5/7から20日ぶりにbebloh->ursnifへの感染を狙ったバラマキメールを観測しました。
今回は3種類の件名、添付ファイルがありますが、どれも同じ通信先へ接続します。

■日時
2019/05/27(月)

○16:00頃-
■件名
FW: 【再送】2019/2
【仮版下送付】
【電話未確認】
(※)2019ご請求の件
(※)指定請求書
(※)注文書、請書及び請求書のご送付
(※)はなし、-、Fw:、Fwd:、Re:、RE:のどれか

■添付ファイル
5.(nnnnn)-nnnnn.xls
※nnnnnはそれぞれ数字5桁となります。
https://www.virustotal.com/#/file/531f1134ab8e3cdab18c02af57cd6e64843e696dece9aef0aa88910f3914b0c7/detection
https://app.any.run/tasks/369bfef9-226f-44d4-8f37-b21efce10e31/

○17:10頃-
■件名
修正版
出荷明細添付
紙看板送付の件
券類発注書
(修正依頼）
発注分　追加

■添付ファイル
D O C N.nnnnnn 2019_05.XLS
※nnnnnnは数字6桁
https://www.virustotal.com/#/file/cb0b8a2c1ca33d89a2181e58a0948bd88f478a39af45d0b54c53913cd89a5aba/details

○19:10-
■件名
写真添付
写真送付の件

■添付ファイル
2019_nnnnn_mmmmm.xls
※nnnnn,mmmmmは数字2-5桁
https://www.virustotal.com/#/file/da8ed41834d775e686ce129518e23b9e5f6fb74dc0a55f66d2242862566a3cf0/details

添付ファイルにはマクロが付いており、外部からマルウェアをダウンロードしてくるダウンローダです。
通信先は以下です。

■通信先
hxxps://paterdonga[.]com/uploads/HelpPaneS
※exe形式のbebloh
　2019/05/07ではステガノグラフィからDLL版のbeblohを作成していましたが、再び直接exe形式のbeblohをダウンロードするように動作が変わりました。

https://www.virustotal.com/#/file/6d0728bb6e334f39e683f192d8e2c56b4b13f301263f8b33483c5be038145a65/details
https://www.virustotal.com/#/file/c992a52900003887c978ef4de356678990a8e9182902aa58f28d602ac95a8408/details
ダウンロードした日により、hashは異なりました。1つ目：2019/05/27。2つ目：2019/05/28。

■通信先(bebloh C2)
hxxps://paterdonga[.]com/
C2への通信は、以下のように出ます。通信先のパスは/auth/配下はランダムです。

■通信先(beblohが取得するファイル)
beblohにより、以下のファイルがダウンロードされます。
・2019/05/27時点
hxxps://paterdonga[.]com/uploads/sales.rar
・2019/05/28時点
hxxps://paterdonga[.]com/uploads/sony.rar
※どちらも圧縮ファイルや実行ファイルではない
　beblohはこれを利用し、不正送金マルウェアursnifを作成、感染させます。

beblohからダウンロードの命令が来ない場合は以下のような命令です。

beblohからダウンロードの命令が来る場合は以下のような命令です。

参考：bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

■ursnif(サンプル)
beblohにより作成されるursnifはタイムスタンプが異なるため環境によりハッシュが異なります。
https://www.virustotal.com/#/file/7564942346e166ff21e2e4cb7a07a290b2e3418e639645f17b9ea0d7d7ba5cc4/details
https://app.any.run/tasks/6594fccd-dcfa-41ac-ab44-89b0670ca198/

・version=300054
・id=1000

■通信先(ursnif C2)
hxxps://pilodirsob[.]com

■ursnifの永続化
ursnifは再起動後も動作するよう、以下に設定を残します。
環境により保存先フォルダ名、ファイル名は異なります。
また、設定は通常時は存在せず、PCのシャットダウン処理中にファイルとレジストリキーが作成されます。PCが起動しursnifが自動実行された後にはファイルとレジストリキーは削除されます。

■プロセスの動き
Excel -> wmic.exe -> wmiprvse.exe -> PowerShell.exe -> bebloh.exe -> bebloh.exe(コピー) -> explorer.exe(32bit)(bebloh感染) -> wmic.exe -> ursnif.exe -> ursnif.exe(コピー) -> explorer.exe(64bit) -> explorer.exe(インジェクション)(ursnif感染) -> cmd.exe , systeminfo.exe , net.exe , nslookup.exe , tasklist.exe , driverquery.exe , reg.exe , reg.exe , makecab.exe

■通信先一覧
通信先はbeblohと(bebloh感染後のnet確認のgoogleと)ursnifのC2です。

■マルウェア感染有無の確認
C2サーバへの通信がないか、確認します。ursnifのC2へのアクセスは/images/配下のパスで.gif、.jpeg、.pngへのアクセスになります。
また、ursnifは一定時間毎に%Temp%配下のフォルダ（通常C:\Users\(UserName)\AppData\Local\Temp）にランダムな4桁.binというファイルを作ります。インターネットに接続しない状態でそういったファイルが作られないか確認します。

■マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。

・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。

以上