電子メール本文の分析昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しましたキャンペーンは数日間続きましたが最近同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されましたこのキャンペーンでは同じ空白の件名と本

Size: px

Start display at page:

Download "電子メール本文の分析昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しましたキャンペーンは数日間続きましたが最近同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されましたこのキャンペーンでは同じ空白の件名と本"

ゆたかちとく
5 years ago
Views:

スパム JavaScript ランサムウェアのトライアングルはじめに私たちのグローバルスパムハニーポットセンサーは悪質な

そのファイルが開かれた場合 JavaScript が犠牲者にランサムウェアを感染させるために使用されますこのキャンペーンは

日に終了しました同様のバーストが図 1 と表 1 のタイムラインに示すように数日後の 7 月 25 日から 2017 年 7

1 スパム JavaScript ランサムウェアのトライアングルはじめに私たちのグローバルスパムハニーポットセンサーは悪質な JavaScript を含む Zip 圧縮された添付ファイルを利用する世界中に拡散された電子メールキャンペーンを検出しましたそのファイルが開かれた場合 JavaScript が犠牲者にランサムウェアを感染させるために使用されますこのキャンペーンは 2017 年 7 月 17 日の遅くに開始され 120 万件以上のメッセージでピークに達し 2017 年 7 月 19 日に終了しました同様のバーストが図 1 と表 1 のタイムラインに示すように数日後の 7 月 25 日から 2017 年 7 月 27 日かけて観測されました図 1: スパムのピークを示すスパムキャンペーンのタイムライン表 1: このキャンペーンの原産国別のスパム

電子メール本文の分析昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しましたキャンペーンは数日間続きましたが最近同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されましたこのキャンペーンでは同じ空白の件名と本文が使用されましたが圧縮された JavaScript(JS) ファイルの添付ファイルが異なります

2 電子メール本文の分析昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しましたキャンペーンは数日間続きましたが最近同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されましたこのキャンペーンでは同じ空白の件名と本文が使用されましたが圧縮された JavaScript(JS) ファイルの添付ファイルが異なりますこのキャンペーンで使用される Zip ファイルは 2 種類ありそれぞれに別々の JavaScript コードセットが含まれていますどちらの JS ファイルも同じコードテンプレートを使用していたようですが異なるマルウェアを指す別の URL が含まれていました添付ファイルを含む 2 つのスパムメッセージの匿名化されたスクリーンショットを図 2 と図 3 に示しますここでは両方のメッセージで件名フィールドと本文が空白または空でした空白の件名と本文を使用してスパム対策のシグネチャベースの検出を難しくしスパム発信者のための簡単なテンプレートとして機能するのは一般的なテクニックです図 2: 添付ファイルが添付されたサンプルの電子メールメッセージ図 3: 同様の圧縮された添付ファイルを含むサンプルの電子メールメッセージ

添付ファイルの分析悪質な JavaScript(JS) 添付ファイルをディスクに保存して解凍すると JavaScript ファイルが表示されますこの JavaScript

Wikipedia の記事から明らかにコピーされていますパラグラフはスクリプトの一番上に置かれ自動スキャナとそれをテキストエディタでプレビューできる人間の熟練者の両方を回避するため

明らかに中国に関するウィキペディアの記事からテキストの文章がコピーされています図 4: 中国に関する長い Wikipedia の記事を含む JavaScript ファイルの先頭図 5:

3 添付ファイルの分析悪質な JavaScript(JS) 添付ファイルをディスクに保存して解凍すると JavaScript ファイルが表示されますこの JavaScript ファイルをダブルクリックするとスパマーの目的が実行されますこの JavaScript のサンプルは読みやすいテキストの段落に埋め込まれている点がユニークです異なる国に関する Wikipedia の記事から明らかにコピーされていますパラグラフはスクリプトの一番上に置かれ自動スキャナとそれをテキストエディタでプレビューできる人間の熟練者の両方を回避するため良質のテキストファイルの外観を持たせていると考えられますそのようなサンプルのスクリーンショットが図 4 と図 5 に示されていますこのケースでは明らかに中国に関するウィキペディアの記事からテキストの文章がコピーされています図 4: 中国に関する長い Wikipedia の記事を含む JavaScript ファイルの先頭図 5: 記事のテキスト内とその下に埋め込まれた JavaScript 関数この悪質な JavaScript サンプルには攻撃者によって作成された難読化された JS 関数が 30 以上ありますこれらの関数は図 6 に示すようにトリガー関数呼び出しによって実行されるとその悪意のあるアクティビティを実行します

図 6: 他のすべての悪質な JS 関数を再帰的に呼び出すトリガー関数トリガー機能は悪意のあるペイロードをダウンロードするために最初に URL の難読化を解除しますこのスクリプトでは難読化された URL からカンマを削除するという単純な非難読化手法を採用していますフェイルセーフ手法として攻撃者はこの機能に 5 つの異なる URL を埋め込んで

XMLHTTP という Microsoft ActiveX オブジェクトを使用しますこのオブジェクトは任意の HTTP 要求を送信し応答を受信しその応答を Microsoft XML 文書オブジェクトモデル (DOM) で解析するために使用されますここで Open メソッドを使用して MSXML2.

4 図 6: 他のすべての悪質な JS 関数を再帰的に呼び出すトリガー関数トリガー機能は悪意のあるペイロードをダウンロードするために最初に URL の難読化を解除しますこのスクリプトでは難読化された URL からカンマを削除するという単純な非難読化手法を採用していますフェイルセーフ手法として攻撃者はこの機能に 5 つの異なる URL を埋め込んで他のものがオフラインになった場合に備えて少なくとも 1 つの悪質なペイロードをダウンロードさせるようにします一つのコードの断片を図 7 に示します図 7: 悪意のあるペイロードをホストしている URL の難読化が解除されたこれらの悪質な URL はダウンローダー機能に供給されますダウンローダー関数は MSXML2.XMLHTTP という Microsoft ActiveX オブジェクトを使用しますこのオブジェクトは任意の HTTP 要求を送信し応答を受信しその応答を Microsoft XML 文書オブジェクトモデル (DOM) で解析するために使用されますここで Open メソッドを使用して MSXML2.XMLHTTP 要求を初期化し図 8 に示すようにメソッドと URL を指定します Microsoft ActiveX オブジェクトの使用はスパマーが Microsoft Windows の犠牲者を対象としていることを示しますこのスクリプトは Windows OS でダブルクリックするだけで実行できますこれは WScript.exe を使用して GUI からあるいは CScript.exe を使用してコマンドラインからスクリプトを実行および自動化するためのフレームワークである Microsoft Windows Scripting Host(WSH) によって助けられます WSH は Jscript や VBScript などのスクリプトエンジンをサポートしていますさらにこのスクリプトは Web ブラウザ特に Microsoft Internet Explorer と Edge によって解釈され実行される可能性があります ActiveX オブジェクトをサポートする IE 拡張機能を実行する他のブラウザも脆弱です図 8:HTTP 経由でのファイルダウンロードを開始する Downloader 機能といくつかのインラインコメント次に攻撃者は ActiveX ストリームとファイルシステムオブジェクトを利用してダウンロードしたファイルをランダムに名前を付けた JPG として一時フォルダに保存し図 9 10 図 11 に示すように EXE に名前を変更します

EXE に変更されコードがインラインコメントとともに表示される最後に図 12 に示すように

5 図 9:Temp フォルダに悪質なペイロードを JPG として保存しコードがインラインコメントとともに表示される図 10: ダウンロードしたファイルをディスクに保存するための Stream オブジェクト図 11: 悪意のあるファイル拡張子が.JPG から.EXE に変更されコードがインラインコメントとともに表示される最後に図 12 に示すようにダウンロードしたマルウェアペイロードサンプルを実行する ActiveX WScript Shell オブジェクトを使用して悪意のあるペイロードが実行されますつまりこの JavaScript サンプルはダウンローダーおよびエグゼキュータです

6 図 12:WScript Shell ActiveX オブジェクトによるコードの実行 JS によって削除された悪意のあるペイロードの分析 2 つの異なる JavaScript サンプルがありましたこれらのサンプルは同じコードテンプレートでパッケージ化されていましたが異なる URL を使用して構成されていましたこれにより 2 つの異なるランサムウェアファミリすなわち "FakeGlobe" ランサムウェアと "Cerber" ランサムウェアがダウンロードされますペイロード IOC( 痕跡 ) FakeGlobe Ransomware これは *.dat 拡張子で終わる埋め込み URL でホストされていました JS ファイルから抽出された URL の例を以下に示します URL:hxxp://astromfghqmo.com/error.php?f = 1.dat ダウンロードしたファイルのハッシュ : MD5:D885A FD2CA8ED9075A71652 SHA1:DF799BC0225C5391DAE2F0044AAAE745A2C64E14 FakeGlobe の暗号化ファイルと Ransom ノート : 実行後 FakeGlobe ランサムウェアサンプルはファイルを暗号化して名前を変更します暗号化されたファイルは図 13 に示すように *.crypt 拡張子名を使用してリネームされ図 14 に示すようにランサムウェアのメモは HTML として設定されます図 13:*.crypt 拡張子で名前を変更したファイル

