクセス順序等不明ですが、メモリダンプの情報より、以下へアクセスしていると思われます。

●bebloh C2

hxxps://wigermexir[.]com/auth/api/(数字10桁)/index/?cgi-bin=login
hxxps://wigermexir[.]com/auth/data/(数字10桁)/img/
hxxps://wigermexir[.]com/auth/media/(数字10桁)/
hxxps://wigermexir[.]com/auth/tracker/user/(数字10桁)/

●ursnif C2
hxxps://siberponis[.]com/images/..(略)../v.bmp
hxxps://siberponis[.]com/images/..(略)../_2B.gif
hxxps://siberponis[.]com/images/..(略)../b1R.gif
hxxps://siberponis[.]com/images/..(略)../5.gif
hxxps://siberponis[.]com/images/..(略)../FYvMN.gif

 

以上です。

 

IoC
●URL
hxxp://giarie[.]com/no.bin
hxxp://giarie[.]com/sc2.dat
hxxps://siberponis[.]com
hxxps://socco[.]nl/galleries/inistream.exe
hxxps://wigermexir[.]com
●IP
92.48.206[.]71
92.53.66[.]244
●hash(SHA256)
4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d
81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9
e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853