前記事の通り、シンクホールによりursnif(B)の観測を行っています。

bomccss.hatenablog.jp

ursnif(B)のシンクホール化を初めたのは2/25からとなります。それ以降の約１ヶ月で分析できた内容についてとなります。

※環境を整えながら観測をしているため、一部結果に不備があります。

■アクセス数
日次のアクセス数は以下となります。

DGAのため、ドメインが一定日数で変わるため、ドメインを併記しています。
当初は４,000件くらいでしたが、3/6まで徐々に減少しているのは、観測基盤の設定ミスによるものです。
基盤のエラーによりIPを拒否リストに入れてしまっていた為減少しているようになっていますが、実際のアクセス数は3/7以降のものに近いです。

また、3/16以降に件数が減少しているのは、他にもDGAのドメインを取得した人が出た為であり、アクセス先ドメインが増えた事により１端末からの通信数が減ったものと考えられます。

■ユニークアクセス数
日次のアクセス元IPのユニーク数です。

3/6以前は総アクセス数で述べた通り、基盤の設定ミスにより参考値となります。
日によりアクセス数が上下しますが、感染端末が起動する日にばらつきがあるということ以外に、感染端末がDHCPを使っている環境にあることが考えられます。
端末を持っての移動が多い日にはIP数が増加している可能性があります。
感染数としては、200端末程度かと考えています。

なお、総アクセス元IP数としては1500IPを超えます。

■アクセス元IP

アクセスしてくるIPを見ると、大半は日本国内です。
そのIPはほとんどがISPのもので、恐らくは個人の端末や中小企業の端末が感染していものが多いのではないかと考えられます。 
また、一部は中国やフランス等からのアクセスもあり、攻撃者や別の観測者による調査と思われるアクセスとも考えられます。 

■アクセスにより分かる情報

ursnifはC2サーバにGETリクエストを送る際に、パスに複数の情報を付加します。
正確な意味は不明で推測するしかありませんが、以下のような情報です。

soft=1
version=216996
user=(32桁の16進数)
server=12
id=201810
crc=(8桁の16進数)
ip=xxx.xxx.xxx.xxx
os=6.1_1_7601_x86

softとversionはほぼ上記で一部soft=3,version=216062の組み合わせがありました。
serverは12固定で、攻撃者のグループIDのような扱いなのかと思われます。
userは感染端末により固定と思われますが、法則性等は不明です。このパラメータは200種類以上見られたため、感染端末もその程度存在するかと思われます。
idは201810、2018101、2018122、1000、99999がありました。これは攻撃キャンペーンIDと考えられます。
2018年10月のばらまきメールの検体は201810か2018101、12月のばらまきメールの検体は2018122でした。この攻撃グループの全てのマルウェアからidを取得できてはいないため、情報を持っている方がいましたら頂けると通知の助けになります。
ipは実際のアクセス元IPとは異なるケースがありました。これはマルウェア感染時に端末のIPを引く挙動をとるのですが、その際に取得した感染時のIPと思われます。
osはWindowsOSのバージョンについての情報と思われます。32/64bitかも取得しています。

これらの情報を見ていると、一部は攻撃者や別の観測者による調査と思われるアクセスが散見されました。

■感染端末へのアクション

アクセス元IPについては、多いものから順に各種連絡先へと通知を行っています。
個人的な活動のため、全てのIPに対してアクションを取るという段階までは到底行かず、少しずつゆっくりと、という状況です。
それでも、通知することにより、既に10IP以上からアクセスがなくなっており、少しずつですが感染している端末を減らすことが出来ています。

今後も引き続き、感染IPの観測と通知を行い、マルウェア感染端末を少しでも減らす努力をしていきます。
また、シンクホールのドメインも日本を標的としたばらまき系のドメインを中心に継続して増やし、様々な感染被害の特定・連絡を行っていきます。

以上