• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

SquirtDanger: 熟練したマルウェア作成者TheBottleが放ったスイス アーミーナイフ マルウェア

Josh Grunzweig, Brandon Levene, Pat Litke, Kyle Wilhoit 4 17, 2018 at 01:00 午後

※本記事は2018年4月17日に米国で掲載されたブログ記事の抄訳版となります。

新たなマルウェア ファミリまたはキャンペーンを見つけて調査する作業は、衣服のほつれた糸を辿っていくようなものです。糸をゆっくりと引くと網目がほどけていくように、真相が徐々に解明されるのです。今回はSquirtDangerという新たなマルウェア ファミリの調査から開始しました。このマルウェアの攻撃では、DLLファイル「SquirtDanger.dll」が使用されるからです。このマルウェア ファミリは、ハンドル名「TheBottle」で知られるロシア人のマルウェア作成者によるものであることを示す強力な証拠があります。いくつかのリードを辿っていくことで、TheBottleが背後にいることが明らかになりました。この投稿では、TheBottleの活動と、彼が作成した最新のマルウェア ファミリがどのように特定されたかを詳細に説明していきます。

 

マルウェアの概要

SquirtDangerは、いくつかの特徴と機能を備えた商用ボットネット マルウェア ファミリです。このマルウェアはC# (Cシャープ)で記述されており、何層もの埋め込みコードを含んでいます。システムでいったん実行されると、1分おきに実行されるスケジュール化されたタスクによってその存続が維持されます。SquirtDangerはネットワーク通信を可能にするために、リモートのコマンド&コントロール(C2)サーバーにTCP接続します。

SquirtDangerは、次のような数多くの機能を備えています。

  • スクリーンショットの取得
  • マルウェアの削除
  • ファイルの送信
  • ブラウザのCookieの消去
  • プロセスの一覧表示
  • プロセスの強制終了
  • ドライブの一覧表示
  • ディレクトリの取得
  • ファイルのダウンロード
  • ファイルのアップロード
  • ファイルの削除
  • ウォレットの窃取
  • ブラウザ パスワードの窃取
  • 被害端末のクリップボードで特定したウォレットの交換
  • ファイルの実行

 

特定したウォレットを、攻撃者があらかじめ用意したウォレットと交換する機能は、これまでもComboJackマルウェア ファミリの分析で報告されており、新たな発見ではありません。SquirtDangerマルウェア ファミリの動作の詳細については、この投稿の付録の詳細な分析を参照してください。

パロアルトネットワークのUnit 42の研究者は、さまざまな分析技法を駆使し、約400個のSquirtDangerサンプルからある埋め込みIDを抽出しました。このIDは、以前私たちが独立したキャンペーンであると結論づけた複数の攻撃でも使われていたものでした。WildFireで観察された個々のミューテックスやその他のインジケータから、これらのマルウェア群は2つのサブセットに大別できることがわかりました。本マルウェアの調査を進めるにつれ、観察対象サンプルの機能とスタイルに合致するコード リポジトリを発見しました。図1に、このリポジトリのベース ページのスクリーンショットを示します。

図 1 GitHubでホスティングされているSquirtDangerのソース コード

このリポジトリのコードの詳細な分析によって、最初の評価が正しかったことと、このリポジトリがSquirtDangerのソース コードであることが明らかになりました。このコードを精査するうちに、TheBottleは、telegra.phで掲載した「告白」ブログの関連トピックとしてこのリポジトリ(およびその他のコード)を投稿したことが判明しました。

 

TheBottleコネクション

悪名高いロシア人のサイバー犯罪者であるTheBottleは、何年もの間、世界中の地下市場で活動してきました。TheBottleは、地下市場やフォーラムでのマルウェアとソース コードの配布、販売、取引を生業にしています。どうやらTheBottleは、マルウェア作成者としてこれまで幾多の困難を経験してきたようです。FlashpointのVitali Kremz氏によると、

「顧客への背任行為が原因で、TheBottleは、地下サイトの運営者全員に締め出されてしまったことがあります。この背任行為は大きな損失でした。長期にわたる犯罪行為に不可欠なマルウェア サポートを提供しなかったことを訴える、何件ものクレーム事案を抱えることになったからです。」

SquirtDangerを調査する際に、TheBottleによるものとする「告白」ブログを見つけました。このブログの作者は、Odysseus Project、Evrial、Ovidiy Stealerを含む複数のマルウェア ファミリを作成したことを認めています。FlashpointのVitali氏はこう続けます。

「telegra.phに掲載した最近の告白で、彼は、地下舞台を歩き回る俳優のように、マルウェア開発者が実世界の問題に対処するのはいかに大変かを嘆いており、良心の呵責に耐え切れず、これまで作成したマルウェアをすべて告白することにしたと明かしています。この中には、Ovidiy StealerからReborn Stealerに至るまで、過去のサイバー犯罪に使われた多くの有名なマルウェアが含まれます。」

次のスクリーンショットは、原語であるロシア語によるTheBottleの投稿です。

図2 マルウェア ファミリの作成者であることを認めるTheBottleのブログのスクリーンショット。数多くのマルウェア ファミリを作成したことを後悔していることがわかる。

TheBottleのブログを綿密に調査すると、約900人からなるグループの存在を明らかにするテレグラム チャネルが特定されます。このグループのメンバーのほとんどはロシア人であるようです。チャネル メンバーは攻撃の実施、コード作成、さまざまなボットネットやビルダーへのアクセスの取引/販売を行っています。さらに、このテレグラム グループを拠点とする攻撃者の存在は注目に値します。その中には非常に有名な名前があります。たとえば、マルウェアの開発者として地下サイトのコミュニティで名を馳せているfoxovskyという攻撃者がいます。このブログの読者は、foxovskyが、以前に報告したマルウェア ファミリRarogの作成者であることを思い起こされることでしょう。また、1MSORRY仮想通貨ボットネットの攻撃者がこのコミュニティのメンバーであること、またほかにも、世界中で配布されているその他のマルウェア ファミリによる攻撃に関わっていることが明かされています。

図 3 地下サイトの有名な攻撃者がテレグラム チャネルを使用していることを示すスクリーンショット

 

オンライン調査の結果、TheBottleが頻繁にアクセスしていた複数のソーシャル メディアのアカウントを見つけることができました。それらのソーシャル メディア サイトのほとんどで、TheBottleが自分のハッカーとしてのアイデンティティを重視していたことが散見されます。

図 4 TheBottleのツイートのスクリーンショット

TheBottleのツイッターでの会話を精査すると、マルウェアを使用しているユーザーについて彼がどう思っているかを窺い知ることができます。

図 5 TheBottleと@malwarhunterteamの会話のスクリーンショット

 

感染ベクトル/被害について

全体的に、複数のキャンペーンにおいて1,277個のSquirtDangerサンプルが使用されました。SquirtDangerは、「Warez」と呼ばれる不正なダウンロード ソフトウェア経由で配布されているようです。

この記事の執筆時点では、次の地域に分散された119台のC2サーバーが利用されていました。

図 6 特定されたC2サーバーの地理的な分布

さらに、出回っている中で、配信インフラストラクチャとして動作している52個の固有のIPまたはドメインを特定できました。このインフラストラクチャはマルウェアを積極的に流布するためのポイントとして機能します。この配信インフラストラクチャの一部は、無意識のうちにSquirtDangerを配布している侵害された正規のWebサイトのようです。

私たちは、トルコの大学、アフリカの電気通信会社、シンガポールのインターネット サービス プロバイダーなど、世界中で個人に対して使用されているSquirtDangerを目撃してきました。

 

結論

SquirtDangerマルウェア ファミリは、今日作成されている多くのコモディティ化されたファミリの1つにすぎません。攻撃者が侵害されたマシンでさまざまなアクションを迅速に実行できる、数多くの機能を備えています。マルウェア自体も興味深いことは明らかですが、さらにより興味深いストーリーを提供しているのは、その背後にいる攻撃者です。

TheBottleのスレッドを探ったときに、私たちの見つけたものがよく言われる氷山の一角にすぎないことがだんだんわかってきました。TheBottleのマルウェアとオンラインの活動をさらに深く調べたところ、これが連携して活動している犯罪者のより大きなウェブの中で実行されているマイナーな活動にすぎないことに気付きました。事実、ごく最近、TheBottleの仲間の1人が、Benkowとして知られるリサーチャーによって明らかにされました。

最後に、私たちは犯罪者の活動の一部を明らかにしているうちに、ほぼ個人的なレベルで投稿していた、多少後悔していると思われるマルウェア作成者の1人に気づきました。最終的に、TheBottleは彼のやり方を変えるのでしょうか? さらに調べるつもりです。

インテリジェンスのいくつかのソースを使用している点が、この攻撃者とマルウェアの調査において鍵となります。パロアルトネットワークのお客様は、この脅威から以下によって保護されています。

  1. WildFireは、悪意があると判断した、すべてのSquirtDangerファイルを検出します。
  2. AutoFocusをご使用のお客様は、SquirtDangerタグでこれらのサンプルを調べることができます。
  3. Trapsは、SquirtDangerに関連付けられたすべてのファイルをブロックします。

 

付録

マルウェアの分析

SquirtDangerマルウェア ファミリは、作成者によって数多くの機能が装備されています。マルウェアは、C#でコーディングされています。マルウェアの作成者は、SquirtDangerペイロードをコンパイル済みの実行可能ファイルに埋め込むためにCosturaアドインを使用することを選択しました。

 

メイン モジュールがロードされ、その後、実行されると、まずは、インストール ディレクトリを作成し、マルウェアは自身をそこにコピーします。以下のディレクトリと対応するインストール実行可能ファイルが、分析されたサンプル内で観察されています。

  • %TEMP%\Microsoft_SQL_SDKs\AzureService.exe
  • %TEMP%\MonoCecil\Fazathron.exe

 

SquirtDangerが必要なパスにコピーされた後、現在のプロセスを強制終了する前に、このマルウェアの新しいインスタンスが生成されます。

インストール段階が完了し、正しい場所から実行すべきマルウェアが見つかると、一度に実行されるマルウェアのインスタンスが1つだけになるように新しいミューテックスが作成されます。分析したすべてのサンプルにおいて、以下の2つのミューテックスが観察されています。

  • Omagarable
  • AweasomeDendiBotnet

 

ミューテックス生成後、SquirtDangerは、永続的なメカニズムとして動作する別の実行可能ファイルが存在しないかどうかをチェックします。このシンプルな実行可能ファイルは、SquirtDangerペイロードの存在をチェックするだけです。ペイロードが見つからない場合は、ディスクに新しいコピーが書き込まれ、新しいインスタンスが生成されます。この実行可能ファイルはSquirtDangerペイロードに埋め込まれ、次の場所にドロップされることが観察されています。

  • %TEMP%\MSBuild.exe
  • %TEMP%\OmagarableQuest.exe

 

このドロップされたファイルには、被害者による検出を妨げるために、SYSTEM属性とHIDDEN属性の両方が与えられます。このファイルを実行するために、「CheckUpdate」という名前の新たにスケジュールされたタスクが作成されます。このスケジュールされたファイルは、その初期セットアップ後、1分ごとにチェックします。

SquirtDangerは、標準TCPソケットを使用してリモートC2サーバーとの通信に進みます。クライアントとサーバー間で送信されたデータは、シリアル化されますが、難読化はされません。マルウェアは、最初にリモート サーバーと通信するときに、インストールする追加モジュールのリストの取得を試みます。この通信の例は、以下のようになります。

 

図7 マルウェア クライアントとC2サーバー間の通信の例

モジュールとそれらの関連付けられたURLのリストが収集された後、SquirtDangerは、HTTP通信を介してこれらのモジュールをダウンロードします。

SquirtDangerは、次のような数多くの機能を備えています。

  • スクリーンショットの取得
  • マルウェアの削除
  • ファイルの送信
  • ブラウザのCookieの消去
  • プロセスの一覧表示
  • プロセスの強制終了
  • ドライブの一覧表示
  • ディレクトリ情報の取得
  • ファイルのダウンロード
  • ファイルのアップロード
  • ファイルの削除
  • ウォレットの窃取
  • ブラウザ パスワードの窃取
  • 被害端末のクリップボードで特定したウォレットの交換
  • ファイルの実行

 

ブラウザからのパスワードの窃取の場合は、以下を含む多数のブラウザがサポートされています。

  • Chrome
  • Firefox
  • Yandex Browser
  • Kometa
  • Amigo
  • Torch
  • Opera

 

図8 さまざまな一般的なブラウザからのパスワードの収集を試みるマルウェア

また、SquirtDangerは、以下を含む、さまざまな仮想通貨のウォレットを検索する機能も備えています。

  • Litecoin
  • ビットコイン
  • Bytecoin
  • Dash
  • Electrum
  • Ethereum
  • Monero

 

図9 被害端末でさまざまな仮想通貨ウォレットの特定を試みるマルウェア

ウォレットの窃取に加え、マルウェアには、特定の正規表現が見つかったときに、被害端末のクリップボードのデータを交換する機能も含まれています。マルウェア内には、以下の正規表現が存在していました。

 

タイプ

正規表現

QIWI

(^\+\d{1,2})?((\(\d{3}\))|(\-?\d{3}\-)|(\d{3}))((\d{3}\-\d{4})|(\d{3}\-\d\d\-\d\d)|(\d{7})|(\d{3}\-\d\-\d{3}))

BTC

^([13][a-km-zA-HJ-NP-Z1-9]{25,34})$

ETH

^(0x[0-9a-fA-F]{40})$

LTC

^(L[a-zA-Z0-9]{26,33})$

XRP

^(r[rpshnaf39wBUDNEGHJKLM4PQRST7VWXYZ2bcdeCg65jkm8oFqi1tuvAxyz]{27,35})$

DOGE

^(t[0-9a-zA-Z]{34})$

ZEC

^(D{1}[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32})$

XMR

^(4[0-9AB][1-9A-Za-z]{93,104})$

 

マルウェアは、これらのデジタル通貨アドレスのいずれかが見つかると、その値を事前に決定されている値と交換するように構成されています。このブログ記事の「付録」に記載したように、サンプル セットからは多数のデジタル通貨アドレスを取得できました。以前に、ComboJackマルウェア ファミリの分析時にこの機能についてレポートしたとおり、この機能は新しいものではありません。

 

SquirtDangerのサンプル

SquirtDangerハッシュの完全なリストおよび最初に見つかったタイムスタンプについては、次のリンクを参照してください。

 

C2サーバー

C2サーバーの完全なリストおよび最初に見つかったタイムスタンプについては、次のリンクを参照してください。

 

配信サーバー

配信サーバーの完全なリストおよび最初に見つかったタイムスタンプについては、次のリンクを参照してください。

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved