※ 本記事は2018年3月1日に米国で掲載されたブログ記事の抄訳版となります。

2018年の始まりとともに、私たちは暗号通貨マイニング ソフトが増大している傾向を認識しました。特定された最新の脅威は、ロシアのBitTorrentサイトという形で現れ、このサイトは密かにマルウェアをユーザーに配信し、主に 暗号通貨(仮想通貨)Monero をマイニングしています。この特定のロシアのBitTorrentサイト、b-tor[.]ruは、2017年7月以来アクティブで、2017年9月以降、ユーザーへ提供された正規のファイルにバンドルされているマルウェアが観察されてきました。多くの同様な活動のように、暗号通貨マイニング ソフトはユーザーの知らないうちに配信されています。事実、この攻撃の背後にいる攻撃者は、エンド ユーザーが自分のマシンにマルウェアがロードされたことに気付かないようにするための特定の試みを行っています。

 

配信

攻撃はユーザーがb-tor[.]ruにアクセスすると開始されます。ユーザーにBitTorrentファイルが提供され、その後、ユーザーはそれを使用して多数のアイテムをダウンロードできます。リストには、ゲーム、オペレーティング システム、ソフトウェア、書籍、雑誌、オーディオブック、TV番組、映画が含まれています。このロシアのBitTorrentサイトによって提供されたデータによると、重複ファイルを除いても275,000を超えるtorrentファイルがホストされています。

 

図1 b-tor[.]ruのロシア語から英語に翻訳されたビュー

 

ユーザーがこのWebサイトで提供されているいずれかのファイルのダウンロードを試みると、インターネットからファイルを検索、ダウンロード、または再生するために設計されたロシアのプログラムであるubar-pro[.]ruを介して直接ファイルをダウンロードするよう導かれます。タイトルが提示されたファイルに関連付けられたtorrentファイルをユーザーがダウンロードしようとすると、最も興味深いイベントが発生します。

 

図2 b-tor[.]ruからのファイル ダウンロード オプション

ユーザーがtorrentファイルのダウンロードを試みると、対応する名前の圧縮ファイルが代わりに提供されます。解凍すると、同じ名前の実行可能ファイルがこのユーザーに提供されます。

 

図2を例として使用します。ユーザーがtorrentファイルをダウンロードすると、以下のファイルが提供されます。

 

klient_world_of_.torrent.zip

 

解凍すると、ユーザーには以下のファイルが提供されます。

 

klient_world_of_.torrent.exe

 

ご覧のとおり、さらに攻撃者は二重のファイル拡張子を使用して、ユーザーにこのファイルが正規のtorrentファイルだと信じ込ませようとしています。また、実行可能ファイルでは一般的なuTorrent BitTorrentクライアントのアイコンが使用されています。実行すると、このファイルはHTTPSを介してb-tor[.]ru/dl.phpから実際のtorrentファイルをダウンロードして実行します。同時に、バックグラウンドで稼働するXMRig Moneroマイニング プログラムのインスタンスもダウンロードして実行します。

 

被害者によってマルウェアがダウンロードされた後の実行フロー全体は次のとおりです。

 

図3 b-tor[.]ruによって提供されたマルウェアによる実行フロー

 

 

マルウェアの分析

この分析全体にわたり、「配信」セクションで示したイメージ例で提示したファイル、klient_world_of_.torrent.zipを使用しています。これは以下の特徴を備えています。

 

元のファイル名

klient_world_of_.torrent.zip

ファイル タイプ

Zipアーカイブ データ、解凍するにはv2.0以降

SHA256

792dd221088a6f023021d8709b30229a738dca492784a884f6dfa69f20e14c01

 

元のファイル名

klient_world_of_.torrent.exe

ファイル タイプ

PE32実行可能ファイル (GUI) Intel 80386 Mono/.Netアセンブリ、MS Windows対応

SHA256

0007f17157e9fe34a305d938bc55e9a7189cf15d91ff3bde6af13fbea6852ece

コンパイル日

2018-01-29 22:05:3 UTC

 

これらの攻撃で使用されるマルウェアは、初期ダウンロード/ドロッパ、セカンダリ ペイロード、最終ペイロードといったいくつかの部分に分割されている場合があります。

 

初期ドロッパ/ダウンローダ

 

被害者が受け取った最初のファイルは、2つのアクションを実行します。まず、埋め込み.NET実行可能ファイルを被害者のマシンにドロップして実行します。また、被害者が予期した正規の.torrentファイルをダウンロードします。このドロッパ/ダウンローダは初回実行時に、まず埋め込み.NET実行可能ファイルをロードし、それを以下のディレクトリに配置します。

