※本記事は2017年2月10日に米国で掲載されたブログ記事の抄訳を基にしています。

先日、Palo Alto Networksは、悪意のあるマクロを利用する、Microsoft Office用の特異なローダーについて分析しました。このローダーは、多数のマルウェア ファミリの導入に使われ続けており、最初、2016年12月初旬に目撃されました。それ以降、650個を超える一意のサンプルが確認されています。数は多くありませんが、一部日本でも観測されました。これらのサンプルは12,000個の悪意のあるセッションを占めており、非常に多くの業種がこれらのセッションの標的になっています。ローダーそれ自体は主として電子メールを介して配信されます。そして、難読化が著しく施されている悪意のあるマクロを利用するだけでなく、2016年8月に最初に発見されたユーザー アカウント制御(UAC)回避手法も利用します。

配信

先ほど述べたとおり、このローダーは主にフィッシング電子メールを介して配信されます。約12,000個の悪意のあるセッションを調べてみると、以下の件名とファイル名が最も頻繁に現れます。

上位にランクされる電子メール件名

  1. ENQ RFQ19-SIS-2017
  2. Order 032.
  3. PURCHASE ORDER
  4. FINAL REMINDER!! TOP URGENT Saudi Arabian Oil Company : Request for quotation no.7202159560
  5. Obeikan Purchase Enquiry…
  6. ORDER TRIAL
  7. Re: Our policy
  8. RFQ PO 7700 8800 9900
  9. AW: Attachment
  10. Verify Your Email Now!!!

上位にランクされるファイル名

  1. Invoice #74267363.doc
  2. QING_SHUN 20161201_Q88.doc
  3. ProductList.doc
  4. Lebanon deposit slip.doc
  5. ENQ-19-0143-SIS.xls
  6. Company Profile.doc
  7. CONTRACT AND LABEL SABAROT.doc
  8. New-RFQ.doc
  9. PO#19651.doc
  10. WIRE SCANCOPY-001.doc

この脅威により最も影響を受けている業種について調べてみると、ハイテク産業、専門的法律サービス業、政府がその中に入っていました。しかし、このローダーはそれ以外の複数の業種にも打撃を与えていました。

図 AutoFocus内で確認された、上位にランクされる業種

このローダーがダウンロードするマルウェアは多岐にわたります。以下のマルウェア ファミリがドロップされているところが確認されました。

商品として流通しているマルウェア ファミリが大量にドロップされている他、広範囲への配信が確認されていることから、このローダーは、主に、拡散を目的とする攻撃活動に使われているように見受けられます。

ローダーの分析

サンプルすべてにわたって使われている様々なマクロを分析した結果、これらのほとんどすべてにおいて同じ手法が使われていることが分かりました。これらのマクロは、すべて、大量のガベージ コードとランダムに選択された変数を使って難読化されています。これが何かのビルダーを使ってこれらを生成した結果であることはほぼ間違いありません。

下記のマクロを4e56c777862ced487b4dd2556886bd429187c3c1c51c1f51fcba52e2ae350e12から取り出す際にどういうことが行われているのか、見ていきましょう。このサンプルは、SMTPにより複数の組織に配信されているところを目撃されました。その際の件名は‘Request For Quotation [RFQ]’であり、ファイル名は‘RFQ.doc’または‘Order Details.doc’のいずれかでした。

マクロの後半部には、ガベージ コード、多数の難読化済みの文字列の他、Word文書に書き込まれている多数の文字列がありました。これらの文字列は、確認された前記の件名とファイル名から、攻撃者が用いている策と合致しています。

図2 悪意のあるマクロの後半部

マクロの前半部には難読化された文字列をデコードする関数が含まれています。様々な文字列が、連結された後で、シェル コマンドを使って呼び出される前に、このデコード関数に渡されます。これらの文字列をデコードするのは極めて簡単で、マクロはブラックリスト文字列に現れている文字を取り除くだけです。例えば、‘Haellbo’をブラックリスト文字列‘ab’でデコードすると‘Hello’という結果を得ます。

図3 悪意のあるマクロの前半部

こうしたマクロの中におとり情報が常に存在するとは限りません。約650個のサンプルを分析したところ、半数強におとり情報が含まれていました。さらに、InStrRev()呼び出しも常に存在するとは限りません。他のサンプルでも以下の例に類似の手法を使っている場合があります。その例では‘J8RRLQYA6Z’がブラックリスト文字列であり、denyoffer変数には難読化済み文字列の個々の文字が含まれています。

