この記事は、シスコの Managed Threat Defense(MTD)オペレーションのシニア マネージャーである Martin Nystrom によるブログ「Fake Volume License Trojan Targets Corporate Users and Evades Sandboxes」(2015/2/9)を意訳したものです。
2 週間前、Cisco Managed Threat Defense (MTD)サービスの複数のお客様が、Microsoft ボリューム ライセンス サービス センター(VLSC)から送信されたように見える、1 通の電子メールを受け取りました。これは次のような電子メールで、Microsoft から送信される電子メールに非常によく似ています。また、受取人の名前が入った挨拶文と、ボリューム ライセンス サービス センターにログインするためのリンクが含まれています。
この偽の Microsoft.com のリンクには、受信者の電子メール アドレスが含まれているため、さらに本物らしく見えます。このリンクの上にマウスを置くと、実際のリンクが表示されます。このリンクは、以下のドメインのうちのいずれかに移動します。
- livihome[.]pl
- tirillycompagnie[.]com
- redwoodrecycling[.]com
- gdc[.]travel
企業ユーザをターゲットにした攻撃
これらのドメインの共通点を分析したところ、すべてウイルスに感染した WordPress サーバであることが判明しました。ハッカーにより、正式なページに余分なページが追加されていたのです。ページの場所は次のとおりです。
http://tirillycompagnie[.]com/wp-content/tinymce-advanced/mc/searchreplace/1.php
Microsoft は、企業顧客に対して Windows や Office などの製品のライセンスを複数まとめて付与しています。VLSC は、通常アクティベーション コード形式で提供されるライセンスを取得するために Microsoft の顧客がログインするサイトです。ユーザがこのフィッシング電子メールのリンクをクリックすると、以下に示すスクリーンショットが表示されます。
1.php で終わるリンクをクリックすると、Javascript を使用した機能が実行されて、本物の Microsoft ボリューム ライセンス センターのログイン ページが表示され、ボリューム ライセンスの代わりにトロイの木馬の .zip ファイルのダウンロードが始まります。この .Zip ファイルのダウンロード ウィンドウをよく見てみると、ダウンロード元は http://tirillycompagnie[.]com ですが、たいていのユーザはこれに気付かず、Microsoft.com から何かをダウンロードしているのだと勘違いします。
アナリストが信頼性のないファイルからのアラートを受信
この攻撃については、まず MTD のセキュリティ アナリストが 1.php という名前のファイルに対する Sourcefire ファイル イベントからのアラートを受け取りました。
脅威の性質を明らかにするために、アナリストはこの .ZIP ファイルを入手しました。当社のマルウェア分析の結果、この .ZIP には .SCR 拡張子が付いた Windows 実行可能ファイルが含まれていることが分かりました。この実行可能ファイルの名前は Volume_Licensing_Service_Center_details_7834892334.scr です。
このファイルのハッシュとサイズは以下のようになっていました。
MD5:1b147fc9d5342ca0fa59207d366ec4fb
SHA256:53365e66e87a46fe8c2838aed30f099b275a816129af0c3e9bce4dcc0d58fdd0
ファイル サイズ:51.9541 KB
サンドボックスによる検出が失敗
当初、アンチウイルス ソフトウェアによる検出を試みましたが、検出率は低く、57 件中 9 件のウイルス対策プログラムしか成功しませんでした。
MTD の調査スタッフは、このファイルに対してサンドボックス分析を行うことにしました。3 つの商用サンドボックスおよび 1 つのオープン ソースのサンドボックスでこのマルウェアを動作させましたが、いずれも成功しませんでした。このマルウェアは自身がどのように分析されているかを理解しているようで、20 秒後に何もせずに終了しました。他のマルウェアをダウンロードするために使用されるこのマルウェアには、ウイルス対策プログラムにより、「Chanitor」という名前が付けられました。このダウンローダは、多数の攻撃で使用されています。たとえば、電子メールを使用して偽の FAX、偽のボイスメール、偽の請求書、偽の発注書などを送信する攻撃などです。
調査スタッフが分析にデバッガを使用
このマルウェアの完全な分析を行い、そのコマンドおよび接続先である制御サーバを特定するために、調査スタッフはネットワーク キャプチャ、メモリ キャプチャ、およびファイル システム モニタリング ソフトウェアがインストールされた実際のハードウェアで、このマルウェアを実行しました。この分析により、サンドボックス内でのマルウェアの実行を妨げているのが、プログラムによる遅延であることが明らかになりました。
この分析はこれまでより良い成果をあげ、この Chanitor の変種による調査への対抗手段の 1 つが明らかになりました。この Chanitor の変種は最初の実行時に合計で 30 分間以上スリープします。実行時に Volume_Licensing_Service_Center_details_7834892334.scr が解凍されます。このファイルはそれ自身をデコードし、winlogin.exe というプロセスを開始します。winlogin.exe は以下に示すミリ秒の間、何度もスリープします。
winlogin.exe は実行開始を遅らせるために繰り返し sleep 関数を呼び出し
"winlogin.exe" sleep "00313623" milliseconds