 

%APPDATA%\Defender Utility\defupdater.exe

 

このファイルは、ファイル システムにドロップされた後、新しいプロセスで起動されます。その後、マルウェアは新規ファイル保存ダイアログ ボックスを表示し、予期した.torrentファイルを保存する場所を指定するよう求めます。

 

図4 マルウェアによって表示されるファイルの保存ダイアログ

 

上記のスクリーンショットに示されたウィンドウのタイトルは、ロシア語の「Загрузка файлов」から英語の「Uploading files」(ファイルのアップロード)に翻訳されます。ユーザーがこのファイルを保存しようとすると、マルウェアは以下のURLから.torrentファイルをダウンロードして、指定された場所に配置します。

 

hxxps://b-tor[.]ru/dl.php?id=33308

 

保存しようとしなかった場合、マルウェアは予期された.torrentファイルをドロップせずに終了します。にもかかわらず、セカンダリ ペイロードがシステム上にドロップされ、実行されます。

 

第2段階

 

この第2段階のペイロードは、このマルウェアのすべてのインスタンスで「defupdater.exe」という名前であることが確認されています。さらに、内部の.NET名は「defupd」です。そのため、この投稿では以降、マルウェアのこの段階を「defupdater」と呼びます。この特定のマルウェアの段階は、永続性を確保するとともに、マルウェアの実行中の次の段階をダウンロードする役割を担っています。

 

最初に「defenderutility」のミューテックスを作成し、一度にこのマルウェアの単一のインスタンスのみが実行されるようにします。その後、実行可能ファイルの内部アセンブリ バージョンをチェックします。バージョンが存在しない場合は、デフォルトで「0.0.0.1」が使用されます。次に以下のディレクトリを作成します。

 

%APPDATA%\Defender Utility\

 

このディレクトリの作成後、このパス内に「update.exe」ファイルが存在するかどうかチェックします。存在する場合は、それを削除します。その後、マルウェアは2つのスレッドを作成します。1つは永続性を設定し、マルウェアの最終段階が継続的に動作するようにするためのもので、もう1つは第3段階のペイロードをダウンロードして実行するためのものです。

 

「defupdater」マルウェアは、10分ごとに発生するループに入ります。これにより永続性確保のためのレジストリ キーの設定と、特定プロセスの存在確認の両方が行われます。

 

永続性を設定するため、以下のレジストリ キーが書き込まれます。

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Updater Utility – %APPDATA%\Defender Utility\defupdater.exe

 

レジストリ キーが書き込まれると、ループにおいて、「taskhostms」プロセスが実行中かどうか確認が行われます。このプロセスは、最終的には、このマルウェア ファミリの第4段階で作成されます。このプロセスの実行が確認されない場合、ループは以下のファイルを実行します。

 

%APPDATA%\AdGuard\taskhostms.exe

 

第3段階のペイロードをダウンロードして実行するため、defupdaterは以下のURLに対して要求を行い、内容を取得します。

 

·        hxxps://strak[.]xyz/updateinfo.xml

 

書き込みの時点で、このURLの内容は以下のとおりでした。

 

図 5 strak[.]xyzに対するHTTPS要求で返された結果

defupdaterマルウェアは、各XML要素を確認し、「wave2」のIDを持つ要素を検索します。この要素のバージョンは、前に抽出されたdefupdaterのアセンブリ バージョンと比較され、XMLに含まれているバージョンのほうが大きい場合、defupdaterは指定されたURLからファイルをダウンロードします。図5の例を使用して、defupdaterは、第3段階のペイロードを以下のURLからダウンロードします。

 

·        hxxps://strak[.]xyz/wave2/update

 

このファイルには、「update.gz」という名前の圧縮ファイルが含まれており、前に作成された「Defender Utility」ディレクトリ内に配置されています。「update.gz」ファイルは展開され、その結果、「update.exe」が同じディレクトリにドロップされます。その後、元の「update.gz」ファイルは削除されます。最後に「update.exe」の第3段階のペイロードが実行されます。

 

第3段階

 

 このマルウェア ファミリの第3段階は、内部名が「update」の、もう1つの.NET実行可能ファイルです。このファイルは、中に含まれている埋め込まれた2つの実行可能ファイルをドロップして実行する役割を持っています。最初に「defenderupdate」のミューテックスを作成し、一度に単一のインスタンスのみが実行されるようにします。

 

次に以下のディレクトリを作成します。

 

%APPDATA%\AdGuard\

 

この段階で、以下の2つのペイロードをディスクにドロップします。

 

·        %APPDATA%\Defender Utility\defupdater.exe

·        %APPDATA%\AdGuard\taskhostms.exe

 

