※本記事は2017年2月10日に米国で掲載されたブログ記事の抄訳を基にしています。

先日、Palo Alto Networksは、悪意のあるマクロを利用する、Microsoft Office用の特異なローダーについて分析しました。このローダーは、多数のマルウェア ファミリの導入に使われ続けており、最初、2016年12月初旬に目撃されました。それ以降、650個を超える一意のサンプルが確認されています。数は多くありませんが、一部日本でも観測されました。これらのサンプルは12,000個の悪意のあるセッションを占めており、非常に多くの業種がこれらのセッションの標的になっています。ローダーそれ自体は主として電子メールを介して配信されます。そして、難読化が著しく施されている悪意のあるマクロを利用するだけでなく、2016年8月に最初に発見されたユーザー アカウント制御(UAC)回避手法も利用します。

配信

先ほど述べたとおり、このローダーは主にフィッシング電子メールを介して配信されます。約12,000個の悪意のあるセッションを調べてみると、以下の件名とファイル名が最も頻繁に現れます。

上位にランクされる電子メール件名

  1. ENQ RFQ19-SIS-2017
  2. Order 032.
  3. PURCHASE ORDER
  4. FINAL REMINDER!! TOP URGENT Saudi Arabian Oil Company : Request for quotation no.7202159560
  5. Obeikan Purchase Enquiry…
  6. ORDER TRIAL
  7. Re: Our policy
  8. RFQ PO 7700 8800 9900
  9. AW: Attachment
  10. Verify Your Email Now!!!

上位にランクされるファイル名

  1. Invoice #74267363.doc
  2. QING_SHUN 20161201_Q88.doc
  3. ProductList.doc
  4. Lebanon deposit slip.doc
  5. ENQ-19-0143-SIS.xls
  6. Company Profile.doc
  7. CONTRACT AND LABEL SABAROT.doc
  8. New-RFQ.doc
  9. PO#19651.doc
  10. WIRE SCANCOPY-001.doc

この脅威により最も影響を受けている業種について調べてみると、ハイテク産業、専門的法律サービス業、政府がその中に入っていました。しかし、このローダーはそれ以外の複数の業種にも打撃を与えていました。

図 AutoFocus内で確認された、上位にランクされる業種

このローダーがダウンロードするマルウェアは多岐にわたります。以下のマルウェア ファミリがドロップされているところが確認されました。

商品として流通しているマルウェア ファミリが大量にドロップされている他、広範囲への配信が確認されていることから、このローダーは、主に、拡散を目的とする攻撃活動に使われているように見受けられます。

ローダーの分析

サンプルすべてにわたって使われている様々なマクロを分析した結果、これらのほとんどすべてにおいて同じ手法が使われていることが分かりました。これらのマクロは、すべて、大量のガベージ コードとランダムに選択された変数を使って難読化されています。これが何かのビルダーを使ってこれらを生成した結果であることはほぼ間違いありません。

下記のマクロを4e56c777862ced487b4dd2556886bd429187c3c1c51c1f51fcba52e2ae350e12から取り出す際にどういうことが行われているのか、見ていきましょう。このサンプルは、SMTPにより複数の組織に配信されているところを目撃されました。その際の件名は‘Request For Quotation [RFQ]’であり、ファイル名は‘RFQ.doc’または‘Order Details.doc’のいずれかでした。

マクロの後半部には、ガベージ コード、多数の難読化済みの文字列の他、Word文書に書き込まれている多数の文字列がありました。これらの文字列は、確認された前記の件名とファイル名から、攻撃者が用いている策と合致しています。

図2 悪意のあるマクロの後半部

マクロの前半部には難読化された文字列をデコードする関数が含まれています。様々な文字列が、連結された後で、シェル コマンドを使って呼び出される前に、このデコード関数に渡されます。これらの文字列をデコードするのは極めて簡単で、マクロはブラックリスト文字列に現れている文字を取り除くだけです。例えば、‘Haellbo’をブラックリスト文字列‘ab’でデコードすると‘Hello’という結果を得ます。

