Microsoft Word ThreatCloud-Behind-the-Curtain-Malware-Analysis.docx

Transcription

1 2014 年 3 月 14 日 チェック ポイント ソフトウェア テクノロジーズ株式会社 ThreatCloud セキュリティ情報分析 : マルウェア分析の舞台裏 : 使用されるツールと手法 チェック ポイント マルウェア調査チーム 概要 セキュリティ研究者やセキュリティ ベンダーは 検出されたマルウェアの分析結果を随時公表しています このような情報はマルウェアの特性や活動の理解に役立ちますが 専門家以外の方にとってマルウェア分析は ブラックボックスの中で不可思議なことが行われているような どこか謎めいた印象を与えるようです そこで本稿では マルウェア分析の舞台裏と題して セキュリティ担当者やビジネス担当者の方を対象に プロのマルウェア研究者がマルウェア分析に使用しているツールや手法をご紹介することにします ここで取り上げるツールや手法は 経験を積んだマルウェア研究者にはおなじみですが セキュリティ管理者や IT 担当者の方が それらについて説明を受けたり使用場面を目にしたりする機会はほとんどないと思います 本稿では チェック ポイントのセキュリティ ゲートウェイと Threat Emulation Service を利用するお客様環境で最近検出された実際のマルウェアを例に 具体的な分析手順を見ていきます 分析 2014 年 3 月 8 日 チェック ポイントのセキュリティ ゲートウェイとクラウド ベースの Threat Emulation Service を利用するお客様環境で ある不審なファイルが検出されました 一報を受けたチェック ポイントのマルウェア調査チームは 問題のファイルをダウンロードして手動による追加の分析作業を開始しました このファイル (MD5: 0a56f31d1f059241d24e f24da) は VirusTotal に登録済みのいずれのアンチウイルス製品でもマルウェアとして検出されなかった結果を受けて 調査チームは 本当に不正なファイルなのか それとも単なる未知のファイルなのかを確認するため 詳細な分析を実施することにしました このようなファイルを分析する際には 静的 あるいは動的な手法を採用します 静的な分析静的な分析では ファイルを実行せずにファイル内の情報を抽出します まず 問題のWord 文書ファイルから 以下のようなメタデータを抽出する作業を開始しました ファイルの作成に使用されたアプリケーション 作成日時 ファイルの作成ユーザ ファイルの作成元や特性に関するその他の詳細情報

2 情報の抽出には Exiftool というツールを使用します Exiftool は 各種ファイルのメタ情報の読み出し 書き込み 編集を行える プラットフォーム非依存の Perl ライブラリとコマンドライン アプリケーション ( 配布元 Web サイトより ) です 問題のファイルに対して Exiftool を実行すると すぐに以下のような結果が出力されます この出力結果から判明する情報を以下に示します ファイルの作成に使用されたのは 自動ツールではなく Microsoft Office Word ファイルの作成日は 2014 年 3 月 8 日 ファイルを作成した人物のマシン上のユーザ名は user ( これはほとんど手がかりになりません ) 注 : メタデータは偽造されている可能性があるため 参考レベルに留めておきます 静的な分析では ファイルから ASCII 文字列をダンプするという手法もよく利用されます 場合によっては ファイルに書き込まれた平文の文字列 ( 暗号化されていない文字列 ) から有益な情報を入手できる可能性があります この作業には Microsoft が公開しているトラブルシューティング ツール集である Sysinternals に含まれる Strings というツールを使用しました

3 Strings の出力の冒頭に Macro ( マクロ ) という単語が表示されているのが分かります マクロとは 文書内での操作を自動化する 1 つまたは一連の処理を意味し 多くの場合 Visual Basic で作成され文書内に埋め込まれます マクロは ログイン中のユーザと同じ権限で実行されます 注 : セキュリティのベスト プラクティスでは マクロの自動実行をデフォルトで無効 ( オフ ) にしておくことが推奨されます (Threat Emulation Service が動的な分析でこのファイルを検出できたのは 同サービスの OS サンドボックス イメージで Microsoft Word マクロの自動実行が有効になっていたためです ) ここまでの静的な分析で 問題のファイルにはマクロが埋め込まれているらしいという疑いが浮上しました しかしマクロの動作内容を把握するには マクロ自体を分析する必要があります そこで Reconstructor が公開している OfficeMalScanner というツールを使用して 文書ファイルからマクロを抽出します

