久しぶりに、1週間に二度、bebloh->ursnifの不正送金マルウェアへの感染を狙ったメールのばらまきを観測しました。
先週にはメールのばらまきがなかった反動かもしれません。
今回は2種類の件名、3種類の添付ファイルがありますが、どれも同じ通信先へ接続します。

■日時
2019/05/30(木)

○15:00頃-
■件名
FW: 【（株) . 】
FW: 【重要連絡】
お支払案内書
5/30送り状Ｎｏ報告
5月請求書の件
0nnnn発注分

■添付ファイル
請求書_00nnnnn.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/6f1bcd419a827a9dbdbfef3dfd228d75fdb9844a58f62c9d7a1584dbfb18046a/details

○16:00頃-
■件名
申請書類の提出

■添付ファイル
D O C 00nnnn nnnn2019nnnnn.xls
https://www.virustotal.com/#/file/75d36c18778804666ea78c47498ea7e4e29e788d36866bcbd35db32d64ba2fc5/details

○17:20頃-
■件名
FW: 【（株) . 】
FW: 【重要連絡】
お支払案内書
5/30送り状Ｎｏ報告
5月請求書の件
0nnnn発注分

■添付ファイル
30052019nnnnnnnn.xls
※nnnnnは数字8桁
https://www.virustotal.com/#/file/042af9f28133aedbd4cb819eec856ccfb9efcf25976aac3ff479d589d9db26bf/details

添付ファイルのExcelにはマクロが付いており、外部からマルウェアをダウンロードしてくるダウンローダです。

通信先は以下です。

■通信先(ダウンローダ通信先)
hxxps://berdiset[.]top/uploads/QuotaManager
※ダウンローダ型マルウェアbeblohの実行ファイル(.exe) 
端末上ではOutlooksrss.exeとして実行されます。

ダウンロードした日により、hashは異なります。
・2019/05/30
https://www.virustotal.com/#/file/79fca0988013c19b6bff7d664a033a454e447c3efffebff72a8f913cadd246be/details
・2019/05/31
https://www.virustotal.com/#/file/07c7ec61d9e4fe3af22a80fa206a019ed490aa37a1c1f6c46c3563701adc0510/details

■通信先(bebloh C2)
hxxps://berdiset[.]top/
C2への通信は以下のように出ます。通信先のパスは/auth/配下はランダムです。

■通信先(bebloh取得ファイル)
beblohにより、以下のファイルがダウンロードされます。
・2019/05/30
hxxp://berdiset.top/uploads/orders.rar
・2019/05/31
hxxps://berdiset.top/uploads/tao.zip
※どちらも圧縮ファイルや実行ファイルではない
　beblohはこれを利用し、不正送金マルウェアursnifを作成、感染させます。
beblohからダウンロードの命令が来る場合は以下のようになります。

参考：bebloh(URLZone)の詳細についてはあゆむ(@AES256bit)さんの以下の記事を参考にしています。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

■ursnif
beblohにより不正送金マルウェアursnifが作成されます。
なお、作成されるマルウェアは環境によりタイムスタンプが異なるためハッシュが異なります。
以下3つのursnifはそれぞれ同じ環境上で別の時刻で作成されたものです。どれもタイムスタンプが異なるのみで、その他の部分は同一です。
https://www.virustotal.com/#/file/93016ae82d67bc8ea3d89958104d6f2024f317cbb8a272fcb628f19914b00b73/detection
https://www.virustotal.com/#/file/7887cc4d577a1559525b30466cd3a31737dbaedf07968328f244d09e7d0d329c/detection
https://www.virustotal.com/#/file/1eca399763808be89d2e58e1b5e242324d60e16c0f3b5012b0070499ab482510/detection
https://app.any.run/tasks/633b6072-a15c-407d-a070-28db2679dc0d/

■ursnif C2
hxxps://paderson.top/

■ursnifコンフィグ
コンフィグは以下です。
・Serpent Key: CBA17F7E892431A1
・Bot version: 3.00.05.4
・Botnet id=1000
・C2 Domain: pilodirsob.com
・C2 server ID: 12
・Soft: 1
（参考）https://pastebin.com/CTeH9XZP

■ursnifの永続化
ursnifは再起動後も動作するよう、以下に設定を残します。
環境により保存先フォルダ名、ファイル名は異なります。
また、設定は通常時は存在せず、PCのシャットダウン処理中にファイルとレジストリキーが作成されます。PCが起動しursnifが自動実行された後にはファイルとレジストリキーは削除されます。

■プロセスの動き
Excel -> wmic.exe -> wmiprvse.exe -> PowerShell.exe -> bebloh.exe -> bebloh.exe(コピー) -> explorer.exe(32bit)(bebloh感染) -> cmd,exe -> chcp.exe , wmic.exe -> ursnif.exe -> ursnif.exe(コピー) -> explorer.exe(64bit) -> explorer.exe(インジェクション)(ursnif感染) -> cmd.exe , systeminfo.exe , net.exe , nslookup.exe , tasklist.exe , driverquery.exe , reg.exe , reg.exe , makecab.exe

■通信先一覧
通信先はbeblohと(bebloh感染後のnet確認のgoogleと)ursnifのC2です。
なお、この日からC2通信先のドメインがこれまでの.comから.topに変わりました。

■マルウェア感染有無の確認
C2サーバへの通信がないか、確認します。ursnifのC2へのアクセスは/images/配下のパスで.gif、.jpeg、.pngへのアクセスになります。
また、ursnifは一定時間毎に%Temp%配下のフォルダ（通常C:\Users\(UserName)\AppData\Local\Temp）にランダムな4桁.binというファイルを作ります。インターネットに接続しない状態でそういったファイルが作られないか確認します。

■マルウェアの無害化
・bebloh
添付ファイルを開き、beblohに感染した場合には、端末を再起動することでマルウェアの感染を駆除することが可能です。
これは、beblohがexplorerにインジェクションするのみでPCに永続化する仕組みを使用しないためです。

・ursnif
ursnifに感染した場合には、セーフモードでPCを再起動し、自動起動のレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」の削除とその値に存在するexeファイルの削除が必要になります。
これは、ursnifは感染中はexplorer.exeにインジェクションしてメモリ上のみに存在しており、ファイルとしては現れないためです。
そのため、乱暴にやるので構わなければ、Explorer.exeを強制終了するか、またはPCを電源ボタン長押し等で強制終了することで、感染を停止させることが可能です。

以上