bomb_log

セキュリティに関するbom

2019/05/22(水) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査

5/21に続き、不正送金マルウェアursnifへの感染を狙った不審メールのばらまきを観測しています。

 

■日時
2019/05/22 8:00頃-

 

■件名
Fw:

 

■メール送信者(HeaderFrom)
"Akira Suzuki"
※返信先メールアドレスはバラバラであり、詐称しているものと思われます。

 

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。

 運送状況を、お知らせ致します。

 ご注文番号:1561768
 ----------------------------------------------------
 運送会社:佐川急便

 詳細状況は添付資料にて送りますので、ご確認ください

 Akira Suzuki

 +81 (ランダムな9桁の数字)」

 

■添付ファイル
様々なファイル名を観測しています。圧縮ファイル(.zipまたは.rar)の中に含まれる.vbsファイルがダウンローダです。
・1.doc.zip -> 1.doc.vbs
https://www.virustotal.com/#/file/1c784c420efcda73d2f429c4532c95989b2d81b88e5ed0a21b33b53458ec2274/detection
・New_Document.zip -> New Document.vbs
https://www.virustotal.com/#/file/c763c6f49a2aea3f7cbaafeae8ee433470fa52a0f2fe457f19ee829c6a015d07/detection
・1.doc.rar / 1.doc.vbs
invoice.zip /invoice.vbs

これまで来ていたjs形式のダウンローダは前日で終わりました。前日にはjsファイルとvbsと双方をばらまいており、vbsファイルへの切り替えのテストだったのではないかと考えられます。

 

■通信先
ダウンローダのvbsファイルを実行すると、以下のファイルを取得します。
・ダウンロード
hxxp://wex-notdead[.]ru/1.doc
サイト上には.docファイルで存在していますが、実際には実行ファイルです。
サンドボックスで直接URLをスキャンされた際に.docファイルとして動作させることで検知回避を行うことを目的として拡張子を偽装しているものと考えられます。
ダウンローダから実行した場合には、ダウンロード後にファイル名を変更して実行します。
同じURLでも時間帯によってハッシュが変わっているのを観測しています。

https://www.virustotal.com/#/file/e48a698a3b778afeb0aab38e3311e5644af17c2fb58b06e03b9de3a23922d13c/details
https://www.virustotal.com/#/file/2b330d2eea637a524621dca0b18db45b53d7542d21323afed1f454f3437c4d3e/details
https://app.any.run/tasks/f663f558-ce8a-459f-ae5b-a8db9b1b73db

この実行ファイルは不正送金マルウェアのursnif(Dreambot)です。

 

■通信先
ursnif感染後の通信先は以下です。
・初期通信
hxxp://curlmyip.net
 ※接続しているIPを調査するための通信。一度のみ発生。
・追加ファイル取得の通信
hxxp://11totalzaelooop11[.]club/jd/t32.bin
  ※IP未割り当てのためDNS通信のみ発生し接続できない。64bit環境ではt64.binへ接続
・C2
hxxp://adonis-medicine[.]at/images/~省略
 ※/images/はエンコードされた文字列で、拡張子は.gif,.bmp,.png等で定期的に発生

 

■プロセス
ursnifが実行されると、control.exe -> rundll32.exe -> Explorer.exe と遷移し、Explorerにインジェクションした状態でursnifが動作します。

f:id:bomccss:20190530032547p:plain

感染後はcmd.exe やnslookup.exeによる感染端末のIPの確認などが行われます。

■ursnifコンフィグ
前日までのばらまかれていたものと、コンフィグが変更されていました。
グループIDがこれまでの1002から1010へと変更しています。
・Config
TOR Domains : hxxp://h33a7jzovxp2dxfg.onion
Domains : hxxp://adonis-medicine.at
DGA TLDs : com ru org
BC Timeout : 10
Tor32bit DLL URLs : 11totalzaelooop11.club/jd/t32.bin file://c:\test\test32.dll
Tor64bit DLL URLs : 11totalzaelooop11.club/jd/t64.bin file://c:\test\tor64.dll
IP Service :curlmyip.net
Server : 12
Encryption key : s4Sc9mDb35Ayj8oO
Timer : 1
ConfigFailTimeout : 300
Config Timeout : 300
Task Timeout : 300
Send Timeout : 300
Knocker Timeout : 300
DGA Season : 10
Botnet/GroupID : 1010
DGA Sead : 1
TimeoutTimer : 60
version=217068
f:id:bomccss:20190530031656p:plain

f:id:bomccss:20190530031703p:plain

 

■ursnifの感染後の永続化
ursnifはPCのログイン時の自動実行ファイルとしてレジストリに設定することで、実行され続ける環境を設定します。
ursnifのファイルは「C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\(ランダムなフォルダ)\」配下にランダムな名前でコピーされます。

 

■ursnif感染後の無害化
ursnif感染後は上記自動起動レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除をすることで、次回ログイン時以降、実行されなくなります。
また、実行中のursnifの削除はExplorer.EXEを停止後、または、セーフモードで起動後に、マルウェア本体(レジストリの値のパスに存在する)の削除が必要となります。

 

 

以上