DTPacker – 興味深いパスワードを持つ .NET パッカー

主な調査結果 

• Proofpoint社は、リサーチャーが「DTPacker」と名付けたマルウェアパッカーを確認しました。
• ペイロードのデコードには、ドナルド・トランプ元米大統領の名前を含む固定パスワードが使用されています。
• 数週間にわたり、このダウンローダーの亜種は、Liverpool Football Clubをテーマにしたダウンロード先を使用していました。
• このマルウェアは、通常、情報を盗んだり、ランサムウェアなどの後続のペイロードをロードするためのリモートアクセス型トロイの木馬をパックするために使用されます。  

概要

ブログ「Commodity .NET Packers use Embedded Images to Hide Payloads」では、.NETパッカーの「CyaX」および「Hectobmp」ファミリーについて説明しました。

このブログでは、2段階のコモディティ.NETパッカーまたはダウンローダーについて説明します。このパッカーまたはダウンローダーは、第1段階ではかなり多様性があるものの、第2段階ではデコードの一部として固定パスワードを使用します。パッカーとダウンローダーの主な違いは、前者では埋め込まれ、後者ではダウンロードされるペイロードデータの場所です。DTPackerは両方の形態を使用しています。1つのマルウェアがパッカーとダウンローダーの両方を兼ねることは珍しいことです。

Proofpointでは、DTPackerがAgent Tesla、Ave Maria、AsyncRAT、FormBookなどの複数のリモートアクセス型トロイの木馬（RAT）や情報窃取マルウェアを配布しているのを確認しています。このマルウェアは、複数の難読化技術を用いて、アンチウイルス、サンドボックス、および分析を回避します。このマルウェアは、おそらくアンダーグラウンドのフォーラムで配布されています。プルーフポイントは、2020年以降、TA2536やTA2715を含む数十のキャンペーンや複数の脅威アクターとDTPackerが関連していることを確認しています。プルーフポイントは、DTPackerが高度標的型攻撃グループ（APT）とサイバー犯罪の両方の攻撃グループによって使用されていることを確認しています。確認されたキャンペーンには数千のメッセージが含まれ、複数の業界の数百の顧客に影響を与えました。

 

攻撃経路の例 

観測された多くのキャンペーンでは、初期の感染経路として電子メールが使用されています。添付ファイルは通常、悪意のある文書や圧縮された実行ファイルで、ユーザーがこれを操作すると、パッカーの実行ファイルがダウンロードされます。このマルウェアは、埋め込まれた、またはダウンロードされたリソースを、マルウェアのペイロードを含むDLLにデコードし、マルウェアを実行します。

 

図1：DTPackerの攻撃経路の例

 

カスタムXORデコーディング

Proofpointは、複数の復号方法と、ドナルド・トランプをテーマにした2つの固定鍵を観測したことから、「DT "Packer"」と名付けました。多くのパッカーやローダーは、2段階の機能で作られています。DTPackerの初期のバージョンでは、カスタムのXORルーチンを使用して、両方のステージで悪意のあるコンテンツをデコードしていました。DTPackerの第1ステージでは、埋め込みまたはダウンロードされたリソースを中間ステージ(通常はDLL)にデコードし、第2ステージではそのDLLからペイロードを抽出して実行します。

カスタムXORルーチンは、キーとのXORに加えて、次のデータ値を減算するもので、このPythonスクリプト（Github上）decoder-xor-sub.pyで実装されています。

 

Windows Portable Executableの場合、かなりの数のヌルバイトが存在するため、暗号文を1バイトシフトしたものとXORすると、ヌルバイトに対応する位置に鍵があることがわかります。

例えば、このサンプル (SHA256: 512b2f1f4b659930900abcc8f51d175e88c81b0641b7450a6618b77848fa3b40)では、中間ステージは、カスタムXORルーチンとキー "P"（今回はUnicode UTF-16ではなくASCII）でエンコードされた.NETリソースに格納されています。

.NETリソースを1バイトシフトした自分自身とXORすると、パスワード "P "が表示されます:

キー "P "でデコードすると、第2段の実行ファイルが得られます:

2段目には、.NETリソース（名前は「00112266」）が入っています:

自分自身を1バイトシフトしたものとXORすると以下となり、Unicode UTF-16の "trump2020 "という鍵が得られます: 

脅威の主体は、この鍵を1年間一貫して使用しており、これがパッカーの名前の理由です。

「trump2020」の鍵でデコードすると、最終的なペイロードが得られます: 

このケースでは、ペイロードは、一般的な情報窃取マルウェアであるAgent Teslaでした。

 

多彩なファーストステージ・エンコーディング

このダウンローダーのサンプル (SHA256: 9d713d2254e529286ed3ac471e134169d2c7279b0eaf82eb9923cd46954d5d27)では、ダウンロードURLはジャンクなUnicode文字で難読化された文字列として保存されています。 

この場合、分解されたコードは次のようになります。 

Unicode文字を削除すると以下になります:  

ダウンロードは一緒にされており、Base64エンコードされた文字列が含まれています: 

これらは以下のようにデコードされ

バイト0x02とXORした後、次のようになります: 

これは、先ほどと同様に「trump2020」キーでエンコードされた「00112266」リソースを含む第2段の実行ファイルで、これをデコードするとAgent Teslaになります。

 

10進文字コード 

この種のパッカーに共通して見られるテーマは、数字を他の文字で置き換えた10進法の文字コードを使用していることです。 

例えば、このサンプル (SHA256: 285f4e79ae946ef179e45319caf11bf0c1cdaa376924b83bfbf82ed39361911b)は、第2段階を.NET Stringsテーブルに埋め込んだパッカーです: 

これは、コンマで区切られた10進数のASCII文字コードで、数字の0〜9は "!@#$%[X]&*()" に置き換えられています: 

これは、鍵が「trump2020」の「00112266」リソースを含む中間PEにデコードされ、Ave Maria（Warzone RATとしても知られている）にデコードされます。

このサンプル (SHA256: 1312912d725d45bcd1b63922ec9a84abca7a8c9c669c13efbd03472c764be056 )は上記と似ていますが、2段目がUser Stringsテーブルに格納されています: 

これは数字の0～9を "zxcasdwqru"（QWERTYキーボードの列の最初の3文字と部分的に一致）に置き換えられ、AsyncRATにデコードされます。

他のサンプル (SHA256: ba0f9be7cf006404bcfab6b6adbad0cef7281c3792490903632a4010d8a74f42) は、ダウンロード文字列がSample 1と同様の方法で難読化されたローダーで、難読化を解除すると（defanged）になります。

hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=E2E813E9694BE43CAD964C0453632F91@@@hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=63DC49E5D8F5F50F8838551347009928@@@hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=D13B96F0619AC39B44A32D3E0A260C89@@@hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=85530E49BB23CD9DBD8461A2FC5D18A2 

ダウンロードは、サンプル3および4と同様の方法で難読化されており、0～9の数字がA～Jの文字に置き換えられています: 

ダウンロードは通常のセカンドステージにデコードされ、さらにAgent Tesla.にデコードされます。

 

大文字コードオフセットによる文字列難読化

このサンプル(SHA256 5d555eddfc23183dd821432fd2a4a04a543c8c1907b636440eb6e7d21829576c) は難読化されたUnicode文字列に、の文字コードから差し引く整数を付加したローダです。

これは以下にデコードされます: 

ダウンロードは再びASCIIの文字コードで、0～9の数字が"PxfnVCKsAi"の文字に置き換えられています。

しかし今回は、カスタムXORルーチンと "trump2020 "キーによる中間ステップがなく、ペイロードはAgent Teslaでした。

 

