2019/04/10(水) 添付ファイル付不審メールの調査

昨日(2019年4月10日)beblohに感染する日本語のばらまきメールを観測しましたので、調査しました。

 

■添付ファイル

ファイルの内容は下記のようになっています。コンテンツの有効化をクリックするとpowershellが起動します。

 

ファイル名      (1)._____.6160

SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details

f:id:bankingmalware:20190411184800p:plain

■通信先

powershellが下記ipと通信していることが確認できました。

-151[.]101.40.193 (i[.]imgur.com)

 

f:id:bankingmalware:20190411184820p:plain

 

f:id:bankingmalware:20190411184832p:plain

実際にBurp Suiteで i[.]imgur.com のURLを確認したところ、以下の画像ファイルをダウンロードしていました。

ダウンロードされる画像ファイル:
hxxps://i[.]imgur.com/fC5Pcd2[.]png
ステガノグラフィの手法を利用して、Powershellスクリプトをダウンロードしていると推測されます。
参考:
https://blog.trendmicro.co.jp/archives/19812 
https://pastebin.com/rrxZ2F7i

今回、ダウンロードされる画像はスーパーマリオのフラワーでした。

f:id:bankingmalware:20190411190611p:plain

補足:
Burp Suiteですが、初期の段階だと「Proxy」の「HTTP history」に表示される情報にフィルターがかかっているため、「Fillter. Hiding ....」と書かれている検索ウインドウをクリックし、「Filter by MIME type」で解析に必要なものにチェックを入れる必要があります。今回の場合、Imagesにチェックが入っていないため、Imagesにチェックをいれないと i[.]imgur.com宛の通信が表示されないので注意が必要です。

 

■解析1 プロセスの動き

下記のとおり、excel -> cmd.exe -> WMIC.exeと起動していることがわかります。そして、WMIC.exeがpowershellを起動していることがわかりました。

 

-WMICを経由したpowershellの呼び出し

f:id:bankingmalware:20190411184937p:plain

 

次に下記のとおり、wmiprvse.exe経由でpOWersheLL.exeが実行されることが確認できます。

f:id:bankingmalware:20190411185002p:plain

 

その後、下記のように再びpowershell.exeを起動した後、pOWersheLL.exeは終了します。

 

f:id:bankingmalware:20190411185020p:plain

 

その後、powershell.exeはsysWOW\explorer.exeの起動を行っていました。Explorer.exeのdllインジェクションを行うためと思われます。また、理由は不明ですが、powershell.exeと同じPID(1884)でcmd.exeが動き、systeminfo等を起動し、情報収集していることが確認されました。

 

f:id:bankingmalware:20190411185034p:plain

 

続いて、qisaadshtw.exeが起動し、explorer.exeを子プロセスとして起動し、qisaadshtw.exeはファイル毎消滅します。explorer.exeをdllインジェクションするためと思われます。その後、explorer.exeとmakecab.exeにより、%temp%配下に.binファイルの名前でcabファイルが作成されていることが確認できました。

 

f:id:bankingmalware:20190411185048p:plain

 

レジストリ書き換え

Autorunを利用して自動起動レジストリを確認したところ、下記の実行ファイルが自動起動となるように修正されていました(普通に起動すると、下記のexe起動後にレジストリを書き換えられるため、セーフモードで起動する必要があります。)。

asfe32gt.exe

SHA1    da904780b5f63d3611c1c35da1c84b1d52cc0c10
※検体のハッシュ値は環境ごとに異なるものとなります。
https://www.virustotal.com/ja/file/7d6274fb58509385888b0e882c0b46c8b37fea1acf2adbaf81cdc8cf8f8cdad9/analysis/1554954089/

 

f:id:bankingmalware:20190411185107p:plain

 

■.binファイルの中身

.binの中身は下記のようになっています。最初は下記のように、ホストの情報を書き込んでいることがわかりました。その後、ブラウザでアクセスしたURLやCookie、postデータ等を書き込んでいることが確認取れました。ただし、POSTデータはbase64でのエンコードおよび暗号化がされており、解読はできませんでした。

 

f:id:bankingmalware:20190411185120p:plain

 

f:id:bankingmalware:20190411185127p:plain

 

■.binファイルの送付先

Burpsuiteを利用して、通信先を解析してみたところ、下記のあて先に先ほどのbinファイルを送付していることが確認できました。①は最初に発生する通信であり、通信先は固定であると思われます。②、③起動するたびにあて先が変わるようなので、自動起動でasfe32gt.exeが実行されるときに、あて先が決まるのかと推測されます。
①hxxps://omnifoxt[.]com
※最初にbinファイルで感染端末の情報を送信していると思われます。
②hxxps://fibergon[.]com
③hxxps://pilodima[.]com

 

f:id:bankingmalware:20190411185200p:plain

 

f:id:bankingmalware:20190411185152p:plain

 
■今回観測したIoC情報
・hxxps://i[.]imgur.com/fC5Pcd2[.]png (151[.]101.40.193)
 →ステガノグラフィ
・hxxps://omnifoxt[.]com
・hxxps://fibergon[.]com
・hxxps://pilodima[.]com

 以上となります。