bomb_log

セキュリティに関するbom

2019/04/22(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

先週の4/15,16,17,18に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。

 

■日時

4/22(月) 10:30-

 

■件名
Fw:
※把握できている範囲内では全てこの件名ですが、他の件名が存在する可能性もあります。

 

■本文(2種類)
「期日超過支払いの請求書添付ファイル
詳細状況は添付資料にて送りますので、ご確認ください」

「従業員を解雇されたのリスト
詳細状況は添付資料にて送りますので、ご確認ください」

f:id:bomccss:20190430232843p:plain

 

■添付ファイル
※圧縮ファイル->解凍ファイルです。
・new.rar -> 2.js
d37718dfd3edce4ed567ccd284c7d697c8c7e66f576fa92cbc7b07e125713103
https://app.any.run/tasks/a33bd7e7-6850-4ab6-9541-4c7046eff21f
・document.zip -> document.js
https://www.virustotal.com/#/file/65e42d2ad8faa678b807c44098922114af99a5034cc8ab5a5ba5b9ed9baca3ad/details
・doc.zip -> doc.js
・new.rar -> new.js
添付ファイル、解凍後ファイルの名前は他にも存在する可能性が高いです。
解凍後のjsファイルがダウンローダです。実行するとマルウェアへ感染します。

添付ファイルを実行すると、wscript->cmd.exe->powershell.exeと派生します。powershellのコマンドは以下となります。

f:id:bomccss:20190430233142p:plain

 

■通信先(ダウンロード先)
hxxp://news-medias[.]ru/report.exe
※4/18と同一ドメイン、パスですが、ハッシュは異なります。
SHA256: 27cc6b090e73a0f4bfc486344d983e2bdf4d76c1429bb87d1c81efca91c4a2c2
https://app.any.run/tasks/d2bb991b-22c8-4f56-83e8-85ee7f818efd
上記URLに4/24までは上記ハッシュが置かれ、4/25からは以下のハッシュが置かれていました。
SHA256: aa759e34b7fe90b79d5c65a85cb32e9ae7e51dfce472da5e80a41b797868c708
https://app.any.run/tasks/4ffab32f-af4e-4864-ac68-7175a1cfcacc
 

■User-Agent
Google Chrome
※上記ダウンロード先にアクセスする際にはこのUAを使用します。

 

■ダウンロードされたマルウェア
ダウンロードされるのは、不正送金マルウェアのUrsnif(別名Dreambot)です。
https://www.virustotal.com/#/file/7e40a2368a6e906d7109ab9aee6e49ab0d01ad59e935eda4fa57b012fc718d94/details
ダウンロードされたファイルは「C:\Users\(ユーザ名)\AppData\Local\」配下にTempXXXX.exeとして保存されます。更にcontrole.exeを起動し、そこからrundll32.exeを実行し、Explorer.EXEにインジェクションします。

f:id:bomccss:20190430234737p:plain

 

■プロセスの流れ

f:id:bomccss:20190430233732p:plain
ursnifに感染後はursnifがcmd.exeでnslookupなどを使用し、感染端末の情報を収集します。

■通信先
感染後の通信先は以下です。
hxxp://curlmyip.net
※接続しているIPを調査するための通信
hxxp://11totalzaelooop11[.]club/jd/t32.bin
※IP未割り当てのため接続できない。64bit環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/~省略
※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png

f:id:bomccss:20190430234345p:plain
f:id:bomccss:20190430235032p:plain


■感染後の永続化
ursnifの本体は「C:\Users\(ユーザ名)\AppData\Local\」配下から「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

f:id:bomccss:20190430234920p:plain

また、PCのログイン時の自動実行ファイルとしてレジストリに設定されます。
f:id:bomccss:20190430235148p:plain

ursnifの設定も別のレジストリに保存されます。
f:id:bomccss:20190430235123p:plain


■ursnif感染後の無害化
ursnif感染後は上記自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体(レジストリの値のパスに存在する)の削除が必要となります。

■ursnifの設定
ursnifはExplorer.EXEにインジェクションして存在するため、Exporer.EXEをダンプすることで設定の参照が可能です。
f:id:bomccss:20190430235803p:plain

f:id:bomccss:20190501111125p:plain

コンフィグとしては、以下の様になります。
Domains : hxxp://adonis-medicine[.]at
TOR Domains : hxxp://h33a7jzovxp2dxfg[.]onion
DGA TLDs : com ru org
BC Timeout : 10
Tor32bit DLL URLs : 11totalzaelooop11[.]club/jd/t32.bin file://c:\test\test32.dll
Tor32bit DLL URLs : 11totalzaelooop11[.]club/jd/t64.bin file://c:\test\test64.dll
IP Service : curlmyip.net
Server : 12
Encryption key : s4Sc9mDb35Ayj8oO
Timer : 1
ConfigFailTimeout : 300
Config Timeout : 300
Task Timeout : 300
Send Timeout : 300
Knocker Timeout : 300
DGA Season : 10
Botnet/GroupID : 1002

なお、今回観測した範囲では、不正送金を行う際に利用されるWebブラウザへのインジェクションコードはC2サーバからダウンロードされませんでした。

 

※このursnif(b)のアクターに関する考察は、4/15の記事も参照ください。
https://bomccss.hatenablog.jp/entry/2019/04/18/030235
主に日本を狙って、楽天などを騙ってメール本文のリンクからjsファイルをダウンロードさせるタイプのアクターで、2018/12/28を最後に日本向けの活動を見せていなかったのですが、4月に攻撃を再開し、以降頻繁にメールをばらまいています。しかし、以前と比べてメールの送信先アドレスのリストや配信の手法は異なっているものと考えています。

 

以上