2019/04/12(金) 添付ファイル付不審メール(emotet)の調査
日本語のemotetへの感染を狙った不審メールのばらまきを観測しました。
日本語の件名、日本語の本文でemotetのばらまきが日本に来ることはかなり稀です。(昨年に1回あった程度)
なお、海外でも同じタイミングでemotetのばらまきが発生しており、そちらはメールの件名や本文、添付ファイル名は異なると思われますが、hashは同様のようです。
■日時
2019/04/13 16:00~
■件名
あなたの請求書
サービス請求書
支払明細通知書
支払請求書
期限切れ請求書
未請求書
毎月の請求書
注意事項:請求書
特別請求書
読んでください
請求書の請求
請求書を添付してください
請求書
※件名の前または後に人物名や地名が含まれるものも確認しています。
■本文
日本語ばらまきマルウェアメールが接到しています。We have various type of Japanese #Emotet malware mail, today.
— moto_sato (@58_158_177_102) April 12, 2019
Subject :
請求書を添付してください
あなたの請求書
サービス請求書
支払明細通知書
支払請求書
未請求書
毎月の請求書
注意事項:請求書
読んでください pic.twitter.com/2xxOsuAO9A
おはよう、請求書に関する一言二言、さようなら、という簡素な日本語です。
恐らくは機械翻訳によるものと思われます。
■添付ファイル名
数字8-10桁記号数字6-8桁.doc
※記号は_や や-
例としては以下の様なWordファイルです。
555154088832 813039.doc
94217937477 408325.doc
43136933041-677751.doc
9648596236 0484833.doc
333833528 86550848.doc
235036795_8674719.doc
■添付ファイルサンプル(その他複数hashがあると思われる)
・636c93930f056e403a2bdb2298f18c0b14542c0224fd0ba6ba3056d1367f9c75
https://app.any.run/tasks/5ca756d6-c7fa-4c4c-956b-5ef02fbd4ed2
・af77939a3206c6beeb32606423daeb8236413630ddd3846ac300d741d8809108
https://app.any.run/tasks/f06af0db-2dab-4b60-8b2b-5306f2f0608c
・9bb3d3a40c0a57ee9a52bab10b2ec0efbf7d665238c421a68c266d356b81a671
https://app.any.run/tasks/e7702c62-99c3-4510-ba23-1f686276c7ba
・1eb3cc2781765f1c81bdef0390ba79fc2066fd1bd8ff5571baa64f4b0ca3441f
https://app.any.run/tasks/4e5bf1bf-060e-43f1-b02c-c365784cfb3d
・112278e446cc3c7f538089cae3eaf962b06218cae4bcd8fb9a0b493bc380507f
https://app.any.run/tasks/5e5f11f0-5cf4-4369-b7b6-5e8148ef505d
・4558edbe3b57be5c595405ba601a13ae09c679a01f851ae43f8c34e6d3c34be0
https://app.any.run/tasks/feaac63a-c775-429b-b3a0-853e99a405fb
Wordファイルの中身は英語です。
Wordファイルの中にはマクロが含まれており、ファイルを開きマクロを有効化することで、autoopen()によりマクロが自動的に実行されます。
wmiprvse.exeによりPowerShellが実行され、後述の通信先からファイルをダウンロードし実行します。
PowerShellはbase64エンコードされた引数を与えられて実行します。
これをbase64デコードすると以下のようになります。
変数に値を代入している部分を全て実行してから、変数の中身を出力することで通信先が取得できます。
■通信先
以下に対してダウンロードが出来るまで順にアクセスします。
hxxp://aussiescanners[.]com/forum/1IXQRH/
hxxp://fumicolcali[.]com/wblev-6pox5-vpckk/4ih2/
hxxp://azedizayn[.]com/26192RX/qW/
hxxps://sundarbonit[.]com/cgi-bin/mlEH/
hxxp://aupa[.]xyz/hJPug-2q3uyQ3NsqIgkO_tdeRPHsz-fF/dwvK/
今回はsundarbonit[.]comからMZ(exeファイル)がダウンロードされています。
■本体マルウェア
ダウンロードされるのはダウンローダ型マルウェアのemotetです。
取得する時間帯によってhashは変わってるようです。
https://www.virustotal.com/#/file/25eb451e5c0208a7086ac6e89c0d22ac1d622d93cea5e1a37881f0eda2ced49e/details
