2019/05/07(火) 添付ファイル付不審メール(bebloh,ursnif(A))の調査
2019/05/07に、日本語の不審メール のばらまきが観測されています。
bebloh→ursnifと不正送金マルウェアへの感染を狙ったものです。
■日時
2019/05/07 16:00 頃-
○16:00頃-
■件名
(有償)注文書
FW:(通知)
RE: 通関
【訂正版】
建材発注書です
転送された画像 - From:
■添付ファイル
nnnnn2019年5月.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/5cb85d5bc7bc3eb44c747915f1b26a8bd923d32a5290424eeccb64e750b0fbe9/details
https://app.any.run/tasks/514e62c9-83ff-494e-9e3b-365a6f45e4b3
○17:00頃以降
■件名
【2019年5月】請求額のご連絡
■添付ファイル
nnnnn.XLS
※nnnnnは数字5桁
https://www.virustotal.com/#/file/2052b1c9455383827cc6d14da43249fd2172e6bdd82e1b782383391ac36baceb/details
https://app.any.run/tasks/cc128132-2723-4d00-9870-574041abbe8c
どちらの添付ファイルも動作は同じです。
開いてマクロを有効にすると、wmic.exeが起動し、wmiprvse.exeからPowerShellが実行されます。以下の通信先へ通信し、追加のスクリプトが取得し、マルウェアに感染する恐れがあります。
■通信先
・ステガノグラフィ
hxxps://i.imgur[.]com/47xDq9v.png
hxxps://images2.imgbox[.]com/1b/a6/9pJo30dK_o.png
※正規通信先(画像アップローダ)から画像ファイルを取得し、画像内に含まれていてそのままの形式では動作しないスクリプトをpowershellを使って抽出し、次の実行スクリプトとする。
上記通信後、後続のスクリプトによってマルウェアbeblohの実行ファイルが作成され、explorer.exeにインジェクションすることで動作・感染します。
■プロセスの動き
Excel.exe → Wmic.exe → wmiprvse.exe → PowerShell.exe -> PowerShell.exe -> explorer.exe
■bebloh
スクリプトにより作成されるのはDLL形式のダウンローダ型マルウェアのbeblohです。
・bebloh DLL
https://www.virustotal.com/#/file/f440d9d94b5bd99437ae0959679bc4c21e7fd7352af6894e9017d171a110ddc8/details
explorer.exeにインジェクションし、以下のC2と通信を行います。
・bebloh C2
hxxps://donersonma[.]com
今回、beblohのC2からの指令を受け取ることができ、以下はそれをメモリから抽出したものです。
ダウンロードする命令「>LD hxxps://donersonma[.]com/....」が含まれているのが分かります。
>CV 90
>DI
>LD hxxps://donersonma[.]com/uploads/rob.rar
参考:bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259
■追加のペイロード
beblohにより、以下のファイルがダウンロードされます。
hxxps://donersonma[.]com/uploads/rob.rar
beblohはこれを利用し、以下の不正送金マルウェアursnifを作成します。
※作成されるファイルはタイムスタンプが異なるため環境によりハッシュが異なります。
・ursnif C2
hxxps://lidersonef[.]com/images/
■マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。
・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。
以上