サッカークラブをテーマにしたペイロード格納場所

2021年3月以降、プルーフポイントは、サッカークラブやそのファンのためのウェブサイトをダウンロード先として使用するサンプルを観測しました。これらのWebサイトはおとりで、実際のペイロードの場所はリストに埋め込まれていたようです。

例えば、このサンプル (SHA256 b53558a85b8bb10ce70cb0592a81e540683d459b9d8666b7927c105f1141a189)では、分解されたコードは次のようになります: 

これは難読化されると以下になります: 

このペイロードは、この場合、Snake Keyloggerでした。

その後のサンプルでは、リバプール・フットボール・クラブをテーマにしたダウンロード先が使用されています。

このサンプルでは (SHA256: 9cc817f0205da4bde1d938e1817aa98fe4f4a5dcbcaffbe8b45041e24c105aa0)、ダウンロード先はジャンクなUnicode配列や文字列の組み立てで難読化されています。

これは、非ASCII文字を取り除いた後は以下のようになります: 

これは以下のダウンロード場所 (無力化済)に導かれます。: 

hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-1FE8F2E05D5035C0446552639B8336B8.html 

hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-EC7D4835EC6F56BD999A943FEDF8D489.html 

hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-DE7C2CE9F7D38544A851414C40C46A3F.html 

その中には、liverpool.comから引用したと思われるページの中に、次のステージを0〜9の数字を"GIucvPNTOs"に置き換えたASCII文字コードで掲載しています: 

最後に、通常の「00112266」リソースが「trump2020」キーでエンコードされ、最終的なペイロードである「Agent Tesla」を保持していることがわかります。

その後のサンプルでは、ドメイン名を変えていますが、パスは非常に似通っており、同じように一見無害そうなページが表示されています。 

図: DTPackerは、最終的なペイロードにリバプールFCをテーマにしたダウンロードサイトを使用
これらのサイトは、正規のリバプールFCおよびファン関連のウェブサイトを装っていました。

 

難読化された文字コード配列を用いた文字列難読化

このサンプル (SHA256:  281cdbf590c22cd684700dcde609d6be48ddf3e4d988d48e65d9c688ce76f7af) は、難読化された.NETコードを使用して、重要な文字列をASCII文字コードの配列として格納しています:

[0] : qHWXhtvYuc 

[1] : Append 

[2] : hxxp://mmwrlridbhmibnr[.]ml/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-40505C0917C3E190B486745F4941F177.html 

[3] : <meta name="keywords" content="([\w\d ]*)"> 

[4] : UserAgent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36 OPR/38.0.2220.41 

[5] : GetType 

[6] : Assembly 

[7] : ToArray 

[8] : Load 

[9] : EntryPoint 

[10] : Invoke 

[11] : LoginForm 

URLの文字列については、（ILSPYで分解すると）次のようになります: 

4つの割り当ての各ブロックでは、最初の3つがジャンクになり、次のもので上書きされます。 

これは、基礎となるMSIL（中間言語）コードで行われているようです: 

難読化のための命令は、実際には通常のコンパイラから期待されるような最短の形式ではありません。例えば、以下のように最終課題を行う設問のような形式です。

(05) 2000000000 : ldc.i4 0x0 

これは以下を用いて達成できたはずです。

(01) 16 : ldc.i4.0  

この場合の最終的なペイロードはAgent Teslaでした。

このPythonスクリプト（Github上）decoder-dup-array-strings.pyは、この技術を使って.NETバイナリから難読化された文字列を出力します。

 

ストレートXORによる "Trump2026 "の変種 

2021年8月以降、プルーフポイント社は、セカンドステージがカスタムXORルーチンと固定キー「trump2020」を使用しなくなり、代わりに固定ASCIIキー「Trump2026」とストレートXORを使用しているサンプルを観測しました。

今回のサンプル (SHA256: a564eb282800ed662b1c55ae65fbba86b6feca00a2e15ebb36a61fc53ac47c3a) では、中間段階をASCII文字コードとして「Strings」テーブルに格納しています: 

