今週1週間で見かけたマルウェアなどの解析記事(7件)。難読化ネタが多かった印象。
Astaroth — Maze of obfuscation and evasion reveals dark stealer
徹底した耐解析機能や検知回避手法を多用しているマルウェア Astaroth
C2 に YouTube チャンネルを利用する
ブラジルのシステムのみに感染を行う
メール内の偽の URL のリンクをクリックして取得されたファイルを介して感染する
→ Google ドライブでホストされている。
取得されたファイル内の LNK ファイル(難読化)がペイロードのダウンロードと実行を行う
→ JavaScript ファイルを生成され実行する。
→ 難読化された JavaScript の追加ステージ
→ ExtExport LoLbin を使用して DLL をロードし追加のペイロード (Astaroth DLL)
複数の配信サーバのドメインがハードコーディングされている
Astaroth DLL:大量の耐解析機能とサンドボックスのチェック
・仮想マシン環境の検知(実行ファイルやデバイス名、レジストリの値)
・実行中のプログラムの確認
・SbieDll.dll による Sandboxie の確認
・dbghelp.dll による Debugging Tools for Windows の確認
・ユーザ名
・etc...
YouTube チャンネルの Descryption の文字列を利用して操作される。
Key Technologies
- LNK
- JavaScript (難読化)
- ExtExport LoLbin
- 耐解析機能
- 検知回避
- サンドボックス回避
Ramsay: A cyber‑espionage toolkit tailored for air‑gapped networks
Ramsay と名付けられた偵察用のフレームワーク(開発中)
機密ドキュメントの収集と漏えいをエアギャップネットワーク内で行う
サンプルは VirusTotal からで投稿元は日本
痕跡が Retro バックドアと共通するものがあり、 APT グループ Darkhotel によるものと思われる。
最初のバージョンは CVE-2017-0199 (古いオフィスで RCE を行える脆弱性) を悪用するドキュメント
最新バージョンは CVE-2017-11882 (Word の数式エディタの脆弱性) を悪用する
Phantom DLL Hijacking と呼ばれる永続化手法を利用する
EternalBlue の影響を受ける端末をスキャン
Key Technologies
Vendetta-new threat actor from Europe
未知の攻撃者によるフィッシング攻撃のサンプル分析
サンプルの PDB パスのユーザ名から攻撃者を Vendetta と名付けている。
コード内の文字入れつからイタリア出身と主張されているが変数名からトルコ語の話者と考えられる。
ソーシャルエンジニアリングに国家機関が発行した偽の調査書を使用する。
使用されているマルウェアは PDB パスより RoboSki と名付けられた。
シェルコードが画像のピクセルに格納されている。
RoboSki (DLL)
→ ReZer0 (EXE)
→ NanoCore, RemcosRAT, Plugins...
Key Technologies
- C#
COMpfun authors spoof visa application with HTTP status-based Trojan
HTTP のレスポンスコード (200 OKなど)を使用して動作を支持するトロイの木馬 COMpfun
ヨーロッパの外交団体を標的として偽造ビザ申請をおとりに使う。
確度は高くないが APT グループ Turla が本マルウェアを使用している可能性がある
リソース (rsrc) セクションから二次検体のマルウェアを復号する
仮想環境のチェックやデバッグツールの起動を確認する
GET 要求に対するレスポンスコードで処理を変化させる。
主に 400 番台のコードの時に活動する。
Key Technologies
- PEDll
- HTTP
Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments
東シナ海周辺の国を標的としている脅威アクター Tropic Trooper による標的型攻撃
USBferry と呼ばれるエアギャップを超える USB マルウェアを使う
(USB ストレージを介して重要な文書を盗む USB マルウェア)
USBferry についての3バージョンにわたる進化の紹介
rundll32.exe にインジェクションを行う
Key Technologies
- エアギャップ (USB)
- インジェクション
QNodeService: Node.js Trojan Spread via Covid-19 Lure
MalwareHunterTeam の Tweet から分析して取得した未検出の Node.js マルウェア QNodeService
実装されている機能は
・ファイルのダウンロード/アップロード/実行
・Chrome / Firefox ブラウザーからの認証情報の盗用
・ファイル管理などを実行できる機能
Node.js と Java ダウンローダーが取得される
Java ダウンローダは Allatori 難読化ツールで難読化されている
socket.io ライブラリを使用した WebSocket による通信
Key Technologies
- Node.js
- socket.io (WebSocket)
- Java (難読化)
- JavaScript
Analyzing Dark Crystal RAT, a C# backdoor
Dark Crystal RAT(DCRat)の C# で書かれた亜種の解析
2つの実行可能ファイルを生成し、その2つの実行可能ファイルの内1つがさらに3つを生成する
最終的な3つの内2つは Plurox の亜種
もう一つが DCRat。
CFF Explorer を使用して表層解析。
DNSpy によるデコンパイルとコード分析。
De4dotによる .NET 難読化解除。
Dark Crystal RAT を配布しているサイトの分析。
Key Technologies
- Dark Crystal RAT (DCRat)
- .Net Framework (C#)
- 難読化