4 マクロが単独のファイルとして抽出されました マクロの Visual Basic コードを分析したところ xx [ ドット ] dropboxusercontent [ ドット ] com から Portable Executable(PE) 形式のファイルをダウンロードして実行する処理が組み込まれていました ユーティリティ PeID で確認してみると この PE ファイル (MD5: 0F34211D40A7199B9709EB D0) は Visual Studio C#(.NET) でコンパイルされています このファイルは.NET Framework の開発環境で作成されています そのため.NET Reflector というツールを使用して容易に逆コンパイルし バイトストリームを元のソースコードに変換できました 逆コンパイルしたファイル構造を以下に示します

5 Reflector では ファイルのオブジェクト ストリーム セクション間の情報を参照することができます これらのオブジェクトを調べていたところ いかにも不審な 暗号化されたリソース オブジェクトが目にとまりました 注 : ここまでの分析で判明した事実は 問題のファイルが疑わしいということだけです 不正ファイルである証拠はまだ何も確認できていません 先ほどの Word ファイルと同様 この PE ファイル (.NET) に対しても静的な分析を実施し 作成日や文字列などの情報を抽出する必要があります

6 しかし残念ながら 問題のペイロードは暗号化されていたため 静的な分析では有益な情報を入手できません 先ほど逆コンパイルした元のソースコードを精査して ペイロードを手動で復号化することもできますが この作業は手間がかかるうえ 正確な復号化の実行は容易ではありません そこで代わりに より効果的な方法である動的な分析を実施することにします 動的な分析動的な分析では ファイルを実行中にファイル内の情報を抽出します ファイルを実行し その間の動作を監視して 具体的にどのような活動を行うのかを見ていきましょう 1 回目の実行まず ファイルの実行時に別のファイルがシステム上に作成されるかどうかを確認するため API Monitor というユーティリティを使用して CreateFile() API を監視します また 暗号化されたリソースはおそらくファイルに書き込まれて実行されるはずだという仮説の下に CreateProcess() API も監視しました 2 つの API を監視するよう設定したうえでファイルを実行してみましたが 何も確認できません 失敗です 2 回目の実行 2 回目は Dumpit などのツールを使用してマシンのメモリをダンプし Volatility Framework を使用してメモリ上のコードなどを抽出します ここで調査チームは ファイルを実行するといずれかの時点でリソースが復号化され メモリに読み込まれるだろうという仮説を立てました Volatility Framework には 新たなメモリ割り当てやコード挿入を検索できる便利なプラグインがいくつか用意されています しかしこれらのプラグインをメモリ ダンプに対して実行しても これといった情報は見つかりません メモリ分析の難点は ダンプのタイミングを間違えると不正な活動の痕跡が一切得られないことです 今回はタイミングが悪く 試みはまたしても失敗に終わりました

7 3 回目の実行ここで 1 人の分析担当者が 別のアプローチを試してはどうかと提案しました OllyDbg などのデバッガを使用してプロセスをデバッグし オンメモリでアクセスするためのブレークポイントを暗号化されたリソースに設定するという手順です その狙いはシンプルです 暗号化されたリソースが復号化されるのであれば プロセスはいずれかの時点でそのリソースを読み込む必要があります そのタイミングでブレークポイントをヒットさせれば 1 ステップずつ実行を進め プロセスが暗号化データを使用して何をしているのかを確認できるのです ブレークポイントを設定して実行を再開したところ 4 秒と経たないうちにブレークポイントがヒットしました