"winlogin.exe" sleep "00301713" milliseconds
"winlogin.exe" sleep "00289634" milliseconds
"winlogin.exe" sleep "00326947" milliseconds
"winlogin.exe" sleep "00319869" milliseconds
"winlogin.exe" sleep "00290436" milliseconds
"winlogin.exe" sleep "00304573" milliseconds
"winlogin.exe" sleep "00300983" milliseconds
"winlogin.exe" sleep "00300131" milliseconds
"winlogin.exe" sleep "00305685" milliseconds
winlogin.exe は、サンドボックスの自動分析が終わるまでスリープして待機してから、インターネットでの通信を開始します。このプログラムは出力を表示しませんが、メタデータは、このプログラムがコンピュータ上で出力に英語を使用してコンパイルされたことを示しました。このマルウェアは起動すると、以下に示す複数のファイルを作成します。
作成されるファイルとその種類
- dll:PE32 実行可能ファイル(DLL)(GUI)Intel 80386、MS Windows 用
- msy:バイナリ データ
- exe:PE32 実行可能ファイル(GUI)Intel 80386、MS Windows 用、自己解凍アーカイブ
このトロイの木馬のダウンローダは自分自身をディスク上の別のファイルにコピーし、ここに示すコマンドを使用して、ファイル名を再度 winlogin.exe に変更します。
cmd /D /R type “C:\Users\PSPUBWS\AppData\Roaming\Windows\winlogin.exe” > ___ && move /Y ___ “C:\Users\PSPUBWS\AppData\Roaming\Windows\winlogin.exe”
これにより、サンドボックス分析の一部が失敗します。
調査スタッフが C2 サーバとメソッドを検出
Volume_Licensing_Service_Center_details_7834892334.scr のネットワーク アクティビティをモニタした結果、winlogin.exe プロセスの起動後に、以下のドメインがルックアップされていることが判明しました。
分析時に使用された DNS クエリおよび IP
- api[.]ipify[.]org:16.221.126, 54.225.211.214, 54.235.186.52
- o3qz25zwu4or5mak[.]tor2web[.]org:150.168.70, 38.229.70.4
- o3qz25zwu4or5mak[.]tor2web[.]ru:78.144.80
api[.]ipify[.]org は API を公開するオンラインのサービスで、アプリケーションが自分の IP アドレスを理解できるようにします。
DNS クエリの後、トロイの木馬である Chanitor はまず api[.]ipify[.]org に接続して、その IP アドレスを取得します。
TCP 接続
–> 50.16.221.126:443 api[.]ipify[.]org IP を取得
次に、このマルウェアは Tor の匿名ネットワークに接続できるかどうかを判断します。
TCP 接続
–> 194.150.168.70:443 o3qz25zwu4or5mak[.]tor2web[.]org Len=0
–> 166.78.144.80:443 o3qz25zwu4or5mak[.]tor2web[.]ru Len=0
これは単なるテストのため、ペイロードの長さはゼロです。
調査スタッフが C2 およびデータ盗難について NetFlow を調査
マルウェア分析で見つかった IP アドレスに対する接続について MTD の調査スタッフが NetFlow のデータを検査したところ、お客様数社がボリューム ライセンスを装ったトロイの木馬をダウンロードしたにもかかわらず、どのお客様のシステムもこのトロイの木馬を開いてはおらず、感染したシステムはないことが明らかになりました。攻撃の初期段階で当社がお客様に開示した調査の概要は以下のとおりです。
調査スタッフによる開示内容
1 件の調査で 2 つのホストがトロイの木馬を以下からダウンロードしたことが判明
http://redwoodrecycling[.]com/wp-content/themes/redwood2/fonts/Droid-Sans-fontfacekit/1.php
4 件の調査で 1 つのホストがトロイの木馬を以下からダウンロードしたことが判明
http://livihome[.]pl/wp-includes/js/tinymce/plugins/wpeditimage/1.php
また、3 つのホストが、トロイの木馬を以下からダウンロードしたことが判明
http://tirillycompagnie[.]com/wp-content/tinymce-advanced/mc/searchreplace/1.php
このマルウェアを配布した 4 つの Web サイトは、約 6 日間オンラインに存在していました。MTD の調査スタッフは、お客様に該当するドメインをブロックするよう忠告しました。この間に MTD は、これらのドメインと IP に対する新しい接続を対象に、トロイの木馬である Chanitor が実行されているかどうかを引き続きモニタしました。
まとめ
このマルウェアは以下の 3 つの傾向を示しています。
- 攻撃者は、高度なフィッシング技術を使用して企業ユーザを狙っている。
- 攻撃者はマルウェアにサンドボックスの回避策を組み込んでいるため、検出には技術力の高い調査スタッフと高い機能のセキュリティ ツールボックスが必要である。
- Tor が、C2 およびデータ盗難の手段としてさらに一般的になっている。
同じような例を実際にご覧になったことはないでしょうか。マルウェア作成者がサンドボックスを無力化する能力はかなり高いため、警戒が必要です。