bomb_log

セキュリティに関するbom

トップ > 2019/04/23(火) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

2019/04/23(火) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

4週連続で水曜日に来ていたbebloh/ursnifに感染する日本語メールによるばらまきですが、この週は火曜日に来ました。
最近の特徴として、件名の種類が10種類以上と多く、また添付ファイルの名前とハッシュの種類も1日で3-4種類と手が込んできています。

 

■日時
2019/04/23 15:30頃 -


○15:30 頃
■件名
買取のご相談
Re: (ご連絡)
Re: お見積書ご依頼の件
出演順の確認のお願い
サービス請求書
支払明細通知書
支払請求書
運賃請求書の件
nnnnn 購入依頼
NO-nnnn 4/1-4/23発注
書類の件(No.nnn)
【nnn】_発注

■添付ファイル
nnnnnnnn【封筒発注書・御見積書】.xls
https://www.virustotal.com/#/file/9b6d27972b15e662c6a350e61b4a5418f8b1f466d28c57955b8c54e69ad8c735

○16:30 頃
■件名
の陳述書

■添付ファイル
nnnnnnnnnnnn.xls
https://www.virustotal.com/#/file/458b53072f84fdd926d8ba98f7cf2ddda9dcf4e0cd80a16082720973a781627a

○16:45 頃
■件名
写真添付
支払い
デスクトップ画像
画像
写真

■添付ファイル名
Doc_2019_nnnnn.XLS
https://www.virustotal.com/#/file/7e503e168abecacb59aefada69b3642f1befddcc46d2df3e52e7979a1db75280

○17:30 頃
■件名
Fwd: 領収書添付させていただきます。

■添付ファイル
nnnnnnn領収書.zip.XLS
https://www.virustotal.com/#/file/7e503e168abecacb59aefada69b3642f1befddcc46d2df3e52e7979a1db75280

○17:45 頃
■件名
写真添付
支払い
デスクトップ画像
画像
写真

■添付ファイル
DOC2019.nnnnnnn.XLS
https://www.virustotal.com/#/file/1f23a246d4723c658e27f2175a2e4b075960e1df862a3d33f54364ee93f2d960/detection

 

どの添付ファイルも、開いてマクロを有効にすると、マルウェアに感染する恐れがあります。
マクロによってPowerShellが実行され、以下の通信先へ通信し、追加のスクリプトを取得します。


■通信先(ステガノ)
hxxps://images2.imgbox[.]com/0a/66/PiqR9adi_o.png
hxxp://i65.tinypic[.]com/24eu7t1.png

 

上記通信後、スクリプトによって以下の実行ファイルが作成されます。
なお、今回のスクリプトは処理が重いのか、実行ファイルが作成されるまでに1時間以上かかるケースもあります。

作成されるのはダウンローダマルウェアのbeblohのDLLファイルです。explorer.exeを起動し、そのプロセスにインジェクションして実行されます。

■bebloh(DLL)
SHA256: a81763026ec8170cffede178386fe07912ae458cf530561770ba969d677a06a6
https://www.virustotal.com/#/file/a81763026ec8170cffede178386fe07912ae458cf530561770ba969d677a06a6/detection

 

beblohは以下のC2へアクセスします。
なお、beblohの詳細についてはあゆむ(@AES256bit)さんの以下の記事が参考になります。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

 
■bebloh-C2
masedonak[.]com

 

ダウンローダマルウェアのbeblohはC2と定期的に通信し、C2から指示があった場合には、追加のマルウェアをダウンロードします。
ダウンロードされるタイミングはC2の状況によりますが、一定の期間だけダウンロードの指示があるケースが多いです。
追加でダウンロードされるのは、不正送金マルウェアのursnifです。

 

■ursnif
SHA256: d0e1e82abea8fa5b5376bebcdaf9f02671e3d472e8323fa1f0d6c486e6551c65
https://www.virustotal.com/#/file/d0e1e82abea8fa5b5376bebcdaf9f02671e3d472e8323fa1f0d6c486e6551c65/details

 

マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。

・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。

 

以上