2019/05/08(水) 添付ファイル付不審メールの調査

05/08分の不審メールを調査しましたので本ブログに更新したいと思います。
※ここ最近は不審メールが多い傾向になっているような気がします。


本解析の内容については、以前にbomさんのブログにて解析されていた情報とほぼ同じとなります。
https://bomccss.hatenablog.jp/entry/2019/04/30/235933

<メール情報>
メールそのものは入手できていないため、twitter上で公開されていた情報を纏めています。
◾️件名:
Fw:

◾️添付ファイル:
0805.rar
0805.zip
1.doc.rar
1.doc.zip
1.rar
1.zip
2019.rar
2019.zip
20190508.rar
20190508.zip
doc.rar
doc.zip
→zipにはjsファイルが含まれています。
   例:
   1.doc.js
   https://app.any.run/tasks/3262d9c4-860f-43f8-b45e-43936f4748ed
   doc.js
   https://app.any.run/tasks/017780f8-5bcc-49be-9e42-fb4cbaaa972b
   →any.run上で動作していることからサンドボックス製品を開始するような
      機能はないと思われます。
   
■送信者名
"Takashi Suzuki"
※メールアドレスは詐称している可能性有

■本文
パターン1:
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください

Takashi Suzuki」

パターン2:
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください
アーカイブ されたファイルのパスワードは123456です。よろしくお願いします。
Takashi Suzuki」

※パスワード付きの不審メールもばら撒かれていたようです。

参考情報:
https://www.daj.jp/bs/d-alert/bref/?bid=23
https://twitter.com/bomccss

<プロセス概要>

f:id:bankingmalware:20190509014240p:plain
jsファイル実行→PowerShell→Tempdzk82.exe(Ursnif)をダウンロード→control.exe→rundll32.exe→explorerの流れで感染していきます。

<jsファイルの分析>
jsファイルの中身はpowershell経由でUrsnifをダウンロードさせるものですが、難読化がほぼされていないので通信先およびファイルの保存場所は目視で確認可能です。
アクセス先:hxxp://registry-cloud[.]ru/x[.]exe
User-Agent:Google Chrome
保存先:%temp% 配下

<Ursnif感染後>
explorer.exeにインジェクション後、nslookup myip.opendns.com resolver1.opendns.com により自身のグローバルIPを確認などで端末情報を%temp% 配下のbinファイルに書き込み送信していると思われます。


今回、感染しているか確認できるサイトがJC3より提供されているので確認してみたところ、感染しているとの警告が出ていることを確認しました。

f:id:bankingmalware:20190509015438p:plain

<永続化>
Ursnif自身はレジストリの 起動時の自動実行を行うレジストリ HKCU\SOFTWARE\MIcrosoft\Windows\Current\Version\Run に書き込まれます。
よって、再起動後にUrsnifが再実行されるため、c:\users\ユーザ名\appdata\roaming\microsoft\ランダムなフォルダ に入っているexeファイルを削除する必要があります。

f:id:bankingmalware:20190509182114p:plain

<感染後の通信先>

IPを調査するhxxp://curlmyip.net、情報を送信する hxxp://adonis-medicine[.]at/images/~ への通信を確認しました。

f:id:bankingmalware:20190509193702p:plain



以上となります。