解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Weekly Analysis Articles (2020/05/24-30)

f:id:k1z3:20200426185657j:plain

今週1週間で見かけたマルウェアなどの解析記事(4件)。

Aggressive in-app advertising in Android

人気の Google Play アプリで使用されている SDK に疑わしい広告ライブラリが使用されていた
確認されたものは端末のロック解除時に広告を表示するもので、これによりアプリの実行有無に関わらず広告を表示することができる。
Google Play規約違反の仕様)
暗号化された C2 サーバのアドレスを復号し通信を行い広告の受信に関する情報が返される。
最初の広告の表示に12時間の遅延を設けており、広告の原因を見つけにくくしている

securelist.com

From Agent.BTZ to ComRAT v4: A ten‑year journey

Turla グループ (aka Snake)が使用するマルウェア「ComRAT (Agent.BTZ)」最新バージョン
2017年中旬までは同じコードベースで亜種が開発されていたが、全く異なるコードベースの ComRAT がリリースされており、国家機関の機密文書を狙っていた。
内部名に以前のコードベースのものと同じ「Chinch」が使用されている。
.NET 実行ファイルを用いて MS SQL Server の DB にアクセスしていた
ダンプされたドキュメントは圧縮され、クラウドホスティングに持ち出された。
クラウドストレージは net use コマンドでマウント
AD や GPO などの情報の収集も行っている

www.welivesecurity.com

Valak: More than Meets the Eye

マルウェアローダに分類されている Valakマル​​ウェア の解析
マクロが DLL をドロップし起動
サーバ上の aspx ファイルにアクセスしてペイロードを取得する
スケジュールタスクによる永続化
代替ストリームに保存された JavaScript を実行する
二次検体も同じよな動きをする
複数のモジュールをロードする

www.cybereason.com

Weaponized Disk Image Files: Analysis, Trends and Remediation

添付した img ファイルをマウントさせ、含まれている exe をユーザが実行する
exe は AutoIt スクリプトコンパイルしたもの
NanoCore RAT のドロッパーとして動作する
コンテンツをアンパックした後、プロセスインジェクションを行う
注入されたバイナリは .NET のバイナリ
Falcon を使った IR

  • AutoIt
  • アンパック
  • プロセスインジェクション
  • .NET (C#) 難読化

www.crowdstrike.com