ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

jRAT がレーダーの中でも飛び回る手助けをする Crypter-as-a-Service

(寄稿者:Dr. Fahim Abbasi and Phil Hay)

このブログでは、ダークウェブ上でホストされている Crypter サービスを活用することで、検出 を回避するための突然変異を作成している、スパム経由で流通した Java ベースの、マルウェ アサンプル分析結果を提供します。今年の初めからこのようなマルウェアでスパムメッセージ が急増したことを知り、研究者がこの悪質な Java ベースのリモートアクセストロイの木馬を誤 って分類していることに気付きました。

このマルウェアは、「請求書」、「見積り依頼」、「送金通知」、「出荷通知」、「支払い通知」などさ まざまな見た目で、スパムキャンペーンの添付ファイルまたはリンクとして定期的に表示されま す

EmailSamples
図 1:添付ファイルとして、Java ベースのマルウェアを流通させる迷惑メールメッセージのスクリ ーンショット、害のないタイトルと本文のように見える

では、これらの添付ファイルに流通しているこのファントム(幽霊)マルウェアは何でしょうか? このマルウェアの正確な性質についていくらかの混乱があるようです。 私たちの初期の考え は、一般的に遭遇した jRAT(別名 Adwind)でしたが、他の人はそれを QRAT(Quaverse RAT) と認識しました。これは jRAT の競合相手とみなされています。 私たちは、このマルウェアをよ り深く掘り下げて調べることにしました。

jRAT は、クロスプラットフォームのリモートアクセストロイの木馬(Remote Access Trojan:RAT) で、攻撃者がリモートからアクセスして感染したシステムを完全に制御することができます。 こ の RAT を使用すると、キーストロークをキャプチャしたり、資格情報を取得したり、スクリーン ショットを撮ったり、ウェブカメラにアクセスしたりすることができます。 また、被害者のシステム に追加のバイナリをダウンロードして実行するためにも使用できます。 攻撃者の動機がどん なものであれ、それは高度に設定可能です。 jRAT は、1 ヶ月間の使用ではわずか 20 ドル で、RAT としてのサービスビジネスモデルとして一般に市販されています。

分析

いくつかの JAR サンプルを抽出して解剖すると、JAR マニフェストファイルの "MANIFEST.MF"という共通のパターンがすぐに気づきました。 1 つの JAR サンプルのディレ クトリツリーを以下に示します

 

com.<小文字のランダムな英語の単語>.<2 つの結合されたタイトルの場合のランダムな単語>

または時々:

com.<小文字のランダムな英語の単語>.<小文字のランダムな英語の単語>。<2 つの結合され たタイトルの場合のランダムな単語>

Manifest_anm
図 3:メインクラスで指定されているエントリポイントのメソッド名のパターンに注目してください

下の 3 つのサンプルのスクリーンショットから分かるように、クラス名とリソース名は非常に明 確なパターンを使用しています。 パッケージ名は、クラスとリソースのファイル名でランダムな 英語の単語とタイトルの大文字と小文字を使用します。

JarSamples
図 4:クラス名とリソース名の表示パターン

 

これにより、スパムトラップから収集したすべての JAR ファイルのサンプルが変種であり、同じ ツールまたはサービスによって難読化されていると仮定することができました。 非常に難読化された性質のため、このマルウェアは分析するのが難しくなりましたが、それは私たちを止め ませんでした。 悪意のある JAR ファイルを実行し、動的に分析します。

私たちがすぐに気づいたのは、収集したすべてのサンプルが https://vvrhhhnaijyj6s2m [。] onion [dot] top から jar ファイルをダウンロードしようとしたことです。 オニオンリンクをたどり、 それが QUAverse によって運営されているサービスであることを発見しました。

QuaverseWeb
図 5:Tor2 ウェブサービスを介してアクセス可能なダークウェブ上でホストされている QUAverse サービスページ。インターネットユーザーが Tor ブラウザを使用せずに Tor Onion サービスにアクセスできる

 

QUAverse(QUA)は、 QRAT と呼ばれる 2015 年に開発された RAT-as-a-service プラットフォ ームにリンクしています。 QRAT はリモートアクセスのトロイの木馬または RAT でもあり、jRAT の競合相手の 1 つと見なされます。 私たちにとって、これはなぜ jRAT が競合他社の QRAT を QUAverse プラットフォームからダウンロードするのかという疑問を提起しました。 最初は、 おそらくこれらの JAR ファイルが jRAT ではなく、新しい QRAT サンプルであると考えました。 Som一部のセキュリティ研究者には、 QRAT そのものとも呼ばれていました

