Blogs & Stories

SpiderLabs Blog

Attracting more than a half-million annual readers – is the security community’s go-to destination for technical breakdowns of the latest threats, critical vulnerability disclosures and cutting-edge research.

マクロを使用しない複数ステージの Word 電子メール攻撃

マルウェア作成者は、Word, Excel, PowerPoint などの Microsoft Office ドキュメントでコードマクロ を使用してマルウェアを配布することがよくあります。Office の特定のバージョンに関係なく、ユー ザーがファイルを開くたびにマクロを実行できます。デフォルトでは、ユーザーは Office が開こうと しているファイルでマクロが実行されるという警告を受け取りますが、その時点でリスクをとるかど うかはユーザーが決定します。

Macro

最近、私たちは標準的なマクロ関連ダウンローダをたくさん受け取りました。それらのほとんどは Necurs ボットネットから配布されていました。しかし、今日のサンプルでは、マクロレスのアプロー チが長期間採用されています。

私たちは電子メールスパムキャンペーンを監視しています。添付ファイルを開くと、最終的なペイロ ードである Password Stealer がダウンロードされます。ただし、パスワードを入手するために、そ のペイロードは、以下に要約するような 4 段階の感染プロセスを経由します。

Chart

以下に、スパムキャンペーンで使用されている電子メールサブジェクトのいくつかを示します。

  • アカウントの TNT ステートメント - {乱数} ...............
  • 見積もり要求(RFQ) - <{乱数}>
  • テレックス転送通知
  • 残高支払いのための SWIFT COPY

電子メールを調べ、Word 文書の添付ファイル(receipt.docx)があることを確認します

Email

Office 2007 Open XML 形式の Word 文書は、XML および ZIP アーカイブテクノロジに基づいてい ます。誰でも簡単に Word 2007 ファイルのデータをプログラムまたは手動で操作できます。以下に 示すように、DOCX 添付ファイルには、外部参照を持つ埋め込み OLE オブジェクトが含まれてい ます。この '機能' は、リモート OLE オブジェクトへの外部アクセスを document.xml.rels で参照でき るようにします。

Chart4

ユーザーが DOCX ファイルを開くと、リモートドキュメントファイルが URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc からアクセスされます。これは実際 にはダウンロードされて実行される RTF ファイルです。

Opening

この RTF ファイルは、MS Equation Editor ツールを対象とした CVE-2017-11882 の脆弱性を悪用 しています。この脆弱性の詳細については ここをクリックしてください

RTF ファイルが実行されると、ASCII を同等の値にデコードすることで、リモート HTA ファイルをダ ウンロードして実行する MSHTA コマンドラインが実行されます。

Chart2

HTA ファイルには、難読化されたコードを含む VBScript が含まれています。VBScript の各文字コ ードをデコードすることで、最終的にリモートバイナリファイルをダウンロードして実行する PowerShell スクリプトが表示されます。

Chart3

最後に、Password Stealer マルウェアである最終的なペイロードを取得します。

Copyofitself

レジストリを追加および変更します。

Regs

マルウェアは、使用可能な文字列をメモリ内に連結し、さらにさまざまなプログラムのレジストリま たはパスが存在するかどうかをチェックするために API RegOpenKeyExW および PathFileExistsW を使用して、電子メール、FTP、およびブラウザプログラムから、資格情報を盗みます。

Regopen
Regopen

電子メールプログラム(メモリ・ストリングス)

Email_related

ブラウザプログラム(メモリ・ストリングス)

Browser_mem

FTP プログラム(メモリ・ストリングス)

Ftp_mem

最後に、マルウェアは HTTP POST 経由で C&C にデータを送信します。

Connection2

非常に多くの段階とベクトルが、マルウェアをダウンロードするために使用されていることはとても 珍しいことです。実際、このアプローチはマルウェア作者にとって非常に危険です。いずれかのス テージが失敗した場合、プロセス全体にドミノ効果があるからです。もう 1 つの注目すべき点は、 Trustwave SpiderLabs Blog- February 14, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 7 VBS, Jscript, WSF などのより明確なスクリプト言語とは異なる、電子メールやネットワークゲート ウェイによってブロックされないファイルタイプ(DOCX, RTF, HTA)をこの攻撃が使用する点です。

 

侵害証跡(IoC)

DOCX File
MD5: F7DA16B16567A78C49D998AE85021A0F
SHA1: 776C469861C3AC30AA63D9434449498456864653

RTF File
MD5: 79BCAFD6807332AD2B52C61FE05FFD22
SHA1: 0D8215F88C75CD8FBF2DFAB12D47B520ECE94C52

HTA File
MD5: 11B28D4C555980938FE7440629C6E0EC
SHA1: 0ADD65090EF957AA054236FF6DD59B623509EC8B

Final Payload
MD5: EDB27CC321DF63ED62502C172C172D4F
SHA1: C4AA4E70521DD491C16CE1FBAB2D4D225C41D1EA

Recent SpiderLabs Blog Posts