図3 悪意のあるマクロの前半部

こうしたマクロの中におとり情報が常に存在するとは限りません。約650個のサンプルを分析したところ、半数強におとり情報が含まれていました。さらに、InStrRev()呼び出しも常に存在するとは限りません。他のサンプルでも以下の例に類似の手法を使っている場合があります。その例では‘J8RRLQYA6Z’がブラックリスト文字列であり、denyoffer変数には難読化済み文字列の個々の文字が含まれています。

文字列をデコードすると、次のようになります。

この関数は、PowerShellによりファイルをダウンロードし、それを%TEMP%ディレクトリ内にドロップします。その後、新たにドロップされたこのファイルを指し示すよう特定のレジストリー キーを設定します。最後に、組み込みのeventvwr.exeプロセスを実行し、localhostに対するpingを15回実行することで約15秒間スリープし、実行可能ファイルおよびドロップ済みファイルを削除します。eventvwr.exeのレジストリ キー書き込みおよび実行は、ここで最初に考察されたUAC回避手法です。これは、組み込みのeventvwr.exeプロセスが最初に‘HKCU\Software\Classes\mscfile\shell\open\command’レジストリ キー内のプロセス名を検索するMicrosoft Windowsの欠陥に依拠するものです。このキーを作成し、攻撃者が選んだ実行可能ファイルにこのキーを提供することで、実行可能ファイルは権限が昇格された状態でeventvwr.exeにより生成されます。

マルウェア アナリストの助けになるよう、スクリプトを用意しました。このスクリプトを使えば、Microsoft Officeファイルから、このローダーを使っている埋め込み済みマクロを抽出することができます。では、埋め込み済みマクロ文字列のセグメントをデコードしてみましょう。このスクリプトを4e56c777862ced487b4dd2556886bd429187c3c1c51c1f51fcba52e2ae350e12ファイルに対して実行すると、以下の結果を得ます。(注: URLは無害化した表記にしてあります)。

また、事例の数は少ないですが、攻撃者が組み込みのBITSAdminツールをPowerShellの代わりに利用する方を選んで、下記のサンプルに見られるマルウェアをダウンロードする場合がある、ということにも注意しておかなければなりません。

これらの事例では、同じマクロ難読化が用いられているので、UACを回避する手法やlocalhostに対するpingを15回実行する手法が同じであることが分かります。

650個のサンプル中11個だけが、BITSAdminを利用してこのローダー内にマルウェアをダウンロードしていました。BITSAdminが使われていた事例は、すべて、このローダーが最初に確認された2016年12月初旬に発生しました。攻撃者はこれをいちはやく変更し、ダウンロード用にPowerShellを採用した模様です。

結論

全体的に見て、この新型ローダーはUAC回避の実行を利用する点で興味深いものがあります。また、昨年の12月以降このローダーが広く利用されていることから、多数の攻撃活動でこのローダーが使われ続けていることが分かります。ローダーを利用している者が1人なのかグループなのか、はっきりとは分かりません。複数の業種がこのローダーの標的にされてきており、ローダーは複数のマルウェア ファミリを導入するのに利用されています。

Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

  • このローダーおよびドロップされたマルウェアのインスタンスは、すべて、WildFire内で悪意のあるものとしてフラグ付けされます。
  • ドロップされた様々なマルウェア ファミリはAutoFocus内でタグ付されます(LuminosityLinkKeyBasePredatorPainAncalogBartallexPonyDarkComet)。
  • アンチスパイウェアおよびアンチウイルスに関する多数のシグネチャが、様々なマルウェア ファミリに関して提供されています。