https://www.virustotal.com/#/file/fcfb6405e238c8bafa765b9921597226bd8752d0987c561e0478a6eb67db43a1/details
https://cape.contextis.com/analysis/64633/
emotetは以前は不正送金マルウェアとして利用されていましたが、昨年からは主にTrickbotを追加でダウンロードさせるためのダウンローダとして動くことが多いです。
Trickbot以外にも、IcedID、Qakbot、Hanciter、AZORult、ZeusPandaBanker等をダウンロードすることが観測されています。
emotet本体は%AppData%\Local\配下のランダムな名前のフォルダにランダムな名前のexeとして作成されます。
ランダムと思われますが、同じ端末で何度感染しても固有の値になるため、端末内の情報を元に命名していると考えられます。
■C2
emotetはC2のリストに対して80/tcp以外にも443、8080、7080、21、50000、8443、465、990、などのポートに対して通信を行うのが特徴です。
一度通信が確立すると、15分毎にC2に対して通信を行います。
この通信の振る舞いはemotetの感染を検知する指標になります。
capesandboxを使って抜き出したC2の通信先は以下になります。
187.188.166.192:80
88.215.2.29:80
187.137.162.145:443
65.49.60.163:443
45.33.35.103:8080
43.229.62.186:8080
165.227.213.173:8080
210.2.86.72:8080
192.155.90.90:7080
88.97.26.73:50000
190.117.206.153:443
185.86.148.222:8080
187.189.210.143:80
67.241.81.253:8443
200.114.142.40:8080
107.159.94.183:8080
190.147.116.32:21
138.68.139.199:443
219.94.254.93:8080
77.44.16.54:465
200.90.201.77:80
71.11.157.249:80
192.163.199.254:8080
144.76.117.247:8080
69.163.33.82:8080
109.73.52.242:8080
5.9.128.163:8080
189.225.119.52:990
62.75.143.100:7080
109.104.79.48:8080
181.29.186.65:80
200.28.131.215:443
190.192.113.159:21
89.211.193.18:80
189.205.185.71:465
181.29.101.13:80
176.58.93.123:8080
82.226.163.9:80
196.6.112.70:443
92.48.118.27:8080
72.47.248.48:8080
200.107.105.16:465
23.254.203.51:8080
154.120.228.126:8080
213.172.88.13:80
51.255.50.164:8080
201.217.108.155:21
197.248.67.226:8080
139.59.19.157:80
66.209.69.165:443
91.205.215.57:7080
99.243.127.236:80
136.49.87.106:80
186.139.160.193:8080
C2へのアクセスするパスはランダムです。通信内容は暗号化されています。
■マルウェアの駆除
emotetは以下のレジストリキーに自身の自動起動を設定します。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
レジストリエディタから上記キーを削除した後、タスクマネージャからバックグラウンドプロセスとして動作しているemotet本体ファイルを削除し、%AppData%\Local\配下のフォルダにあるemotet本体を削除することで、駆除することが出来ます。
■emotetからダウンロードされるマルウェア
感染後数時間動作させましたが、追加のマルウェアがダウンロードされることはありませんでした。
海外ではQakbotやTrickbotがダウンロードされたようです。
2019-04-12 - #Trickbot (gtag: del193) sent as follow-up malware from #Emotet infection in the UK. #Trickbot sample available at: https://t.co/oFS5DSEbXo pic.twitter.com/F1RQesh060
— Brad (@malware_traffic) April 12, 2019
2019-04-12 - Today's #Qakbot sample that was delivered as follow-up #malware during an #Emotet infection - https://t.co/H4bvRC5lQU
— Brad (@malware_traffic) April 12, 2019
以上。