文字列をデコードすると、次のようになります。

この関数は、PowerShellによりファイルをダウンロードし、それを%TEMP%ディレクトリ内にドロップします。その後、新たにドロップされたこのファイルを指し示すよう特定のレジストリー キーを設定します。最後に、組み込みのeventvwr.exeプロセスを実行し、localhostに対するpingを15回実行することで約15秒間スリープし、実行可能ファイルおよびドロップ済みファイルを削除します。eventvwr.exeのレジストリ キー書き込みおよび実行は、ここで最初に考察されたUAC回避手法です。これは、組み込みのeventvwr.exeプロセスが最初に‘HKCU\Software\Classes\mscfile\shell\open\command’レジストリ キー内のプロセス名を検索するMicrosoft Windowsの欠陥に依拠するものです。このキーを作成し、攻撃者が選んだ実行可能ファイルにこのキーを提供することで、実行可能ファイルは権限が昇格された状態でeventvwr.exeにより生成されます。

マルウェア アナリストの助けになるよう、スクリプトを用意しました。このスクリプトを使えば、Microsoft Officeファイルから、このローダーを使っている埋め込み済みマクロを抽出することができます。では、埋め込み済みマクロ文字列のセグメントをデコードしてみましょう。このスクリプトを4e56c777862ced487b4dd2556886bd429187c3c1c51c1f51fcba52e2ae350e12ファイルに対して実行すると、以下の結果を得ます。(注: URLは無害化した表記にしてあります)。

また、事例の数は少ないですが、攻撃者が組み込みのBITSAdminツールをPowerShellの代わりに利用する方を選んで、下記のサンプルに見られるマルウェアをダウンロードする場合がある、ということにも注意しておかなければなりません。

これらの事例では、同じマクロ難読化が用いられているので、UACを回避する手法やlocalhostに対するpingを15回実行する手法が同じであることが分かります。

650個のサンプル中11個だけが、BITSAdminを利用してこのローダー内にマルウェアをダウンロードしていました。BITSAdminが使われていた事例は、すべて、このローダーが最初に確認された2016年12月初旬に発生しました。攻撃者はこれをいちはやく変更し、ダウンロード用にPowerShellを採用した模様です。

結論

全体的に見て、この新型ローダーはUAC回避の実行を利用する点で興味深いものがあります。また、昨年の12月以降このローダーが広く利用されていることから、多数の攻撃活動でこのローダーが使われ続けていることが分かります。ローダーを利用している者が1人なのかグループなのか、はっきりとは分かりません。複数の業種がこのローダーの標的にされてきており、ローダーは複数のマルウェア ファミリを導入するのに利用されています。

Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

  • このローダーおよびドロップされたマルウェアのインスタンスは、すべて、WildFire内で悪意のあるものとしてフラグ付けされます。
  • ドロップされた様々なマルウェア ファミリはAutoFocus内でタグ付されます(LuminosityLinkKeyBasePredatorPainAncalogBartallexPonyDarkComet)。
  • アンチスパイウェアおよびアンチウイルスに関する多数のシグネチャが、様々なマルウェア ファミリに関して提供されています。

侵害の痕跡の完全なリストは、タイムスタンプ、SHA256ハッシュ、ダウンロードURL、ドロップされたファイルの名前を含んだ形で、ここで提供されています。

このローダーのことを最初に教えていただいたことに対し、Brandon Levene氏に深く感謝します。

参考資料

悪意のあるマクロがFareitマルウェア用に権限を昇格してUACを回避する


 

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1350

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2239

Palo Alto Networks Petya ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年6月27日、Petyaのランサムウェアは、政府や重要インフラストラクチャのオペレータを含む複数の組織に影響を与え始めました。この攻撃は、2017年5月のWanaCrypt0r / WanaCry攻撃と同様の方法で広がっているようで、ETERNALBLUEエクスプロイトツールを使用してMicrosoft Windows SMBプロトコル経由でネットワークを通過する可能性が高いと思われます。 Palo Alto Networksの顧客は、次世代セキュリティプラットフォームの複数の要素にわたって作成、配信、施行された保護機能により、Petyaの攻撃から自動的に保護されました。
  • 0
  • 1734

ランサムウェア防御のベスト プラクティス

ランサムウェアとは、エンド ユーザーのコンピュータ上のファイルの暗号化を試み、暗号化されたファイルの復元と引き換えに金銭を要求するマルウェアの一種です。 ランサムウェアは、現在の脅威ランドスケープにおいて最も一般的な脅威の1つです。 異なる多くの亜種が存在し、感染から回復するために多額の費用がかかる恐れがあり、ランサムウェアの攻撃者は、被害者からできる限り多くの身代金を巻き上げようとします。 この記事では、ネットワークがランサムウェアに感染しないようにするための一般的なガイドラインとして、役に立つベスト プラクティスをいくつか紹介します。
  • 0
  • 1309

オープンソースソフトウェアを利用した 暗号通貨 「Monero」の大規模なマイニング攻撃キャンペーン

概要 パロアルトネットワークスの脅威インテリジェンスチーム Unit 42 は、大規模な 暗号通貨 のマイニング(採掘)攻撃キャンペーンが、4 ヶ月以上にわたり活発に行われている様子を観測しました。この攻撃では、暗号通貨の1つであるMoneroのマイニングのために、オープンソースの マイニングソフトウェアXMRig ユーティリティが利用されています。
  • 0
  • 1648