2019/05/15(水) 添付ファイル付不審メールの解析
2019/05/15(水)に少数ですが、不審メールを確認したとのtwitterが流れていましたので該当のファイルに対して動的分析をしてみました。
今回、Twitter上で報告された不審メールは拡張子がisoファイルであり、機械翻訳で変更されたものと思われるような文章でした。
該当のファイルはiso形式となっているので、isoファイルをマウントします。マウントしたドライブ内に「TVcard.exe」というexeファイルが導入されており、クリックすると感染します。
※そもそもマウントしたファイルを実行する人がいるかは不明ですが。。。。
実行後、そのファイルに操作履歴やキーボード上で入力した情報を「C:\Users\ユーザー名\AppData\Roaming\remco\logs.dat」に書き込んでおり、どのようなアプリケーションを動作させ操作したか分かる状態になっていました。
※PW情報などもばっちり見えていました。
例:
{ 2019/05/15 17:41:02 - Offline Keylogger Started! }
[ Process Hacker [username-PC\username]+ (Administrator) ]
[Following text has been copied to clipboard:]
(tcp.port == 80 && http.host != "")||(tcp.port == 443 && ssl.handshake.extensions_server_name != "")
[End of clipboard text]
[ ファイル名を指定して実行 ]
[Ctrl + 「] [Ctrl + V]
[Following text has been pasted from clipboard:]
C:\Users\username\AppData\Roaming\remcos\logs.dat
[End of clipboard text]
[LCtrl] [Enter]
通信では、IPアドレス 91[.]192[.]100[.]7およびドメインamblessed[.]ddns[.]net宛とのやり取りを確認しています。
ペイロードの中身までは分析できませんでしたが、IPアドレス 91[.]192[.]100[.]7とポート1900を用いて通信を行っていることからC2とやり取りをしていると推測されます。
自動起動を設定するレジストリ「HKCU\Software\Microsoft\Windows\CurrentVersion \Run」にて「C:\Users\ユーザー名\AppData\Local\Mozilla\MiniConvert.exeMiniConvert.exe」を実行させる永続化を行っていました。よって、該当のファイルはハッシュ値が「TVcard.exe」と同一であるため、「TVcard.exe」を別のマルウェア名としてコピーを行い、再度実行される仕組みとなっています。マルウェア感染後は該当のプロセスとMiniConvert.exeの削除が必要となります。
全てを分析することは出来ませんでしたが、機能的には端末の操作内容を取得するマルウェアと推測されます。
以上、動的分析の簡易分析となります。
■IoC情報
・C2
IPアドレス:91[.]192[.]100[.]7
ドメイン名:amblessed[.]ddns[.]net
・マルウェア
TVcard.exe
https://www.virustotal.com/en/file/832f60472ec03ee963df2655b0df54418dd4517baba7a26731ee707aa1683b71/analysis/