Weekly Analysis Articles (2020/05/24-30)
今週1週間で見かけたマルウェアなどの解析記事(4件)。
Aggressive in-app advertising in Android
人気の Google Play アプリで使用されている SDK に疑わしい広告ライブラリが使用されていた
確認されたものは端末のロック解除時に広告を表示するもので、これによりアプリの実行有無に関わらず広告を表示することができる。
(Google Play の規約違反の仕様)
暗号化された C2 サーバのアドレスを復号し通信を行い広告の受信に関する情報が返される。
最初の広告の表示に12時間の遅延を設けており、広告の原因を見つけにくくしている
From Agent.BTZ to ComRAT v4: A ten‑year journey
Turla グループ (aka Snake)が使用するマルウェア「ComRAT (Agent.BTZ)」最新バージョン
2017年中旬までは同じコードベースで亜種が開発されていたが、全く異なるコードベースの ComRAT がリリースされており、国家機関の機密文書を狙っていた。
内部名に以前のコードベースのものと同じ「Chinch」が使用されている。
.NET 実行ファイルを用いて MS SQL Server の DB にアクセスしていた
ダンプされたドキュメントは圧縮され、クラウドホスティングに持ち出された。
クラウドストレージは net use コマンドでマウント
AD や GPO などの情報の収集も行っている
- PowerShell (PowerStallion)
- .NET (C#)
- カスタムC&C プロトコル (via HTTP)
Valak: More than Meets the Eye
マルウェアローダに分類されている Valakマルウェア の解析
マクロが DLL をドロップし起動
サーバ上の aspx ファイルにアクセスしてペイロードを取得する
スケジュールタスクによる永続化
代替ストリームに保存された JavaScript を実行する
二次検体も同じよな動きをする
複数のモジュールをロードする
- Macro
- PowerShell
- JavaScript
- .NET (C#)
Weaponized Disk Image Files: Analysis, Trends and Remediation
添付した img ファイルをマウントさせ、含まれている exe をユーザが実行する
exe は AutoIt スクリプトをコンパイルしたもの
NanoCore RAT のドロッパーとして動作する
コンテンツをアンパックした後、プロセスインジェクションを行う
注入されたバイナリは .NET のバイナリ
Falcon を使った IR
- AutoIt
- アンパック
- プロセスインジェクション
- .NET (C#) 難読化