図 14:FakeGlobe Ransomware ノート Cerber ランサムウェア Cerber ランサムウェアは * doc 拡張子で終わる URL 上でホストされていました JS ファイルから抽出されたいくつかの URL がここにリストされています : URL: hxxp://asopusforums.date/1.doc hxxp://ariadnerevolution.

7 図 14:FakeGlobe Ransomware ノート Cerber ランサムウェア Cerber ランサムウェアは * doc 拡張子で終わる URL 上でホストされていました JS ファイルから抽出されたいくつかの URL がここにリストされています : URL: hxxp://asopusforums.date/1.doc hxxp://ariadnerevolution.date/1.doc hxxp://asbetosgem.trade/1.doc hxxp://phaennabazaar.trade/1.doc hxxp://dolopolesasz.com/1.doc ダウンロードしたファイルのハッシュ : MD5:FE1BC60A95B2C2D77CD5D232296A7FA4 SHA1:C07DFDEA8DA2DA5BAD036E7C2F5D37582E1CF684 暗号化されたファイルとランサムノート :

8 実行後 Cerber ランサムウェアサンプルはファイルを暗号化して名前を変更します Cerber ランサムウェアによって暗号化されたファイルはランダムなファイル名と拡張子を使用しますこのサンプルでは図 15 に示すようにこの拡張子 *.ab22 を持つランダムファイルを使用していました通常の Cerber は "*.hta" 図 16 および図 17 に示すように txt 形式に変換されます図 15: ランダムな名前と *.ab22 拡張子を持つ暗号化ファイル図 16: ランサムノートのテキストファイルの内容ファイルとは別に Cerber の典型的な動作である身代金メモを表示するように壁紙を変更します

図 17: ランサムノートの HTML ファイルの内容まとめ攻撃者は電子メールのシンプルさを利用して世界中の犠牲者にトランスクリプトを配布しています私たちは攻撃者が分散ハニーポットセンサーによって検出された何百万ものスパムメッセージを送信したそのようなキャンペーンの 1 つを検出しましたこれらのスパムメッセージには空白の件名が含まれていてメッセージ本文は空ですメッセージは 2

9 図 17: ランサムノートの HTML ファイルの内容まとめ攻撃者は電子メールのシンプルさを利用して世界中の犠牲者にトランスクリプトを配布しています私たちは攻撃者が分散ハニーポットセンサーによって検出された何百万ものスパムメッセージを送信したそのようなキャンペーンの 1 つを検出しましたこれらのスパムメッセージには空白の件名が含まれていてメッセージ本文は空ですメッセージは 2 つの異なるセットに分類されそれぞれが異なる zip 添付ファイルを提供し同様の難読化された JavaScript ファイルを含んでいます JS ファイルには同じコードテンプレートが含まれていますが別のトランスコードを指す別個の URL のセットが設定されています一度実行されるとランサムウェアが感染し被害者のコンピュータ上のファイルを身代金のために暗号化します緩和策としてメールのゲートウェイで JS ファイルをブロックすることを検討する必要があります最近マルウェアがこのようなスクリプトを介して配布されているためです Trustwave の Secure Gateway はこのキャンペーンを効果的に検出して阻止しサイバー犯罪者の脅威からお客様を守ります謝辞 Phil Hay の有益な貢献と貴重なフィードバックアドバイスに感謝します

マルウェアレポート 2017年12月度版

マルウェアレポート 2017年12月度版バンキングマルウェアの感染を狙った攻撃が日本に集中ショートレポート 1. 12 月の概況について 2. バンキングマルウェアの感染を狙った攻撃が日本に集中 3. ランサムウェアのダウンローダーを数多く確認 1. 12 月の概況について 2017 年 12 月 1 日から 12 月 31 日までの間 ESET 製品が国内で検出したマルウェアの比率は以下のとおりです国内マルウェア検出数の比率