「defupdater.exe」は第2段階のペイロードの更新済みインスタンスであり、「taskhostms.exe」ファイルにはこのマルウェア ファミリの第4段階が含まれています。これらの検体はどちらも第3段階で実行されます。

 

第4段階

 

この第4段階も.NET実行可能ファイルであり、内部名は「taskhostms」です。最初に、常時「taskmgr」プロセスの存在を確認する新規スレッドを生成します。このプロセスが見つからない場合、ブール型のグローバル変数「canMine’」がTrueに設定されます。見つかった場合、この変数はfalseに設定されます。マルウェアはこのフラグを使用して、被害者のマシンでマイニングが実行されているかどうか判断します。

 

永続性を確保するため、以下のレジストリ キーが設定されます。

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Launcher Utility - %APPDATA%\AdGuard\taskhostms.exe

 

マルウェアは、オペレーティング システム(OS)のバージョンを確認します。32ビットOSを使用中の場合、マルウェアは内部名「xm32」の埋め込み実行可能ファイルをドロップします。そうでない場合、内部名「xm64」の埋め込み実行可能ファイルをドロップします。これらは、それぞれXMRigの32ビット版、64ビット版のコピーです。

 

このXMRigのインスタンスは、以下の場所にドロップされます。

 

·        %APPDATA%\AdGuard\adGuardms.exe

 

最後にマルウェアは、一連の引数を付けて、新しくドロップされた、XMRigのこのインスタンスを実行します。分析されたファイルでは、以下の引数が使用されていました。

 

-o 185.154.13[.]213:3333 -u wave7 -p wave7 -k --nicehash --donate-level=1 --max-cpu-usage=100 --cpu-priority 1

 

注目すべきなのは、b-tor[.]ruおよびstrak[.]xyzの両ドメインが同じIPアドレス「185.154.13.213」に解決される点です。同じホストがXMRigプロキシとしての役割を果たしています。この攻撃者による活動は、最初から最後まですべて同じIPアドレスで発生しています。

 

また、攻撃者によって、マイニング ソフトが被害者のCPU処理能力を100%使用するよう設定されている点にも注目する必要があります。これによって、被害者はマイニング ソフトの存在に気づく可能性が高くなります。この値を変更して被害者のCPUを少ない比率のみ使用するようにした攻撃者も、過去に観察されています。これは、被害者がバックグラウンドでマルウェアが実行されていることに気づく可能性を最小に抑えるのが狙いです。

結論

暗号通貨マイニング ソフトの配信は、もはや目新しいトラフィックではなくなりました。実際、2017年12月初めに暗号通貨の価値が急上昇したこともあり、こうしたソフトウェアは、この4、5か月間に、きわめて一般的な存在になりつつあります。今回の活動は、多くの場合非合法とされるコンテンツを求める、ロシア語圏の少数のユーザー層を標的にしたものです。そのため、感染したのは比較的少数のユーザーと考えられます。しかし、犯罪者が暗号通貨の生成という最終目標を持って、被害者のマシンを悪意で利用しようと試みたケースも示されています。この傾向はしだいに強まっており、今後も増加傾向が見られると思われます。

 

Palo Alto Networksのお客様は、この脅威から以下に示す方法で保護されています。

 

·        この活動に関連したすべての検体は、WildFireプラットフォームで、悪意があるものとしてフラグが設定されます。

·        また、すべての関連ドメインも、悪意があると判定されます。

·        Trapsは、ホスト マシンでこれらの検体が実行されることを防ぎます。

 

付録

 

作成されるファイル

 

%APPDATA%\Defender Utility\defupdater.exe

%APPDATA%\AdGuard\taskhostms.exe

%APPDATA%\AdGuard\adGuardms.exe

 

作成されるミューテックス

 

defenderutility

defenderupdate

 

レジストリ キー

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Launcher Utility

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Defender Updater Utility

 

SHA256ハッシュ


この攻撃に関連したハッシュの完全なリストについては、GitHubリポジトリを参照してください。

 

ドメイン/IPアドレス

 

b-tor[.]ru

strak[.]xyz

185.154.13[.]213

 


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 10187

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5213

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 3753

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1704

MiraiとGafgytの新たなIoT/Linuxボットネット攻撃キャンペーン

パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42は、インターネット上で公開されているMiraiおよびGafgytマルウェア ファミリのソースコードを使った3種類のマルウェア攻撃キャンペーンに属するサンプルをいくつか調査するうち、これまでMiraiの亜種が使用したことのないDDoS手法がいくつかサポートされていることを発見しました。
Palo Alto Networks,
  • 0
  • 521