これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。

これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染してしまった端末を減らすべく、シンクホールの運用を始めました。

• 1.シンクホールの運用
  • 1-1.シンクホールとは
  • 1-2.シンクホール運用の目的
  • 1-3.シンクホールの対象としたドメイン
• 2.観測しているマルウェアについて
  • 2-1.不正送金マルウェアursnif
  • 2-2.ursnif感染端末の特徴
  • 2-3.マルウェアursnifの駆除
• 3.感染端末の特定手法
  • 3-1.感染元IPの特定
  • 3-2.感染IPの所有者への連絡

1.シンクホールの運用

1-1.シンクホールとは

マルウェアは通常、命令を受け取るためにC2と呼ばれる攻撃者が用意したドメインにアクセスします。
マルウェアの中には、予めプログラムによって複数のドメインにアクセスするよう設定されているものがあります。
シンクホールとは、このC2のドメインのうち、攻撃者が取得していない、または放棄したドメインを主にセキュリティの専門家が取得し、攻撃に利用できなくなったドメインのことを指します。

1-2.シンクホール運用の目的

シンクホールを運用する目的は、主に無害化と感染の特定です。
シンクホール化することで、そのドメインは攻撃には使用できなくなります。（ただし、C2が複数ある場合には全部をシンクホール化しないと全てが無害化される、とは言えない点は注意が必要です。）
シンクホールにアクセスがあったIPはそのC2ドメインに対応したマルウェアに感染している可能性が非常に高いと言えます。
そのため、シンクホールの運用者はアクセスのあったIPの使用者に対して連絡をし、マルウェア感染の連絡と駆除を依頼します。
そうすることにより、マルウェアに感染している者を減らすことが、シンクホールの運用者の目的です。
また、アクセスログを分析することにより、攻撃のより詳細な手口を分析することも目的の一つです。

1-3.シンクホールの対象としたドメイン

今回、こちらで運用するシンクホールが対象としているドメインは主に不正送金マルウェアursnifに関連するものです。
特に、楽天を騙ってリンク付きの不審メールをばらまいていた、ursnif-Bと分類されるもので、2018年10月以降にばらまかれたものが対象となります。

対象となるマルウェアは過去に以下の様なメールによってばらまかれていたものです。
https://bomccss.hatenablog.jp/entry/2018/12/14/134301

この時期のursnif-BはDGAと呼ばれる手法により、一定期間毎に複数の定められたドメインをC2として使います。
この複数のドメインのうち、攻撃者が取得していないドメインをシンクホールの対象とすることで、感染しているIPを観測します。
マルウェアが利用するドメイは一定期間毎に変わるため、シンクホールするドメインも都度追加しています。
シンクホールするドメインは全て以下のIPに紐づけています。
https://www.virustotal.com/#/ip-address/133.18.169.139

※なお、このursnif-Bと分類される攻撃者は3月時点でドメインの取得を行っておらず、攻撃を行っていない可能性があります。
　ただし、攻撃者がドメインを取得することですぐに攻撃を行えるため、引き続き注意が必要です。

2.観測しているマルウェアについて

2-1.不正送金マルウェアursnif

ursnifは銀行口座と認証情報を取得することで、不正送金を行うことに利用されるマルウェアです。
銀行のインターネットバンキングにログインする際にIDとパスワードをキー入力情報から取得したり、カード会社の偽のログイン画面を表示することで暗証番号を取得したり、という行為を行います。
日本はターゲットとして狙われており、主にメールのばらまきによって、感染を狙っています。
メールは楽天を騙ったものや請求書を騙って送られてきます。

ursnifの概要については以下を参照ください。
参考： https://www.jc3.or.jp/info/malware.html

2-2.ursnif感染端末の特徴

ursnifに感染した端末の特徴は以下になります。
・C2宛通信はURLに「/images/」や画像の拡張子「.bmp」、「.gif」、「.jpeg」を含む（ProxyなどのWebアクセスログから確認可能）
・端末内のテンポラリ領域「%AppData%\Local\Temp」に「*.bin」として窃盗情報が残っていることがある。
・端末の起動時に自動起動する設定としてレジストリキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に「%AppData%\」配下のプログラムを実行する設定がされる。

自分の端末がursnifに感染しているかをチェックするサイトがあります。ブラウザで以下にアクセスし、「感染チェック」ボタンをクリックし、赤い×が出たら感染しています。

www.jc3.or.jp

2-3.マルウェアursnifの駆除

マルウェアursnifを駆除するには、先に述べたレジストリキーとその値のファイルを削除してください。
なお、マルウェア本体を削除するにはwindowsをセーフモードで起動してから削除する必要があります。
念の為、アンチウイルスソフトでPC全体をスキャンしてマルウェアがないことを確認ください。
また、マルウェアによりPCで入力したID/PWが漏れている可能性がありますので、変更することを検討ください。

3.感染端末の特定手法

3-1.感染元IPの特定

シンクホールのドメインに対してアクセスがあったIPのうち、ursnifの特徴となる/images/へのアクセスがあったIPを感染端末として判別しています。

3-2.感染IPの所有者への連絡

アクセスのあったIPについて、whoisやnslookupにより、感染しているIPの所有者の特定を行います。
特定が可能であれば、以下の順で所有者に対して連絡を行います。
　・ 所有企業（あればCSIRT窓口宛に連絡）
　・ISP Abuse窓口（ISPで契約者を特定しマルウェア駆除依頼を行ってもらう）
　・JPCERT/CC（インシデントとして報告し、対応してもらう）

上記の手法により、マルウェア感染の特定とマルウェア駆除依頼を行うことで、マルウェアに感染してしまった端末を一つでも減らす努力を行っていきます。

以上