概要
Proofpointの研究者は、最近、主要な金融サービスプロバイダーを攻撃する、電子メールによる小規模なキャンペーンを突き止めました。 この攻撃が顕著なものであったのには、いくつかの理由があります。
- 攻撃は非常に狭い範囲で行われました。少数の悪意あるメールが、単一の組織内のユーザーに送信されたようです。
- メールには、検出を避けるためマクロではなく、埋め込みオブジェクトを使用したMicrosoft Wordの添付ファイルが含まれていました。埋め込みオブジェクトには高度な難読化も施されていました。
- ペイロードは未確認のキーロガーで、感染したコンピューターからGmailのアドレス2箇所へログを送信するようハードコード化されていました。
マクロの代わりに埋め込みオブジェクトを使用することは目新しいことではありませんが、現時点で、脅威のアクターのほとんどが依然として悪意のあるマクロを侵入経路に使用しています。 しかし弊社では、2017年にはこのテクニックがより広く使用されるようになると予想しています。
分析
この攻撃で送信されたメールには、「info.doc」という名称のMicrosoft Wordの添付ファイルが含まれています。 ドキュメントには画像が含まれ、コンテンツの閲覧のため、クリックしてMicrosoft Silverlightをインストールするようユーザーに要求します(図1)。
図1: ルアーとなるドキュメント
詳細に調べると、このドキュメントにはマクロではなく「パッケージャー シェルオブジェクト」が含まれていることがわかります(図2)。
図2: 画像を右クリックすると、リンクした図表ではなく埋め込みオブジェクトであることがわかる
「プロパティ」を選択すると、これがVBScriptファイルであることがわかります(図3)。
図3: 埋め込みオブジェクトのプロパティ
このVBScriptを抽出すると、文字列のすべての文字の後に「We are safe」を入れて難読化されているファイルが見つかります(図4)。
図4: コードの難読化を解く機能を備えた、VBScriptの難読化されたコードスニペット
しかし、コードの最初の3行には、「We are safe」の文字列を空の文字列に置き換える、難読化を解く機能が含まれています。 難読化を解いたコードを図5に示しています。
図5: 難読化を解いたコード
コードの6行目で https://a[.]pomf[.]cat/sfkpiff.exe への HTTP GET リクエストを行っていること、その後に疑問符の文字列が続くことに注目してください。 これらはリクエストされたサイトで破棄されるものと弊社では予期しています。 ファイルは、解析の時点で pomf[.]cat (ファイルをホストする無料サイト)からすでに削除されていました。このサイトでは匿名のアップロードが可能で、悪意のある実行ファイルのホストに頻繁に使用されています。
しかし弊社では、マルウェアをさらに解析するため、マルウェアの公開リポジトリからサンプルを回収することに成功しました。 マルウェアのプロセスのメモリダンプでは、次の興味深い点が明らかになります(図6にも示します。):
- http[:]//icanhazip[.]com へのネットワークリクエストにより、マルウェアは感染したマシンのパブリックIPアドレスを特定することができます。
- 「GetAsyncKeyState」APIが呼び出されます。 この Windows API は、ユーザーが押したキーボード上のキーを特定するため、キーロガーが頻繁に使用します。 GetAsyncKeyState を1秒間に10回呼び出すと、ベーシックなキーロガーが作成されます。
図6: 特定されていないマルウェアのメモリダンプ
メモリダンプをさらに調べると、これがキーロガーであることが確認できます(図7)。
図7: メモリダンプでキーロガーの機能を確認
ここには示していませんが、マルウェアはGmailのSMTPサーバーも使用し、ハードコード化されたGmailのアドレス2箇所へこれらのログを送信します。
現時点では、このキーロガーの特定はできていません。 これは AutoIt で書かれ、hxxp://0v3rfl0w[.]com からダウンロードした Lazagne パスワード復旧ツールなどの追加ツールを使用しています。 この時点でより興味深いのは感染ベクトルで、マルウェアの機能そのものは複雑ではありません。
結論
脅威のアクターが悪意あるマクロの使用を超えた動きに出るにつれ、組織は、悪意のあるコンテンツがエンドユーザーに到達するのを阻止する方法を新たに考える必要に迫られるでしょう。 多くの企業がMicrosoft Officeのマクロをポリシー段階でブロックする、またはユーザーにマクロコンテンツの有効化に伴う危険を教える一方で、攻撃者はマルウェア拡散のための武装化ドキュメントを作成する他の方法を編み出しています。この場合はキーロガーのペイロードを含むMicrosoft Wordドキュメント内の埋め込みVBScriptです。
攻撃されたことを示す痕跡(IOC)
|
IOC |
IOCのタイプ |
詳細 |
|
8b7845f5487847085753f940dbbd65c7e75e6be48918fcf9f0d98df169607003 |
SHA256 |
添付ファイル |
|
https://a[.]pomf[.]cat/sfkpiff.exe |
URL |
ホストされたキーロガー(後に削除) |
|
9a0b0832ac47b48475901269a0eb67f6287a2da64ec9a5cc8faf351ecd91d0e3 |
SHA256 |
キーロガー |
ETおよびETPRO Suricata/Snortの範囲
2819671 || ETPRO TROJAN AutoIt - Lazagne パスワード復旧ツールのダウンロード
2019935 || ET TROJAN AutoIt - EXE のダウンロード - 悪意を持つ可能性が高い
2807400 || ETPRO MALWARE AutoIt EXE または DLL Windows ファイルのダウンロード
2008350 || ET POLICY Autoit Windows Automationツール、HTTP リクエスト内のユーザーエージェント - 悪意を持つ可能性あり