侵害の痕跡の完全なリストは、タイムスタンプ、SHA256ハッシュ、ダウンロードURL、ドロップされたファイルの名前を含んだ形で、ここで提供されています。

このローダーのことを最初に教えていただいたことに対し、Brandon Levene氏に深く感謝します。

参考資料

悪意のあるマクロがFareitマルウェア用に権限を昇格してUACを回避する


 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 593

4月28日(金)製品導入・運用支援トレーニング

『次世代ファイアウォール製品導入・運用支援トレーニング』を下記の日程にて開催いたします。本トレーニングは、パロアルトネットワークス製品であ るPAシリーズのハンズオンを通して、導入ならびに運用を行うための基本技術知識を習得頂くことに主眼をおいています。この機会に是非皆様の参加をご検討 いただけますよう心よりお待ち申しています。 【日  時】 2017年4月28日(金) 13:30~17:00(受付13:00~) ※終了時刻は多少前後します。  【会  場】 パロアルトネットワークス 3F 【講  師】 パロアルトネットワークス SE 【内  容】 製品の導入・運用の流れ 設定マイグレーション 可視化ツール ログ管理 セキュリティ調査 Unknown通信や誤検知への対応 シグネチャアップデート アップグレード 【持  物】 PCは弊社でご用意しております。 ご自身のMACノートブックをお持込みになりたい場合は次の準備をお願い致します。 Ethernetアダプタ(LANポートがないモデルの場合) マイクロソフト Remote Desktop Connectionクライアントソフトウェア 次のURLよりソフトウェアのダウンロードが可能です http://www.microsoft.com/japan/mac/download 【人  数】 8名(定員になり次第締め切ります)  ※ご登録後にキャンセルをされる場合は、必ずイベント事務局までご連絡をお願いいたします。 【対  象】  PAシリーズを既に導入・運用を行っているシステムエンジニア(エンドユーザー様) ※参加条件として製品実感トレーニングを修了済みである必要があります。 ※導入ユーザ企業様を優先とさせていただきます。 【費  用】 無料  ※お申し込み後に登録確認メールが送付されます。届かない場合は、メールアドレスの誤入力等の可能性がございますので、イベント事務局 paloalto@mlrev.co.jp までお問い合わせください。 ※開催3日前の時点でお申し込みが5名に達しない場合は、イベント開催をキャンセルさせていただきますので予めご了承ください。 ◆個人情報の取り扱いについて◆ パロアルトネットワークスは、当社が出展または主催する展示会・セミナーのご案内、当社が提供する商品・サービスに関するご案内など各種情報のご提供、及び当社営業部門または販売代理店、マーケティングサービス会社からのご連絡などを目的として、取得した個人情報を利用させていただくことがあります。当社は、ご提供いただいた個人情報を、法令に基づく命令などを除いて、あらかじめお客様の同意を得ずに第三者に提供することはありません。ただし、上記利用目的の範囲においてお客様の個人情報を弊社販売代理店および弊社と個人情報取扱いについて契約のある委託業者が閲覧する事がございます。 ※上記利用目的にご同意いただける場合にのみ、本セミナーにご応募いただきますようお願いします。 ※以前より情報をご提供いただいている場合、今回ご提供いただいた情報を最新の情報としてデータを上書きさせていただきます。 ※「個人情報保護基本方針」および「『個人情報の保護に関する法律』に関する公表事項」は、下記URLよりご覧いただけます。 https://www.paloaltonetworks.jp/legal/privacy.html

イベント
千代田区
  • 0
  • 356

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 318

Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。

  • 0
  • 284

製品概要スペックシート

  • 0
  • 261

日本の学術研究者と 組織を狙った新たな攻撃

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、2016年の9月から11月にかけて、「menuPass」として知られる攻撃グループによるAPT攻撃(持続型の標的型攻撃)が、日本の学術研究者および製薬企業、米国に子会社を置く製造業を対象にしていたことを確認しました。この攻撃では、トランプ氏の選挙での勝利に便乗した件名などを使用した、スピアフィッシング攻撃が用いられています。

  • 0
  • 251