GoldenSpyに直接先行するかたちで、中国で事業を行う企業のネットワークにひそかにアクセスするために別のマルウェアファミリが使用されていました。これはそのマルウェアであるGoldenHelperについての見識です。
調査の要点:
- Trustwave SpiderLabsは、中国の税務ソフトウェアに埋め込まれたマルウェアを発見しました。このマルウェアの作戦が活発に展開されていたのはGoldenSpy作戦に先立つ2018~2019年でしたが、中国の銀行からVAT(増値税)を支払うために要求されるGolden Tax Invoicing Software (Baiwang Edition)の中に現在も隠れています。
- この新たに発見されたマルウェアはGoldenSpyとはまったく異なるものですが、その手口はとても似ています。当社では、このマルウェアファミリをChinese National Golden Tax Project(訳注:中国税務機関専用の「増値税発票」発行システム(China Golden Tax System)を担当するプロジェクト)と主要なコマンドアンドコントロール(C&C)ドメインの1つであるhelp.tax-helper.ltdとの関連に基づいてGoldenHelperと名付けました。
- GoldenHelperは「Baiwang Edition」と呼ばれていますが、GoldenSpyマルウェアが埋め込まれたIntelligent Taxを開発したAisino Corporationの同じ子会社であるNouNou Technologiesによりデジタル署名されていました。
- GoldenHelperマルウェアは、そのデリバリ、プレゼンス、活動を隠すために高度な手法を駆使しています。GoldenHelperが使用する興味深いテクニックの一部には★、転送中の名前のランダム化、ファイルシステムのロケーションのランダム化、タイムストンプ、IPベースDGA(ドメイン生成アルゴリズム)、UAC回避手法と特権のエスカレーションが含まれます。
- Trustwaveの最新のテレメトリによれば、GoldenHelperは、taxver.exeと呼ばれる最終的なペイロードをドロップするように設計されています。Trustwave SpiderLabsは、まだこのファイルを入手していません。当社は読者のみなさまに支援を要請しており、このファイルに関する情報かサンプルを分析のために当社に提供していただける場合はgoldenspy@trustwave.com までご連絡ください。
- GoldenSpyマルウェアの最初のブログ記事はこちらをご参照ください。
Golden Tax Project
中国は、1994年に実施した大規模な財政改革において、企業に対しインボイスに表示された収益と支出との差額に対する税の支払いを要求する増値税(VAT)システムを導入しました。中国は、この同じ期間中に、増値税票発行の集中管理と税金詐欺対策に高度なソフトウェアを使用する「Golden Tax Project(金税プロジェクト)」(GTP)を、元中華人民共和国国務院総理の朱鎔基同志による陣頭指揮の下で立ち上げました。この目的が明確になったのは、Ministry of Electronics、Aerospace Industry Corporation、Ministry of Finance、State Administration of Taxationからの報告を聴いた後でした。
これは中華人民共和国の数多イ「Golden」PRCプロジェクトの1つである一方、第3段階にあり、2016年に開始したGolden Tax IIIとして知られています。2017年以降に完全導入され、VATインボイスのオンライン発行と、すべての電子インボイス発行をリンクしている集中管理されたバックエンドデータベースシステムへのアップロードが可能です。現時点で、インボイス発行システムの公式プロバイダーは.AisinoとBaiwangの2社のみです。
The Golden Gateway
2020年6月25日に、Trustwave SpiderLabsチームはGoldenSpyバックドアマルウェアに関するEmerging Threat Reportを発行しました。レポート全文では、現在進行中の攻撃は感知していない一方で、バックドアには重大な侵害につながりかねない、いくつかの特徴があると結論付けました。先にも記述しているようにGoldenSpyマルウェアは、利用が義務付けられているAisinoが開発したTax Softwareの一部としてインストールされます。GoldenSpyの疑わしい特徴をまとめると以下のとおりです:
- ひそかに行われるダウンロード。Intelligent Taxソフトウェアのインストールから2時間後。
- 自らの監視と再起動のための2つの自動起動サービス。
- 税務ソフトウェアをアンインストールしてもGoldenSpyバイナリはアンインストールされない。
- 税務ソフトウェアとは関連性のないドメインにトラフイックを誘導する。
- システムレベルの特権で稼働し、リモートでのコード実行を許可する。
Trustwave SpiderLabsのレポートが公表されてから、当社のチームは、Aisinoの税務ソフトウェアがアンインストーラーをダウンロードして実行し、GoldenSpyマルウェアのすべての証拠を削除することを発見しました。チームは再びTrustwave SpiderLabsブログ第2章(https://www.trustwave.com/ja-jp/resources/blogs/spiderlabs-blog/goldenspy-chapter-two-the-uninstaller/)を通してこの情報を一般の人々に公表しました。
これを疑わしいものにしている特徴は他にもいくつかあります:
- 6月28日 – 223.112.21.2:8090から、インターネット上に出回っていてプッシュ配信されるアンインストーラーが発見された
- 6月29日 – アンインストーラーがBase64エンコーデイングによって難読化されていた
- 7月1日 – Trustwave SpiderLabsがリリースしたYaraルールを回避するために、さらに難読化された新しいアンインストーラーがプッシュ配信された
TrustwaveがGoldenSpyに関する発表を行った後に、セキュリティコミュニテイから多くの人がTrustwaveに連絡してこられ、GoldenSpy関連のインテリジェンスをシェアしました。インテリジェンスに関するこのコラボレーションが続いたことから、Trustwave SpiderLabsチームは、悪意のあるコードを含む別のGolden Taxインボイス用ソフトウェアに気づくことができました。このソフトウェアはGoldenSpyと同様にAisinoにリンクしており、以下の疑わしい特徴を備えています:
- インストールしてSYSTEMレベルの特権にエスカレートするためのユーザーの許可が不要(UAC回避)
- ファイル名がランダムに生成される(難読化)
- 「作成」と「最終更新」タイムスタンプがランダムに生成される(タイムストンピング)
- .gif、.jpg、.zipを含む偽のファイルネームを使用して、実行可能ファイルをダウンロードしようとする (難読化)
- ダウンロード場所、対象、またダウンロード先の配置場所を、DNSによる名前解決の結果に基づいてコントロールするためのハードコード化されたロジック(DNSコントロール)
このマルウェアは、機能的にはGoldenSpyとは非常に異なるものですが、デリバリの手口はよく似ています。当社では、Golden Tax Projectとの関連性とそのtax-helperドメインC2インフラストラクチャに基づいて、これらの新しいサンプルをGoldenHelperと呼びます。このソフトウェアのインストールプロセスを以下に示します:
図 1: GoldenHelper 実行プロセスの流れ
このマルウェアは、3種類の.dllファイルを使用しています:
- DLL – Golden Taxソフトウェアとインターフェースするため
- DLL – Windowsセキュリテイを回避し特権をエスカレートするため
- {random_name}.DAT – SYSTEMレベル特権のある任意のコードをダウンロードして実行するため
ダウンロードされ実行される最終的なペイロードであるtaxver.exeは、ファイルシステム上のいくつかの場所に配置可能と思われます。これまでのところ、Trustwave SpiderLabsはtaxver.exeのサンプルを調達できていません。当社では、この取り組みに対するコミュニティの支援を積極的に要請しています。taxver.exeに関する情報をお持ちの方か、サンプルを提供可能な方は以下までまでご連絡ください。goldenspy@trustwave.com
詳細なマルウェア分析は本レポートで後述します。
Golden Tax Projectは、中国の国家プログラムであり、中国で事業を行うすべての企業に影響します。Trustwaveは現在、Golden Taxソフトウェアの開発について承認を得ている企業としてAisinoとBaiwangの2つのみを把握しています。Trustwave SpiderLabsが、SYSTEMレベル特権で任意のコードをリモート実行できる隠されたバックドアを含むGolden Taxソフトウェアパッケージを発見したのは2例目です。
調査中にTrustwaveが知らされたところによれば、Golden Taxソフトウェアは銀行から提供されたスタンドアロンのシステムとして企業の環境内に展開されている可能性があります。複数の個人が、このGolden Taxソフトウェア(とGoldenHelper)がプリインストールされすぐに使える状態になっているWindows 7コンピューター(Homeエデイション)を実際に受け取ったと報告しています。この展開メカニズムは、「トロイの木馬」が物理的な形となって表れた例として興味深いものです。
重要なデータとインフラストラクチャを保護するセキュリティコミュニティとして忘れてはならない重要なことは、監視を続け、あらゆるオプションとリスクを個別に評価しなければならないということです。Trustwave SpiderLabsは、増値税票ソフトウェアの使用が政府により義務付けられているであることを理解しており、環境にゲートウェイを追加する可能性のあるサードパーティーアプリケーションをホストするシステムを隔離してその使用を厳密なプロセスと手順により厳しく監視することを推奨します。
GoldenHelper作戦のタイムライン
Trustwave SpiderLabs は、GoldenHelper作戦が現在実行されているとは考えていません。その理由は、このレポートに記載されているドロッパーメカニズムが使用するコマンドアンドコントロール(C&C)ドメインが、2020年1月に有効期限切れとなったからです。しかし、Trustwaveはこの攻撃の最終的なペイロードであるtaxver.exeのサンプルを入手できておらず、そのためこれが同じネットワークインフラストラクチャを利用しているか否かを確認できません。したがって、この攻撃の最終的なペイロードに含まれる脅威が引き続き有効である可能性があります。
下記のタイムラインは、GoldenHelper作戦に関連して現在確認されている日付を示しています。日付には、ドメインの登録と有効期限切れ、マルウェアサンプルの編集が含まれます。この作戦に関与している可能性が高いすべてのサンプルを回収できていません(最初に回収したskpc.dllはバージョン2.1.0.11でした)が、当社の分析によればGoldenHelperは2018年1月から2019年7月まで稼働していたことが明らかになりました。 そしてこれは、2020年4月のGoldenSpyキャンペーンの開始に直接つながります(Trustwave SpiderLabsがインシデントの詳細を公開したため、2020年6月に時期尚早にシャットダウンされます)。
図 2: GoldenHelper キャンペーンのタイムライン
GoldenHelper作戦が2019年7月に突然中止された理由は、はっきりとはわかりません。既知のサンプルでは、段階的なマルウェア開発サイクルが2018年初頭から2019年7月まで継続し、それに関連するドメインは有効期限切れとなった後に2020年1月にリリースされました。Skpc.exe (2.1.0.17)の最終バージョンがリリースされたのは2019年7月25日であり、そこに悪意のあるアーティファクトは含まれていなかったことに注意することが重要です。したがって、2019年7月以降BaiwangエディションのGolden Tax Invoicing Softwareをインストールしたユーザーは、この作戦の影響を受けない可能性があります。このtaxver.exe展開メカニズムはもはや有効ではないように見受けられますが、taxver.exeは引き続き有効である可能性があり、犠牲となる数えきれないほど多くのネットワーク上で運用上の脅威になり得ることを理解することが重要です。サンプルを入手するまで、taxver.exeの目的を知ることはできません。
2019年7月にGoldenHelperが終了した理由について、仮説を立てることはできます。下記の図は、2019年第1四半期におけるさまざまなサンプルの総ウイルス検出率を示しています。この期間中に、すべての図で検出率が大幅に上昇しています。Wmiasssrv.dllの検出率は、2019年1月には1/71(★アンチウイルスエンジン71個中1個)であったのに対して、2019年3月には29/71(同71個中29個)となっています。同様に、RandomName.datは2019年1月にアンチウイルスエンジン71個中3個により悪意あるものとして特定され、2019年3月には同71個中26個によって同様に特定されました。当社では、アンチウイルスエンジンの検出能力の向上が、2020年1月のGoldenHelper作戦を中止するという決定に寄与したと考えています。
図 3: Wmiasssrv.dll – Detection increases on March 2019
図 4: RandomName.dat detection increases on March 2019
図 5: Skpc.dll 2.1.0.13 – Detection increases on April 2019
図 6: Skpc.dll 2.1.0.16 – Detection increases on June 2019
GoldenHelperの展開メカニズムはもはや有効ではないかもしれませんが、taxver.exeがもたらす総合的な脅威が今も存在するのか否かについては断定できません。GoldenHelper作戦の直後にはGoldenSpyが続いており、その一方でTrustwave SpiderLabsは、GoldenSpyの反復を速やかに特定し公開したことで作戦は中止されました。しかしながら、この脅威が中国で事業を行う企業を標的とする新しい手法に向けて進化し続けることに疑念の余地はありません。
taxver.exeとは何か?
GoldenHelper作戦は、taxver.exeと呼ばれる最終的なペイロードをSYSTEMレベル特権でひそかにダウンロードして実行するように設計されています。当社は現在このファイルのサンプルを持っておらず、その目的を述べることはできません。しかし、ハンターが考慮すべき重要な特徴がいくつかあります:
- exe はネットワークトラフイックを探しても直接特定することはできない。ドロッパーが使用するアルゴリズムに基づいて、転送中は名前が変わる:
- jpg
- gif
- dat
- rar
- zip
- 犠牲となるファイルシステムにコピーされると、taxver.exeという名前になる。しかしながら、ランダム化アルゴリズムにより、次のパスのどこにでも配置される可能性がある:
- "%WINDIR%\system32\taxver.exe
- "%WINDIR%"\debug\wia\taxver.exe
- "%WINDIR%"\debug\taxver.exe
- "%WINDIR%"\taxver.exe
- "%ALLUSERPROFILE%"\taxver.exe
- "%COMMONPROGRAMFILES%"\taxver.exe
- taxver.exeのサンプルを持っておらず、悪意があることを確認できないが、正規のソフトウェアは以下を行わないことに注意することが重要である:
- UACバイパスを利用して、Windowsのセキュリティ制御を回避し、特権を昇格させます
- ファイルシステムの場所をランダム化する
- ネットワークトラフィック内で名前と真の性質を隠す
- バージョンネゴシエーションプロトコルの欠乏
- 正規のアップデートツールは、DNSレコードをオーバーライドするのではなく、この目的のために設計されたメインのコントロールプロトコルを持つ傾向がある
侵害証跡:ファイル
先述したように、当社ではGoldenHelper作戦は2018年1月から2019年7月まで有効であったと考えています。この期間中に、攻撃者はマルウェアにいくつかのバリエーションを作成しました。以下のリストに記載されているバージョンは、Trustwave SpiderLabsがこの作戦から回収できたサンプルのすべてですが、リストは完全ではない可能性があります。挙動に関しては、異なるバージョンの間に実質的な違いはありません。ただし、最後のSkpc.dll Version 2.1.0.17は例外であり、悪意あるアーティファクトは含まれていません。当社では、このバージョンがリリースされた時点でアンチウイルス検出率が上昇したために、GoldenHelper作戦が縮小を余儀なくされたのではないかと考えています。
|
ファイル名 |
>MD5 |
PEコンパイル 時間 |
バージョン |
マルウェア作為 |
判定 |
|
msxxxs999.dat (RandomName.dat) |
490d17a5b016f3abc14cc57f955b49b3 |
2018:03:20 00:26:36 |
Service DLL |
Yes |
Malicious |
|
Wmiasssrv.dll |
682a0826db8572bad205a4db12005e13 |
2018:10:09 12:26:36 |
Service Dropper |
Yes |
Malicious |
|
Wmiasssrv.dll |
26e71f1d387298162c1b19e858d001a1 |
2018:10:09 12:26:36 |
Service Dropper |
Yes |
Malicious |
|
Skpc.dll |
9e2ebdbc9ba4dca69a712e3268f3ab77 |
2018:10:23 3:30:26 |
2.1.0.11 |
Yes |
Malicious |
|
Skpc.dll |
fbb35e8f16e7d5a735f06ae03e8bfaac |
2019:03:15 08:53:30 |
2.1.0.13 |
Yes |
Malicious |
|
Skpc.dll |
61eed90b1ae70244cd87a3abd3ec622a |
2019:03:15 08:53:30 |
2.1.0.13 |
Yes |
Malicious |
|
Skpc.dll |
d312336fd46972a544929d0dc4e07b83 |
2019:03:15 08:53:30 |
2.1.0.13 |
Yes |
Malicious |
|
Skpc.dll |
27d448f9d2bed761e15541c55b5966f2 |
2019:05:27 01:28:44 |
2.1.0.16 |
Yes |
Malicious |
|
Skpc.dll |
bee06d785b7e51a0127a96c5854d4345 |
2019:05:27 01:28:44 |
2.1.0.16 |
Yes |
Malicious |
|
Skpc.dll |
471c75acc284396354c89616f9030718 |
2019:07:25 09:12:33 |
2.1.0.17 |
No |
Clean |
侵害証跡:ドメイン
Randomname.datファイルは実際には完全にランダムではありません。 その名前は常に「ms」で始まり、3つのランダムな文字、「s」、数字の順に続きます。 言い換えると、ファイルの名前はms {3-random-chars} s {0-999} .datのようになります。 このレポートでは、混乱を少なくするためにRandomName.datにのみ言及します。当然ながら、このファイルはdatの拡張子から想定されるように、データファイルや設定ファイルではありません。 そうではなく、これは拡張子を変更するという難読化の薄いベールを利用した実行可能ファイルです。
RandomName.datは、次の3つのハードコードされたドメインにコンタクトします。そのレスポンスは、IPアドレスの形式で配信されますが、IPアドレスの各オクテットには実際には最終的なペイロードのデリバリに関する隠された指示が含まれています。IPアドレス内に隠されているのは、taxver.exeをどこからダウンロードし、転送中はどの名前を使用し、犠牲となるファイルシステム上のどこに保存するかという指示です。次の各ドメインについて、期待されるIPアドレスが返されるまで名前解決が行われます。GoldenHelper作戦が行われていた間は、これらのドメインのすべてがChengdu West Dimension Digital Technology Co., LTD.に登録されていました。これらはすべて同じ時期に登録され、それぞれの登録は2020年1月に期限切れとなるように指定されていました。
|
ドメイン |
アクター登録 |
期限切れによる削除 |
|
tax-helper.ltd |
3/8/18 |
2/5/20 |
|
tax-assistant.com |
3/6/18 |
3/1/20 |
|
tax-assistant.info |
1/27/18 |
2/4/20 |
プレーヤーの紹介
Aisino Corporationは、GoldenHelper作戦とGoldenSpy作戦の両方で中心的な役割を果たしています。Trustwave SpiderLabsのGoldenSpyに関するレポートは、Aisinoがどのように「Intelligent Tax Software」を開発し、その際GoldenSpyと呼ばれるマルウェアの作成にNanjing Chenkuo Network Technologyと呼ばれる企業をどのように利用したかを明らかに示しています。「Golden Tax Invoicing Software (Baiwang Edition)」の場合、NouNou Technology Ltd.が正規の税務ソフトウェアと隠されたGoldenHelperマルウェアの両方を開発していました。NouNou TechnologyはAisinoの子会社であり、Aisinoのウェブサイトには両社が国営企業CASIC (China Aerospace Science & Industry Corporation Limited)の傘下にあることが明記されています。
Golden Tax Invoicing Softwareは「Baiwang Edition」と呼ばれているものの、Baiwangとソフトウェア開発の間には何の関係も確認できなかったことは注目に値します。当社が発見した唯一のつながりは、このソフトウェアが正規の税務トランザクションのためにBaiwangクラウドインフラストラクチャへのAPI接続を利用していることでした。
下記の図は、GoldenHelper作戦とGoldenSpy作戦の両方の背後にある企業関係を示しています。色分けについては以下を参照してください:
- 緑:税務ソフトウェアによる正規の利用
- 橙:Aisino Corporationとその子会社
- 赤: シャドーバックドアのネットワークインフラストラクチャ
- 青: Chinese Golden Tax Projectの全体的な背景
図 7: Skpc.dll 2.1.0.16 – Organizations and their roles in GoldenSpy and GoldenHelper
GoldenHelper作戦とGoldenSpy作戦に基づいて、いくつかの類似した特徴がみられます。
- Aisinoの子会社がGolden Tax関連のソフトウェアを開発している。
- 税務ソフトウェアは専用のインフラストラクチャとコンポーネント(インストーラー、アンインストーラー、アップデーター、メインの税務ソフトウェア)を利用している。コンポーネントは、ユーザーの要求と承認に基づいてインストールおよびアンインストールされ、正規の税務オペレーションを正しく実施する。
- 正規の税務ソフトウェアとともに隠されたマルウェアがインストールされる。
- 隠されたマルウェアは、税務ソフトウェアが使用するものとは別のネットワークコマンドアンドコントロール(C&C)インフラストラクチャを使用する。
- 隠されたマルウェアは、SYSTEMレベル特権で任意のコードをリモートでダウンロードして実行することができる。
- 隠されたマルウェアは、展開方法や通信方法を隠すために難読化テクニックを使用する。
企業プロファイル:
Golden Tax Project (GTP): 中華人民共和国全体にわたってVAT(増値税)の徴収を監視および管理するために、1994年に立ち上げられたプロジェクト。同プロジェクトは、VAT業務を実施するために国が承認したソフトウェアの使用を企業に義務付けています。このプロジェクトは、ヒューリスティックモデリングとAIクラウドモデリングを追加することによって、詐欺対策の検知をサポートすることを目指しています。
Aisino Corporation: (Aerospace Information Joint Stock LLC. - 航天信息股份有限公司)情報セキュリテイを専門とする上場IT企業。同社のウェブサイトには、同社が国営企業CASIC (China Aerospace Science & Industry Corporation Limited - 中国航天科工集团公司)に所有されていることを明記しています。
Zhejiang NouNou Network Technology Co., Ltd.( 浙江诺诺网络科技有限公司)[1]: 社会的リソースを統合し、サードパーティーのプロフェッショナルサービスを結集し、橋を建設し、個人向けの金融、税務、サプライチェーンの分野における包括的なサービスを提供しています。NouNouはAisinoの子会社です。
NouNouが提供するサービス:
Baiwang Cloud (百望云): 同社ウェブページによれば、「中国におけるスマート税務処理サービスと電子インボイスサービスの主要プロバイダー。Baiwang Cloudは、企業取引チェーン内のすべてのリンクがデジタル化の恩恵を享受し、オープンなデジタルビジネスプラットフォームを構築するために、企業取引の閉じたループをデジタルによって実現することを約束します」。 Baiwangは、企業の金融と税務統合のためのSaaSを提供しています。[2]
詳細なマルウェア分析:
分析はJSKP_BWB_1.0.4.0.exeとskpc.dllの2つのファイルについて行いました。JSKP_BWB_1.0.4.0.exeは、nuonuo[.]comから入手可能なBaiwangエデイション税務ソフトウェアの旧バージョンのインストーラーです。このソフトウェアの最新バージョンには、この分析で解説したDLLは含まれていません。
JSKP_BWB_1.0.4.0.exe
このファイルの分析は、インストールメカニズムと更新メカニズムに限定して実施されました。
アップデートのトラフイックフロー:
暗号化されていないHTTPトラフィック経由で最初のアップデートをチェックイン:
hxxp://update.jss[.]com[.]cn/interfaceCtr/version.do?version=1.0.4.2.01&type=18&orgcode=
ダウンロードの更新:
{"auto":0,"downUrl":" hxxp://update.axnfw[.]cn/JSKP_BWB_1.0.4.2.01.exe","enforce":0,"result":"true","text":"","update":1,"version":"1.0.4.2.01"}
アップデーター"update_bak.exe"が、インストール後は定期的にHTTP経由でアップデートをチェック
hxxp://xz.jskp.jss[.]com[.]cn/BwJskp.dat?21105437
追加アップデートのダウンロード元は xz.asnfw[.]cn
{"DownList":[{"DownModel":0,"EndFile":"","FileCmd":"/S","FileMd5":"40A84B78944235850690C7873924282E","FileName":"JSKP_BWB_1.0.4.0.exe","FileSize":11701760,"FileUrl":"hxxp://xz.axnfw[.]cn/JSKP_BWB_1.0.4.0.exe","UpdateModel":1,"UpdateName":"BwFastInvoice.exe","UpdateVesion":"1.0.4.0"}]}
当社の分析では、インストール中に次のファイルskpc.dllがデイスクにドロップされ、ソフトウェアコンポーネントkp.exeによって実行されます。kp.exeは、当社の動的分析中にはインストーラーによってドロップされませんでした。これがアップデートとして取得されるよう設計されているのか、パックされたバージョンにはドロップするための特定のトリガーが必要なのかについては、まだ分かっていません。
skpc.dll
当社では特にハッシュが99244e4186047a6531177fd189b3c299efa7db869db7ed307e3afa372913f306のこのファイルのVersion 2.1.0.13を分析しています。Version 2.1.0.16には同様の挙動がありますが、2.1.0.17ではこの挙動は削除されています。
skpc.dll は、税務ソフトウェアのsc.exeコンポーネントによってローンチされます。前述したように、当社はVersion 2.1.0.13を分析していますが、このファイルは実行中に次のエントリをファイルnisec_yyyy-mm-dd.logに書き込みます。当社のテストマシンにあるregsvr32.exeのコピーは別の年からのものであるため、これは2018年のskpc.dllの初期バージョンを参照していると考えています。
2020-07-07 12:09:21:0070 00000928 このdllの作成日時 : Dec 27 2018 09:20:29
2020-07-07 12:09:21:0070 00000928 exe このdll は : C:\Windows\SysWOW64\regsvr32.exe
2020-07-07 12:09:21:0070 00000928 このdll のバージョンは : 2.1.0.8
skpc.dllの内部には、別のライブラリwmiasssrv.dllが埋め込まれています。このライブラリ(別名はWMI Assistant Patch)は、いくつかの機能をエクスポートし、追加の埋め込み型dllを含みます。skpc.dllは、wmiasssrv.dllからWriteLibrary関数を呼び出し、この第3のネスト型dllをサービスとしてインストールします。このインストールプロセスには、赤いフラグが立つ側面がいくつかあります。
第1の疑わしい側面は、第3のdllがそのようなものとして命名されるのではなく、ms{aaa}s{999}.datのフォーマットを使用してランダムな名前が与えられることです。このファイルはC:\Windows\system32にドロップされ、UAC回避テクニックを使用して完全なシステム特権を持つサービスとしてインストールされます。
使用される具体的なUACバイパスは、 https://msitpros.com/?p=3960 に文書化されており、infファイルを作成しCOM CMSTPLUAオブジェクトを使用してローンチすることにより、COMエレベーション モニカ テクニックを不正利用します。このinfファイルの内容は以下のとおりです。興味深い注意点としては、このチェーン内の第2のdllがWindows Management Instrumentationにちなんでwmiasssrvと命名されているように見受けられる一方、結果として作成されたサービスはWindows Media PlayerにちなんでWMPAssisと命名されているように見受けられる点です。
[version]
signature = $Windows NT$
[DefaultInstall]
addREG = WMPAssis_AddReg
[WMPAssis_AddReg]
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","Type",0x11001,20,00,00,00
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","Start",0x11001,02,00,00,00
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","ErrorControl",0x11001,01,00,00,00
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","DisplayName",0x1000,"WMPAS"
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","ObjectName",0x1000,"LocalSystem"
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","Description",0x1000,"WMP Assistant Patch"
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis","ImagePath",0x21000,"%systemroot%\system32\svchost.exe -k WMPAG7600"
hklm, "SYSTEM\CurrentControlSet\services\WMPAssis\Parameters","ServiceDll",0x21000,"C:\Windows\system32\msfils945.dat"
hklm, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost", "WMPAG7600", 0x11000, "WMPAssis"
このランダムに命名されたdllがサービスとしてインストールされると、このdllは次のプロセスを使用してさらにソフトウェアをダウンロードしてインストールしようとします。
- 解決が成功するまで、次のドメインの名の解決をします。このステップで返されるIPアドレスは、次のステップで使用されます。このIPアドレスには実際にトラフィックが送信されることはないということ、ソフトウェアの挙動をコントールするためだけに使用されることに注意する必要があります。
- ステップ1からIPアドレスa.b.c.dを使用し、スリープにするかアルゴリズムを使用して次のペイロードをダウンロードします:
*a* - 主なアクション:
1: ローカルtaxver.exeがまだ存在しない場合はファイルをダウンロードします
2: 遅延時間の更新。ここでのb.c.dはスリープする時間です。 例えば 2.0.1.1, は11時間スリープ状態
3: ファイルをダウンロード。taxver.exeがすでに存在する場合でもダウンロードを強制します
*b* - ダウンロード元のホストを決定します:
1: info.tax-assistant.com
2: info.tax-assistant.info
3: info.tax-helper.ltd
4: tip.tax-helper.ltd
5: bbs.tax-helper.info
6: update.tax-helper.ltd
7: download.tax-helper.com
8: tools.tax-helper.info
9: update.tax-helper.com
default: info.tax-assistant.com
*c* - ダウンロードするもの:
0: /app/taxver.jpg
1: /app/tps32.gif
2: /data/msabs.dat
3: /data/msabb.rar
4: /data/tax32.zip
default: /data/taxver.jpg
*d* - ダウンロードを保存する場所、ファイルは常にtaxver.exeに名前が変更されることに注意する
0: "%WINDIR%\system32\taxver.exe
1: "%WINDIR%"\debug\wia\taxver.exe
2: "%WINDIR%"\debug\taxver.exe
3: "%ALLUSERPROFILE%"\taxver.exe
4: "%WINDIR%"\taxver.exe
5: "%COMMONPROGRAMFILES%"\taxver.exe
この分析から、ソフトウェアが次の異常な動作を示すことがわかります。
- ダウンロードを待っている間、無期限にスリープ状態になれる
- 実行可能ファイルは、偽装された拡張子でダウンロードされます
- IPベースのDGA(ドメイン生成アルゴリズム)を使用してダウンロードドメインを切り替える機能
- ダウンロードした実行可能ファイルをさまざまな場所に配置する機能
参照されているドメイン
以下の表に示すように、最終的なペイロードを取得する最初の段階である3つのハードコードされたドメインがあります。これらのドメインは、上記のアルゴリズムに従ってtaxver.exeのダウンロードを促進します。このソフトウェアの最初のバージョンがアクティブであった期間中に、これらのドメインはすべて、レジストラChengdu West Dimension Digital Technology Co.、LTDを通じて登録されました。ドメインを登録した実際の組織はWHOISプライバシーサービスによって隠されていますが、それらはすべてほぼ同時に登録され、それぞれの登録は約2年後に期限切れになりました。 これに基づき、すべてが同じ組織によって登録されており、登録された時期はこのキャンペーンの準備期間の途中であると考えられます。
|
ドメイン |
アクター登録 |
有効期限による削除 |
|
tax-helper.ltd |
3/8/18 |
2/5/20 |
|
tax-assistant.com |
3/6/18 |
3/1/20 |
|
tax-assistant.info |
1/27/18 |
2/4/20 |
ドメインの第2のセットは、ペイロードの実際のダウンロードに使用されます。ドメインの第1のセットは当社の侵害証跡(IOC)に記載されていますが、この目的に第2のセットを使用するのは推奨されません。理由は、それらの一部が作戦に関連していない組織のものであると考えられるからです。そうしたソフトウェアと、以下の関連付けられていないドメインの目的は不明です。
|
ドメイン |
アクターのドメイン登録 |
有効期限による削除 |
キャンペーンが所有 |
|
info.tax-assistant.com |
3/6/18 |
3/1/20 |
Yes |
|
info.tax-assistant.info |
1/27/18 |
2/4/20 |
Yes |
|
info.tax-helper.ltd |
3/8/18 |
2/5/20 |
Yes |
|
tip.tax-helper.ltd |
3/8/18 |
2/5/20 |
Yes |
|
bbs.tax-helper.info |
n/a |
n/a |
No |
|
update.tax-helper.ltd |
3/8/18 |
2/5/20 |
Yes |
|
download.tax-helper.com |
n/a |
n/a |
No |
|
tools.tax-helper.info |
n/a |
n/a |
No |
|
update.tax-helper.com |
n/a |
n/a |
No |
|
inf.tax-assistant.com |
3/6/18 |
3/1/20 |
Yes |
ハンテイングのためのYARAルール:
GoldenSpyのすべての反復で行われているように、Trustwave SpiderLabsは、GoldenHelperのハンティング操作を支援するために次のGoldenHelperYARAルールを提供しています。
YARA – GoldenHelper.yar
rule GoldenHelper
{
meta:
author = "SpiderLabs"
variant = "GoldenSpy"
filetype = "exe_dll"
features = "UAC bypass,Updater,Dropper,ServiceDLL"
version = "2.0"
strings:
$str1 = "WMPAssis_AddReg" wide ascii
$str2 = "wmsma.inf" wide ascii
$str3 = "taxhelper" wide ascii
$str4 = "WMP Assistant Patch" wide ascii
$str5 = "Elevation:Administrator" wide ascii
condition:
(uint16(0) == 0x5A4D) and 4 of ($str*)
}
貢献者への謝辞:
Trustwave SpiderLabsが2020年6月25日に初めてGoldenSpy作戦に関するリサーチを公表した際に、当社はセキュリティリサーチチームに直接配信される情報共有用の電子メールアドレス goldenspy@trustwave.com を開設しました。その狙として、当社では、GoldenSpy作戦へのテレメトリを拡大するために、サイバースレットインテリジェンスの共有をひそかにクラウドソースしたいと考えていました。これは大成功となりました。多くの企業から、自社環境内でのGoldenSpyに関する体験や影響を共有するために、当社に連絡があったからです。
この共有がGoldenHelperの発見につながり、Chinese Golden Tax Projectに関連するサプライチェーン侵害への調査が可能になりました。当社では、当社に連絡し、体験を共有し、この脅威に関する一般の人々を対象とした継続的な啓蒙活動を可能にしてくれたすべての人々に感謝したいと考えています。みなさんの取り組みは、同様の状況にある数えきれないほどの企業に役立つことになります。
しかしながら、このストーリーにはまだ欠けている要素があります。当社はいまだに、GoldenHelperの最終的なペイロードであるtaxver.exeのサンプルを確認していません。その目的、機能、またはIOCは未知のままです。したがって、当社は電子メールアドレスgoldenspy@trustwave.com を開設したままとし、GoldenSpy、GoldenHelper、またはその他の関連する侵害に関するさらなるインテリジェンスの共有を歓迎します。
[1] https://www.jss.com.cn/Contents/portal/allow/aboutus/about.ftl