。 しかし、アンパック、 文字列の難読化、サンプルの Java クラスの AES 解読を必要とする複数のサンプルを徹底的 に分析した結果、実際に jRAT サンプルであることがわかりました。

まず、図 6 に示すように、JRAT メインクラスの名前は "operational.Jrat"です。

JratMainClass
図 6:主要な JRAT クラス "operational.Jrat"

 

以下のイメージに示されているように、jRAT の攻撃者の構成を難読化した後で、さらなる証拠 が明らかになりました。

JratConfig1
図 7:jrat.io プロジェクトの Web サイトを指す、わかりにくい JRAT 構成

 

以下は、Internet Explorer のセキュリティ設定の引き下げ、ファイルの開かれたセキュリティの 警告設定の無効化、セキュリティ関連のプロセスのリストの削除など、より精巧な設定を持つ 別の jRAT サンプルの構成ファイルです。 JRAT の実行者は、この設定を jRAT コマンドパネ ルから簡単に設定できます。

Jratconfig2
図 8:jRat 設定の設定 設定ファイルの完全なダンプは、にあります。https://pastebin.com/raw/PvKLJAWP

 

では、これらの jRAT サンプルは、Quaverse の QRAT に所属する Web サイトから JAR ファイ ルに接続してダウンロードするのはなぜでしょうか? その理由は、jRAT が Qrypter と呼ばれ る QUAverse のサービスを使用するからです 。 これは、QUAverse が開発したサービスとして の Crypter-as-a-Service プラットフォームであることが判明しました。これは、同じファイルの 変形をモーフィングすることによって Java JAR アプリケーションを完全に検出できなくするた めです。 Qrypter は、一定の料金で JAR ファイルの暗号化を提供しています。クライアントの JAR ファイルはウイルス対策製品によって検出されないように定期的に変形されます。 この サービスは複数の AV 製品を前向きに監視し、マルウェアの亜種が検出されたと判断したら、 ファイルを再暗号化して、特定の期間にわたって検出されない新しい変異型を生成します。

Quaverse は、図 9 に示すように、cryptor のライブ検出率を提供します。

Ad3
図 9:Qrypter 検出率
Ad2
図 10:Qrypter 機能の広告リスト
Ad1
図 11:Qrypter サービスの支払いページ

 

この JRAT マルウェアが実行されるたびに、それは Qrypter サービスから検出されない新たな コピーをダウンロードし、感染マシンの Windows%temp%ディレクトリに保存します。 次に、新 しく暗号化された jRAT .jar ファイルを実行してインストールします。 下のスクリーンショットは、 Qeaqtor というクラスからのダウンロードルーチンのコードスニペットを示しています。 これは、 最終的に Quaverse Web サイトでホストされている JAR ファイルを指す Loader.criminal ( "smart-qrypt-address")メソッドを呼び出します。https:// vvrhhhnaijyj6s2m [。] onion [。] top。

DownloadUrl
図 12:Qrypter ダウンロードルーチンのコードスニペット

 

したがって、Qrypter サービスを使用することにより、JRAT はサードパーティのクライター機能 を完全に検出できないようにすることができます。

以下の攻撃図は、JRAT の実行フローを示しています。

AttackDiag
図 13:攻撃フロー図

結論

JRAT の活動家たちは数ヶ月間、悪意のある JAR ファイルを積極的にスパムしてきましたが、 標的に感染する際の障害の 1 つは、どれほど容易に検出されるかです。 おそらく、Qrypter サ ービスを使用することで、電子メールゲートウェイやウイルス対策エンジンを回避しやすくなり ます。 これらの俳優はマルウェアの作成を検出できないと考えているかもしれませんが、私た ちはこの脅威から保護するために、Secure Email Gateway にヒューリスティックを持っていま す。 電子メールポリシーの観点から、潜在的に実行可能なコンテンツの他の形式とともに、イ ンバウンド Javafiles を先にブロックすることをお勧めします。

分析サンプル

1eb3f344a0274bfa38c67f6b10650dcf

64d72c5c86d3638034cd83178abcb82f

c52247ecffb2f7a42ef6fa0336671545

ae77ffba57049418e5a720bf77d178a5

2f021a10804ac5db5ceb43b42f785a23

daa0833d16cd9b6937803d1637284ad1

6392741705126cb97a837cbb046cfe73

8ae2c573bc0e0492efeabe78495c591e