ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

悪さをする CHM がバンキングトロージャン(トロイの木 馬)を配達する

古き良き Microsoft Office マクロと同様に、コンパイルされた HTML(CHM)ヘルプファイルは、 悪意のあるダウンローダコードをファイルに潜入させて、発見されることを困難にするために、 マルウェア作成者によって 10 年以上にわたり使われています。CHM は、マイクロソフト独自 のオンラインヘルプファイルで、単一の圧縮ファイル形式にコンパイルされた一連の HTML ペ ージで構成されています。CHM の最も一般的な使用方法は、オフラインのソフトウェアマニュ アルとヘルプガイドです。

最近我々は、ブラジルのある機関を標的とする CHM 添付ファイル付きのスパムメールキャン ペーンを観測しました。

Figure1

分析

CHM はコンテナファイルであり、非圧縮時には HTML オブジェクトの集合で構成されます。こ のサンプルでは、目的のオブジェクトは Load_HTML_CHM0.html です(下の画像に示されてい ます。これは、CHM ファイルの Secure Email Gateway アンパックツリーです)。この HTML は、 CHM ファイルを開いたときに読み込まれる主なオブジェクトです。

Figure2

Figure3

Microsoft Help Viewer(hh.exe)がこの HTML オブジェクトを読み込むと、open()という名前の JavaScript 関数が実行されます。

Figure4

この関数 open()は、データブロックをデコードし、Base64 と XOR で 2 つのデコードレイヤーを 実行します。

Figure5

次に、デコードされたデータは、以下の悪質な PowerShell(PS)スクリプトの実行を可能にする ClassID "adb880a6-d8ff-11cf-9377-00aa003b7a11"でオブジェクトを形成します。

Figure6

攻撃がレーダーをかい潜って飛ぶことができるように、PowerShell コマンドは、「hh.exe」(CHM ファイルを実行するプログラム)のインスタンスを終了し、ウィンドウスタイルを非表示に設定す ることによって、バックグラウンドでサイレントモードで実行されます。その後、Base64 でエンコ ードされたコマンドを呼び出して、Google サイトでホストされている 2 段目の PowerShell スクリ プトをダウンロードします。

Figure7

Figure8

2 番目のペイロードは Bancos Trojan バイナリとコンポーネントを%Appdata%\Sysinit フォル ダにダウンロードし、%Appdata%\SysRun にコピーします。

Figure9

ただし、これらのファイルは感染したシステムにドロップされると、ファイル名がランダムに変更 されます。この例では、ファイル名が次のように変更されています。

Download URL

Download Path and Renamed To

hxxps://sites[.]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/server.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\negoexts94.exe

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/CRYPTUI.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\CRYPTUI.dll

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/XSysInit.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\profprov.sys

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/mouse.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\KBDHE220.cur

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/base.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\dpnhpast.db

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/cmd.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\cryptui8t.exe

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/rmv.bin

C:\Users\<USERNAME>\AppData\Roaming\SysInit\wmidxdv.kdl

 

Figure10

主要コンポーネントの実行可能ファイルは次のとおりです。

Server.bin - DLL から悪質なコードを呼び出す CRYPTUI.DLL から API をインポートする
cmd.bin - このファイルは正当なコマンドラインツールアプリケーション
XSysInit.bin - このバイナリはマウスとキーボードのイベントをキャプチャする
CRYPTUI.DLL - 最初の偵察と追加のペイロードのダウンロードを担当する server.bin ファイ ルによってロードされる

ユーザーがログインしたときにマルウェアを実行するために、3 つのスケジュールされたタスクが作成されます。名前形式のAutoUpdater に続いて 6 つのランダムな英数字(例: AutoUpdater8ga9ek)がタスク名として使用されます。

Figure11

その後、悪質な PowerShell スクリプトによって強制的に再起動され、マルウェアが確実に実行されます。

タスクスケジューラは、Server.bin(negoexts94.exe に名前が変更された)を実行するためにサ ードパーティのコマンドラインユーティリティを実行します。この実行可能ファイルは、 API CryptUIWizExport をインポートして、コンポーネントファイル CRYPTUI.DLL をロードします。

Figure12

DLL がロードされると、悪意のあるコードが生成され、iexpress.exe という名前の新しいプロセ スに注入されます。次に、ユーザー名やコンピュータ名などのシステム情報を取得し、制御サ ーバー(200.98.116.239:80)に報告します。

Figure13

また、Google サイトでホストされている追加のペイロードをダウンロードしようとします。

Figure14

まとめ

Figure15

 

先に述べた攻撃の概要は、トロイの木馬の CHM 添付ファイルを含む電子メールから発生す るマルウェア感染の複数の段階をハイライトして います。ユーザーが CHM を開くと、PowerShell の第 2 段階のスクリプトをダウンロードする小さ な PowerShell コマンドが実行されます。永続性 は、ユーザーがログインしたときにマルウェアを 実行するスケジュールされたタスクを作成するこ とによって達成されます。

攻撃を複数段階に分けて行うのは、攻撃者が AV スキャナのレーダーをかい潜るための典型 的なアプローチです。実際、この記事の執筆時 点では、我々がこのサンプルを発見してから 1 ヶ月以上経つにもかかわらず、60 個の AV スキ ャナのうちたったの 8 個だけしか検出できませ んでした。

侵害証跡(IoCs)

Download URL

SHA-256

hxxps://sites[.]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/server.bin

6d2dbba7e93600d624f2da77317e87130a25456213ba5a8cadfa90ee82932911

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/CRYPTUI.bin

b171e7aff8cbfc86a45cf7a943bdeb1e42de007bf7e90bc70edebadc476a05ea

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/XSysInit.bin

75c3e39dc2a6252a4ed535bd00ec78254313a687f51cb8f5b9f0c5a65d871f40

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/mouse.bin

5c7ab9e90b05804d07e9d803f85462bc1a44d0726256bad28219984ee2b5772f

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/base.bin

37b622aee65a0f9996e1d4a65c915629acb44927ecffc70b7c25318866620fcf

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/cmd.bin

31b3b228382dc359f22ae97b2602eee81dc743fb21196061eacc6619533881f5

hxxps://sites].]google[.]com/site/79s564fg105s6f4gsg56sd4g0s54dg/rmv.bin

c07f3c06663d350bff3349e09452c989a76c85d5920e3eb9be738f2069c57974