2019/04/12(金) 添付ファイル付不審メールの調査

2019年4月12日の17時ごろからばら撒かれた不審メールについて解析してみました。

今回の不審メールはバンキングマルウェアのEmotetだと思われます。Emotetは2018年の11月から日本で確認されることが多くなりました。

 

■添付ファイル

 ・今回解析したファイルは、48e6b0c0b0707045ff76094c64908532.doc

  https://app.any.run/tasks/f06af0db-2dab-4b60-8b2b-5306f2f0608c

 

  添付ファイルを開いてコンテンツの有効化をクリックするとマクロが実行されます。

f:id:bankingmalware:20190412193315p:plain

ハッシュ値

Sha1   C70E236F7828512AB9AB31C3F483DDE5E8CEFB8C

 

■プロセスの動き

Powershell実行からC2サーバへの通信まで〉

下記のとおりPowershell起動後、480.exeおよびiellguiddef.exeが起動することがわかります。480.exeはiellguiddef.exe起動後に、ファイルごと消去されます。iellguiddef.exeは自動起動になるようにレジストリに登録され、ハッシュ値は以下です。

 

Sha1      5691B46FF92169EA7AF91EBC8F2C9584AB5505AD

https://www.virustotal.com/ja/file/b5e18c10a192057e0127a2db8729c30c8ccf9cdc96994004fbdf45713843a202/analysis/

 

f:id:bankingmalware:20190412193331p:plain

f:id:bankingmalware:20190412193340p:plain

 

Powershellの通信先

ProcessMonitorおよびBurpSuiteを利用して、Powershellが下記と通信していることがわかりました。

17:25:35          aussiescanners.com

17:25:37          fumicolcali.com

 

fumicolcali.com/wblev-6pox5-vpckk/4ih2/にアクセスした後、

下記のハッシュ値を持つexeがダウンロードされることを確認できました。

SHA1    1440671ED594A7D91B425B8C83E01FC63FC6911B

 

https://www.virustotal.com/ja/url/6e43d77c1e36f0e5e4c457143fb3bf824f3631e9c41dc8b5911e7531932a460f/analysis/1555061728/

https://www.virustotal.com/ja/url/4e7fbf277f609ba964efe0e8bfc0950baf30bfaf34c1ad9a0106e6bab9bbf9c3/analysis/1555061758/

 

f:id:bankingmalware:20190412193411p:plain

f:id:bankingmalware:20190412193422p:plain

■ iellguiddef.exeの通信先

同様の方法でiellguiddef.exeの通信先も下記のようにわかりました。しかし、iellguiddef.exeはいくつかの通信先を持っており、他にも通信先があると思います。今回はC2への通信が成立したため、他のC2サーバへは通信していないと思われます。

 

(Post1回目)

hxxp://187.188.166[.]192/splash/symbols/ringin/


・PostData

Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qpt~中略~2FgckqQBLdEaVMRjgXbUabNvJj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D

 

(Post2回目)

 hxxp://187.188.166[.]192/devices/entries/nsip/

 

・PostData

Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qptbNYuE24MAE1svA%2Fyz4u9C0rfUVEBGhwVYoPyEOtpNJo%2B%2FHiiPgFqWMKUFpbgr4ujsbDO256sZ2holiYMug3fqenn8olqtg%2FYUt6xSKCKoQq4vuEHE2r5jW~中略~ Jj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D

 

POSTにて送られたデータはURLエンコードBase64にてエンコードに加えて、

暗号化されていると思われ、通信しているデータについては確認できませんでした。