2019/04/10(水) 添付ファイル付不審メールの調査
昨日(2019年4月10日)beblohに感染する日本語のばらまきメールを観測しましたので、調査しました。
■添付ファイル
ファイルの内容は下記のようになっています。コンテンツの有効化をクリックするとpowershellが起動します。
ファイル名 (1)._____.6160
SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details
■通信先
powershellが下記ipと通信していることが確認できました。
-151[.]101.40.193 (i[.]imgur.com)
実際にBurp Suiteで i[.]imgur.com のURLを確認したところ、以下の画像ファイルをダウンロードしていました。
ダウンロードされる画像ファイル:
hxxps://i[.]imgur.com/fC5Pcd2[.]png
※ステガノグラフィの手法を利用して、Powershellのスクリプトをダウンロードしていると推測されます。
参考:
https://blog.trendmicro.co.jp/archives/19812
https://pastebin.com/rrxZ2F7i
今回、ダウンロードされる画像はスーパーマリオのフラワーでした。
補足:
Burp Suiteですが、初期の段階だと「Proxy」の「HTTP history」に表示される情報にフィルターがかかっているため、「Fillter. Hiding ....」と書かれている検索ウインドウをクリックし、「Filter by MIME type」で解析に必要なものにチェックを入れる必要があります。今回の場合、Imagesにチェックが入っていないため、Imagesにチェックをいれないと i[.]imgur.com宛の通信が表示されないので注意が必要です。
■解析1 プロセスの動き
下記のとおり、excel -> cmd.exe -> WMIC.exeと起動していることがわかります。そして、WMIC.exeがpowershellを起動していることがわかりました。
-WMICを経由したpowershellの呼び出し
次に下記のとおり、wmiprvse.exe経由でpOWersheLL.exeが実行されることが確認できます。
その後、下記のように再びpowershell.exeを起動した後、pOWersheLL.exeは終了します。
その後、powershell.exeはsysWOW\explorer.exeの起動を行っていました。Explorer.exeのdllインジェクションを行うためと思われます。また、理由は不明ですが、powershell.exeと同じPID(1884)でcmd.exeが動き、systeminfo等を起動し、情報収集していることが確認されました。
続いて、qisaadshtw.exeが起動し、explorer.exeを子プロセスとして起動し、qisaadshtw.exeはファイル毎消滅します。explorer.exeをdllインジェクションするためと思われます。その後、explorer.exeとmakecab.exeにより、%temp%配下に.binファイルの名前でcabファイルが作成されていることが確認できました。
■レジストリ書き換え
Autorunを利用して自動起動のレジストリを確認したところ、下記の実行ファイルが自動起動となるように修正されていました(普通に起動すると、下記のexe起動後にレジストリを書き換えられるため、セーフモードで起動する必要があります。)。
asfe32gt.exe
SHA1 da904780b5f63d3611c1c35da1c84b1d52cc0c10
※検体のハッシュ値は環境ごとに異なるものとなります。
https://www.virustotal.com/ja/file/7d6274fb58509385888b0e882c0b46c8b37fea1acf2adbaf81cdc8cf8f8cdad9/analysis/1554954089/
■.binファイルの中身
.binの中身は下記のようになっています。最初は下記のように、ホストの情報を書き込んでいることがわかりました。その後、ブラウザでアクセスしたURLやCookie、postデータ等を書き込んでいることが確認取れました。ただし、POSTデータはbase64でのエンコードおよび暗号化がされており、解読はできませんでした。
■.binファイルの送付先
Burpsuiteを利用して、通信先を解析してみたところ、下記のあて先に先ほどのbinファイルを送付していることが確認できました。①は最初に発生する通信であり、通信先は固定であると思われます。②、③起動するたびにあて先が変わるようなので、自動起動でasfe32gt.exeが実行されるときに、あて先が決まるのかと推測されます。
①hxxps://omnifoxt[.]com
※最初にbinファイルで感染端末の情報を送信していると思われます。
②hxxps://fibergon[.]com
③hxxps://pilodima[.]com
■今回観測したIoC情報
・hxxps://i[.]imgur.com/fC5Pcd2[.]png (151[.]101.40.193)
→ステガノグラフィ
・hxxps://omnifoxt[.]com
・hxxps://fibergon[.]com
・hxxps://pilodima[.]com
以上となります。