« VirusTotalへアップロードされる機微情報 | メイン | MNCTF2016 WriteUp 解答例 »

2016年10月20日 (木)

マルウェア解析奮闘記 Powershell多用マルウェアの解析

 先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。

以下に、概要および解析結果を記します。

■概要

 フィッシングメールにショートカットがZIP圧縮されて添付されており、数個のPowerShellおよび実行ファイルが多段で利用されている一連の攻撃となっています。

最終的なマルウェアは入手できおらず、攻撃者の意図は残念ながら把握できておりませんが、メール本文およびおとりのファイルから察するに標的型攻撃の可能性がございます。また、ショートカット攻撃およびPowerShellスクリプトが絡む攻撃は年々増加しているため、ユーザ教育(ショートカットは実行してはいけない)や実行制限をご検討ください。

Photo_2

図、攻撃の全体像

■解析結果および手順

添付ファイルはzipファイルで、中身が以下のショートカットでした。

1_2

図、添付ファイルのzipに含まれていたショートカット

 

リンク先からpowershell.exeを実行していることがわかります。さらに「実行時の大きさ」を確認すると「最小化」と設定されています。これはPowerShellを実行した際に、コマンドプロンプトを見せないようにするための工夫と思われます。

以下はショートカットから抽出した「リンク先」の中身です。

2

powershellスクリプトが含まれていることがわかります。

「-enc」がついているため、スクリプト本体はBase64でエンコードされています。

ただし、ショートカットの「リンク先」は260文字しか表示されておらず、実はその続きがあります。そのため、ショートカットのバイナリから全体を抽出しなければなりません。

3fileinsight

図、バイナリエディタ(FileInsight)でショートカットを開いた画面

0x307(選択箇所)から「リンク先」が続きます。0x3C7(赤い矢印)からはBase64でエンコードされたPowerShellスクリプトが始まります。まずはそれをデコードします。

4fileinsight

図、FileInsightでBase64をデコードした結果

※FileInsightは選択箇所に対して様々なエンコード/デコードができます。

下部に「New-Object」という文字列が見えるようになりました。

テキストエディタで抽出した文字列を開いてみます。 

■PowerShellスクリプト①

テキストエディタで開いた結果(※改行を追加しています)

5powershell

まず1行目はテキストファイル(d.txt)をダウンロードし、テンポラリーフォルダにProcess.txtとして保存しています。

2行目はダウンロードしたものをメモ帳(notepad)で開いています。

3行目はファイル(t.ps1)をダウンロードし、さらにPowerShellとして実行しています。

4行目は「detxt」という関数を実行しています。

 

1行目、2行目はおとりファイルのテキストファイルをダウンロードして、開く処理をします。つまり、ユーザがショートカットをダブルクリックするとテキストファイルが表示され、ユーザはマルウェアが裏で動作しているということがわかりません。

その間に3行目、4行目で新しいPowerShellスクリプト②をダウンロードし、実行します。

 

■PowerShellスクリプト②

6powershell

1行目で「detxt」という関数を定義しています。

4~8行目で受け取ったパラメータを$URL変数に格納しています。

10~28行目でファイルをダウンロードしています。

12行でUser-Agentを「Mozilla/4.0+」設定しています。特徴的なので、Proxyログから見つけられる可能性があります。

29行目でダウンロードされたテキストをスペース(「'  '」)区切りでByteの配列に代入し、次の行で各バイトをスタートアップフォルダの実行ファイル(exe)で保存し、最後の31行目で実行しています。

実際にダウンロードされるテキストファイルはPowerShellスクリプト①の4行目で指定されております。

7powershell_2

以下がそのテキストファイルの中身の抜粋となります。

8exe_2

図、EXEの元データとなるテキストファイル 

ご覧のとおり、数字の羅列です。1つの数字が生成されるファイルの1バイトに相当します。最初に注目すると、「77 90」から始まっていますが、これは実行ファイル(EXE)のPEヘッダーに含まれる「MZ」のアスキーコードとなります。

上記のテキストファイルからEXEを生成するPythonスクリプト

txtfilepath = 't.txt'              #input file

binfilepath = 'svcmondr.bin#output file

with open(txtfilepath, 'r') as content_file:

    content = content_file.read()

with open(binfilepath,'wb') as output:

    output.write(bytearray(int(i,10) for i in txt.split()))

 

■実行ファイル

出来上がったEXEをIDA Proで解析します。

9exe

図、EXEに含まれている関数の相関図

mainからは呼び出されている関数は攻撃者が用意したfunc_xor以外はWindowsAPI関連のものしかありません。プロセスを実行するものであるということがわかります。

Aexe2

図、XOR復号ルーチン

復号鍵はハードコーディングされており、「0x0C」で、XORで復号するバイト数は0x4E4も書かれていました。

Bexe2

図、鍵情報がふくまれている箇所

復号する箇所、サイズ、鍵情報がわかったので、実際に復号します。

Cexe2

図、EXEに含まれるXORされたデータ(抜粋)

XORされている箇所が603C(赤い矢印)から始まります。

Dexe2

図、XOR復号したデータ(抜粋)

ここで再びPowerShellスクリプトが出てきます。PowerShellスクリプト①同様にBase64でエンコードされているので、デコードします。

Eexe2

図、EXEに含まれているPowerShellスクリプト

■PowerShellスクリプト③

抽出したPowerShellスクリプトがこちらです。

Fpowershell

8行目でindex.aspのコンテンツをダウンロードし、6行目の鍵でXORしています。そこで得られた文字列を9行目のIEX関数でPowerShellスクリプトとして実行しています。

残念ながら、上記のダウンロード先は調査時にはコンテンツが変わっており、無意味な文字列が含まれていたため、調査はここで打ち切りとなりました。

■結論

ダウンローダとして、PowerShell、実行ファイルが多段で利用された攻撃でしたが、攻撃者の意図としては、やはり検知・解析されにくくすることだと思います。

PowerShellは従来悪用されてきたJScript、VBScript同様、難読化が行え、メモリ上での実行が可能であることから、検知が難しく、今後サイバー攻撃で悪用されるケースはますます増えると考えられます。

« VirusTotalへアップロードされる機微情報 | メイン | MNCTF2016 WriteUp 解答例 »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat