背景:
- 6月25日、Trustwave SpiderLabs は、使用が義務付けられた中国の税務ソフトウェアに隠されていたGoldenSpyと呼ばれるバックドアに関する調査結果を公開しました。詳細はこちらのブログをご覧ください。
- 6月30日、税務ソフトウェアを設定および実行し、GoldenSpyが存在したすべての痕跡を削除して消し去る新しいバイナリの分析結果を公開しました。また、アンインストーラを予防的に特定するためのYARAルールも提供しました。詳細はこちらの第2章をご覧ください。
- このブログは、現在、Intelligent Taxソフトウェアによって配信されている新しいバイナリの分析結果を示しています。このバイナリは、動作は最初のGoldenSpyアンインストーラと同じですが、特に、このブログで提供されたYARAルールによる検知を回避するために設計されています。
サイバー攻撃者とセキュリティコミュニティの間には、毎日毎分起こっている絶え間ない戦いがあります。攻撃行動と防御対策は常に応酬して打ち出され、通常、攻撃が成功すると、被害者に膨大な損害をもたらします。しかし、防御側は、常時、新たな攻撃手法をモニタリングし、サイバー攻撃を検知し、中断させ、阻止するための革新的な防御対策で対抗しています。新たな攻撃と防御は、それぞれ創造性、革新、インテリジェンスを呈しているため、筆者は、この戦いの双方に多大な敬意を抱いています。しかしながら、筆者のキャリアの中でも、SpiderLabsが報告してきているGoldenSpy活動ほど明らかな応酬の実例は、これまでほとんど見たことがありません。
公平を期すために申しますと、SpiderLabsは、このバックドアが悪意のある目的で使用されてきたのか、またはアンインストール操作が会社によって試みられたクリーンアップ以上の何かであるのかは、わかりません。クリーンアップの隠蔽的な性質と、財務ソフトウェアが好きなコードを任意に実行できるという、その他のリスクは明白なものですが、悪意のある意図が確証されたと断言しているわけではありません。事実を述べているだけです。
応酬は次のように行われました。攻撃者は秘密のバックドアを税務ソフトウェアに埋め込み、Trustwaveはそれを特定し、研究結果を公開しました。その後、攻撃者はバックドアが存在していた痕跡すら削除する、新しいバイナリを密かに導入しました。当社は、それに関しても同様にレポートし、そのバイナリを検知する方法を提供しました。数時間以内に、攻撃者は当社の検知方法を回避する新しいバージョンで対応しました。現在、当社は新しいバイナリをレポートし、更新された検知方法を提供しています。まさに連続ドラマのようです。
これは、サイバー攻撃者とセキュリティコミュニティの間で繰り広げられるいたちごっこの実例です。Intelligent Taxソフトウェアは、現在、GoldenSpyアンインストーラの第3バージョンを導入し実行しています。当社の分析に基づくと、新しいバージョンはGoldenSpyのすべての痕跡を削除するために同じ操作を実行しますが、このバージョンは特に、当社が「GoldenSpy:第2章 - アンインストーラ」ブログで提供したYARAルールを回避するために設計されています。当社のルールは、GoldenSpyの両方のバージョンに存在する特定のエンコードされたプレーンテキスト変数の識別に基づいていたため、この新しいバージョンでは、最初のYARAルールによって検知されないように、base64エンコーディングの使用が変更されています。この点が、新しいバージョンの唯一の違いです。
新しい実行可能ファイルは、2020年7月1日、15:52:46 GMTにコンパイルされました。最初のバージョンと同様に、AWX.exeと呼ばれています。Trustwaveは、GoldenSpyアンインストーラのすべての変異形を識別する、以下の新しいYARAルールを提供しています(少なくとも現在当社が把握しているすべてです。明日のことなど誰にもわかりません)。GoldenSpyの開発者には、Trustwaveのブログをひいきにしていただき、大変ありがたく思っています。今後の投稿も引き続きご期待ください。
バイナリーの詳細:
File Name : AWX.EXE
SHA256 : 10E8C9ADE8687CFB2BADB23C90E8F025C2B2E35D0934D287E19C2B14746395C2
MD5 : 573ADB1569A08472094F0CFBB6264360
CRC32 : 739DA9B2
Format : Portable executable for 80386 (PE)
Timestamp : 5EFCB14E (Wed Jul 01 15:52:46 2020)
PDB File Name : D:\日常工作\客户端软件\VCProject\dgs\Release\AWX.pdb
OS type : MS Windows
Application type: Executable 32bit
GoldenSpyアンインストーラYARAルール – バージョン2:
rule Goldenspy_Uninstaller_v2
{
meta:
author = "SpiderLabs"
malware_family = "GoldenSpy"
filetype = "exe_dll"
version = "3.0"
strings:
$str1 = "taskkill /IM svm.exe /IM svmm.exe /F" ascii
$str2 = "\\svm.exe -stopProtect" ascii
$str3 = "\\svmm.exe -u" ascii
$str4 = "\\VCProject\\dgs\\Release\\" ascii
$str5 = "Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\svm" ascii
$str6 = "\\svmm.exe -stopProtect" ascii
$str7 = "\\svm.exe -u" ascii
$str8 = "Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\svm.exe" ascii
$str9 = "dGFza2tpbGwgL0lNIHN2bS5leGUgL0lNIHN2bW0uZXhlIC9GIA" ascii
$str10 = "c3ZtLmV4ZSAtc3RvcFByb3RlY3Q" ascii
$str11 = "XHN2bW0uZXhlIC11" ascii
$str12 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cVW5pbnN0YWxsXHN2bQ" ascii
$str13 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cQXBwIFBhdGhzXHN2bS5leGU" ascii
$str14 = "XHN2bS5leGUgLXU" ascii
$str15 = "c3ZtbS5leGUgLXN0b3BQcm90ZWN0" ascii
condition:
(uint16(0) == 0x5A4D) and 4 of ($str*)
}