2019/04/12(金) 添付ファイル付不審メールの調査
2019年4月12日の17時ごろからばら撒かれた不審メールについて解析してみました。
今回の不審メールはバンキングマルウェアのEmotetだと思われます。Emotetは2018年の11月から日本で確認されることが多くなりました。
■添付ファイル
・今回解析したファイルは、48e6b0c0b0707045ff76094c64908532.doc
https://app.any.run/tasks/f06af0db-2dab-4b60-8b2b-5306f2f0608c
添付ファイルを開いてコンテンツの有効化をクリックするとマクロが実行されます。
Sha1 C70E236F7828512AB9AB31C3F483DDE5E8CEFB8C
■プロセスの動き
〈Powershell実行からC2サーバへの通信まで〉
下記のとおりPowershell起動後、480.exeおよびiellguiddef.exeが起動することがわかります。480.exeはiellguiddef.exe起動後に、ファイルごと消去されます。iellguiddef.exeは自動起動になるようにレジストリに登録され、ハッシュ値は以下です。
Sha1 5691B46FF92169EA7AF91EBC8F2C9584AB5505AD
- Powershell起動後のプロセスフロー
■Powershellの通信先
ProcessMonitorおよびBurpSuiteを利用して、Powershellが下記と通信していることがわかりました。
17:25:35 aussiescanners.com
17:25:37 fumicolcali.com
fumicolcali.com/wblev-6pox5-vpckk/4ih2/にアクセスした後、
下記のハッシュ値を持つexeがダウンロードされることを確認できました。
SHA1 1440671ED594A7D91B425B8C83E01FC63FC6911B
■ iellguiddef.exeの通信先
同様の方法でiellguiddef.exeの通信先も下記のようにわかりました。しかし、iellguiddef.exeはいくつかの通信先を持っており、他にも通信先があると思います。今回はC2への通信が成立したため、他のC2サーバへは通信していないと思われます。
(Post1回目)
hxxp://187.188.166[.]192/splash/symbols/ringin/
・PostData
Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qpt~中略~2FgckqQBLdEaVMRjgXbUabNvJj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D
(Post2回目)
hxxp://187.188.166[.]192/devices/entries/nsip/
・PostData
Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qptbNYuE24MAE1svA%2Fyz4u9C0rfUVEBGhwVYoPyEOtpNJo%2B%2FHiiPgFqWMKUFpbgr4ujsbDO256sZ2holiYMug3fqenn8olqtg%2FYUt6xSKCKoQq4vuEHE2r5jW~中略~ Jj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D
POSTにて送られたデータはURLエンコードとBase64にてエンコードに加えて、
暗号化されていると思われ、通信しているデータについては確認できませんでした。