8 右向きの矢印で示したコードは 下向きの矢印で示した暗号化領域から 32 ビット値を読み込み 別の場所に移動しています さらに同じ方法でコードの実行を進めていくと 数回ループしたところで 元の不審なファイルに含まれていた暗号化されたリソースがメモリ内で完全に復号化されました 復号化されたこのリソースも PE ファイルです ( 以下の図の MZ は PE ファイル ヘッダの冒頭を示しています ) メモリから PE ファイルを抽出するため OllyDbg で PE のバイトをコピーして 16 進エディタの 010 Editor に貼り付け これを新たな PE ファイル (MD5: D88D110B947B1547BB49883E3C93407F) として保存しました この新しい PE ファイルに対しても 同様の静的な分析と動的な分析を実施しました またこのファイルを VirusTotal で検査したところ 50 製品中 43 製品でマルウェアと判断されました Check Point Endpoint Security エージェントでも このファイルはマルウェアとして検出されています

9 この PE ファイルの実体は 感染先のマシンから情報を盗み出す既知のバックドア Androm ファミリの亜種です サンドボックスを搭載した環境でこのファイルを動的に分析した結果 ファイルの動作について以下の情報が得られました

10 Androm は 複数のプロセスを開始して複数の Web サイトと通信しています この後は上記の情報を元に Androm が接続する URL や その URL に送信しているデータについて分析を進めることになりますが 本稿では割愛します 分析のまとめ不審なファイルに対して静的な分析と動的な分析を行った結果 判明した事実を以下に示します 1. Doc ファイルには Visual Basic によるマクロが埋め込まれている 2. マクロを実行すると 公開 Web サイト (Dropbox) から PE(.EXE) ファイルがダウンロードされる 3. PE ファイルは Visual Studio C#(.NET Framework) でコンパイルされており 暗号化されたリソースを含んでいる 4. 動的な分析により 暗号化されたリソースを抽出し 新しい PE ファイルとして保存できる 5. PE ファイルは Androm という既知のマルウェア ファミリの亜種である 本稿の分析では 既存のアンチウイルス エンジンでは検出されない不審なファイルが 実は既知のマルウェアだったと明らかになる課程を見てきました このマルウェアは ThreatCloud Central の最近の記事で解説した同様の難読化手法を用いて アンチウイルス エンジンによる検出を免れていました 近頃 多くのサイバー攻撃者は暗号化を含む難読化手法によって従来型のマルウェア対策をすり抜けようとします この傾向は 今日の情報セキュリティ担当者にとって最も大きな課題の 1 つと言えるでしょう いずれのアンチウイルス エンジンでも検出されない一見無害な Word ファイルが 組織の重要情報を盗み出す有害なバックドアだったとの分析結果からも明らかなように サイバー攻撃者の手口は高度化の一途を辿っています サイバー攻撃者は 検出を免れるための手段として パッキングや難読化 暗号化 複数のコンパイラなどの手法を利用しています 使用ツール今回の分析では 以下のツールを使用しました Exiftool Strings OfficeMalScanner PeID.NET Reflector Dumpit Volatility Framework OllyDBG 010 Editor Virus Total Malwr.com このような攻撃への対策チェック ポイント製品をご利用の場合チェック ポイントのセキュリティ ゲートウェイで Antivirus Software Blade および Anti-Bot Software Blade を有効にしている場合 新たに見つかった亜種に対する保護機能が ThreatCloud 経由で自動的に配信されます 未知のマルウェアへの対策を強化するためには パブリックのクラウド サービスである Threat Emulation Service のご利用やローカルで運用する専用の Theat Emulation アプライアンスの導入をお勧めします 他社製品をご利用の場合ゲートウェイやメール サーバ エンドポイントに導入する従来型のアンチマルウェアに加え 未知のマルウェアに対する保護強化に向けたサンドボックス ソリューションの導入を検討してください すべての組織に共通する対策この種のマルウェアへの感染リスクを低減するため 内部ユーザに対し 外部の電子メール アドレスから送られてきた心当たりのない添付ファイルや不審な添付ファイルを絶対に開かないよう注意を呼びかけてください