ペイロードは、中間ステージのオフセット 0x250 から格納されます: 

これをキー "Trump2026 "とのXOR処理を行うと以下になります: 

このペイロードはAgent Teslaでした。 

このサンプル (SHA256 affea9c276ded88eea1e39ac39fb19373c4b62d4251fb1d06f37a05e35dfa463)は、ダウンロードURLをUser Strings（defanged）でクリアに保存したダウンローダーです(無力化されています):

hxxps://cdn.discordapp[.]com/attachments/893177342426509335/897124528768032848/9722D04C.jpg 

hxxps://cdn.discordapp[.]com/attachments/893177342426509335/897124531213336656/F526E587.jpg 

ダウンロードはASCIIの文字コードです: 

これをつなぎ合わせてデコードすると、次のような中間ステージが得られます:  

XORキー「Trump2026」で復号すると、最終的なペイロードはFormBookでした。

 

同じ修正されたXORルーチンを使用するCyaX Packer 

2021年11月以降、プルーフポイント社は、CyaX-packerが「trump2020」キーを使用したDTPackerと非常によく似たセカンドステージを使用しているのを確認しました。

しかし今回は、UTF-16でエンコードされた「trump2020」ではなく、ランダムに生成された、ASCII、アルファベット混合、8～14文字の鍵を使用しています。

このサンプル (SHA256: 4053206d66d627d145d9da8d8e208d08c85755036a5393ccc6e8afd6117df864)では、中間ステージには、.NETリソースファイル「18Ocjj4dc4」が起動しています: 

jCcPzKq+9JLar8eO2ILnqfrkj8Wj64Lqo7XsiMaV85jStPyV/bTiu9+RwqTPheOrwqrjteyIxpXzmNK0/BV9NGItKqrrjTJvPFOC ... 

これをベース64にデコードすると以下の通りとなります: 

これを1バイトシフトした自分自身とXORすると以下の通りとなります: 

鍵「dNSfkJfHihIVY」でフィックスしたXORルーチンを使うと以下の通りとなります: 

1バイト目をフィックスした後、Agent Teslaとなります。 

これは、「trump2020」バージョンのDTPackerと最新のCyaXの第2段階のソースが共通していることを示唆しています。DTPackerとCyaXの間でリソースが重複している可能性があります。例えば、両方の作者が同じDLLエンコーダを購入している可能性がありますが、Proofpointはこれを確認できません。

結論

DTPackerは、パッカーとダウンローダーの両方に使用され、配信と難読化のバリエーションを持ちながら、解読の一部としてこのような2つのユニークなキーを保持しているのは非常に珍しいことです。

マルウェアの作者が、マルウェアの固定パスワードにドナルド・トランプ氏を明記した理由は不明です。これは、政治家や政治団体を特別に狙うために使用されるものではなく、意図した被害者が目にすることはないからです。プルーフポイントでは、このマルウェアは今後も複数の攻撃グループによって使用されると評価しています。

 

ネットワーク IDS ルール: 

Proofpoint Emerging Threatsには、このマルウェアに対する複数の検知ルールがあります。

2031127 - ET MALWARE DTLoader Binary Request 

2031128 - ET MALWARE DTLoader Encoded Binary - Server Response 

2031129 - ET MALWARE DTLoader Domain (ahgwqrq .xyz in TLS SNI) 

2033356 - ET MALWARE DTLoader Binary Request M2 

2844913 - ETPRO MALWARE Haskell Downloader/DTLoader CnC Activity 

2846706 - ETPRO MALWARE DTLoader Variant Activity 

2847389 - ETPRO MALWARE DTLoader CnC Activity 

2847503 - ETPRO MALWARE DTLoader Variant Activity 

2847916 - ETPRO MALWARE DTLoader Obfuscated HTML Payload Inbound 

2847940 - ETPRO MALWARE DTLoader Activity 

2850461 - ETPRO MALWARE DTLoader Retrieving Encoded Payload 

 

IoC(侵害の痕跡)のサンプル 

Indicator	Description	Associated Malware
9d713d2254e529286ed3ac471e134169d2c7279b0eaf82eb9923cd46954d5d27	DTPacker SHA256	Agent Tesla
hxxps://hastebin[.]com/raw/azipitojuj  hxxps://hastebin[.]com/raw/urafehisiv	Payload Download Location	Agent Tesla
285f4e79ae946ef179e45319caf11bf0c1cdaa376924b83bfbf82ed39361911b	DTPacker SHA256	Ave Maria RAT
512b2f1f4b659930900abcc8f51d175e88c81b0641b7450a6618b77848fa3b40	DTPacker SHA256	Agent Tesla
1312912d725d45bcd1b63922ec9a84abca7a8c9c669c13efbd03472c764be056	DTPacker SHA256	AsyncRAT
ba0f9be7cf006404bcfab6b6adbad0cef7281c3792490903632a4010d8a74f42	DTPacker SHA256	Agent Tesla
hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=E2E813E9694BE43CAD964C0453632F91  hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=63DC49E5D8F5F50F8838551347009928  hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=D13B96F0619AC39B44A32D3E0A260C89  hxxps://ahgwqrq[.]xyz/getrandombase64.php?get=85530E49BB23CD9DBD8461A2FC5D18A2	Payload Download Location	Agent Tesla
5d555eddfc23183dd821432fd2a4a04a543c8c1907b636440eb6e7d21829576c	DTPacker SHA256	Agent Tesla
hxxp://193.239.147[.]103/base/264712C97B662289D6644F926525A252.html	Payload Download Location	Agent Tesla
b53558a85b8bb10ce70cb0592a81e540683d459b9d8666b7927c105f1141a189	DTPacker SHA256	Snake Keylogger
hxxp://osndjdjjjdjshgaggdkf[.]com/base/377A23697621555ED2123D80005200D7.html  hxxp://osndjdjjjdjshgaggdkf[.]com/base/650D6251494D3B160CBC93685F2FA1E4.html  hxxp://osndjdjjjdjshgaggdkf[.]com/base/2A812C716BD7EB40F36227E584D97524.html	Payload Download Location	Snake Keylogger
9cc817f0205da4bde1d938e1817aa98fe4f4a5dcbcaffbe8b45041e24c105aa0	DTPacker SHA256	Agent Tesla
hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-1FE8F2E05D5035C0446552639B8336B8.htm  hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-EC7D4835EC6F56BD999A943FEDF8D489.html  hxxp://liverpoolofcfanclub[.]com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-DE7C2CE9F7D38544A851414C40C46A3F.html	Payload Download Location	Agent Tesla
281cdbf590c22cd684700dcde609d6be48ddf3e4d988d48e65d9c688ce76f7af	DTPacker SHA256	Agent Tesla
hxxp://mmwrlridbhmibnr[.]ml/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-40505C0917C3E190B486745F4941F177.html	DTPacker Download URL	Agent Tesla
a564eb282800ed662b1c55ae65fbba86b6feca00a2e15ebb36a61fc53ac47c3a	DTPacker SHA256	Agent Tesla
affea9c276ded88eea1e39ac39fb19373c4b62d4251fb1d06f37a05e35dfa463	DTPacker SHA256	FormBook
hxxps://cdn.discordapp[.]com/attachments/  893177342426509335/897124528768032848/9722D04C.jpg  hxxps://cdn.discordapp[.]com/attachments/  893177342426509335/897124531213336656/F526E587.jpg	DTPacker Download URL	FormBook
4053206d66d627d145d9da8d8e208d08c85755036a5393ccc6e8afd6117df864	DTPacker SHA256	Agent Tesla

 

 

※本ブログの情報は、英語による原文「DTPacker – a .NET Packer with a Curious Password」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。