最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという 概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例 は、%windir%\ImmersiveControlPanel\Settings （例：%windir%\ImmersiveControlPanel\Settings\CortanaSettings.settingcontent-ms はダブルク リック時に Microsoft の Cortana を起動します）にあります。本件への対応として、Microsoft は Packager Activation list 更新して、Office 365 が OLE パッケージ内の SettingContent をブロ ックできるようにしました。

予想通り、マルウェア作成者は、ファイルタイプ SettingContent を通じて悪意のあるファイルを配 信する同様の手法を利用する別の方法を発見しました。しかし今回は、PDF ファイルに埋め込ま れていました。

私たちは最近、埋め込まれた.SettingContent-ms がスパムに感染した PDF サンプルを見つけまし た。電子メール本文には、欺瞞的または誘惑的な口実が含まれていますが、賢明に名前が付けら れた添付ファイルは、関心を持つユーザーに、添付ファイルが合法的な請求書 pdf であると思わ せクリックさせるように欺く可能性があります。

図 1：悪質な PDF 添付ファイルを含む電子メールサンプル

マルウェア分析：

PDF 添付ファイル "INV 60542183.pdf"を実行すると、埋め込まれた javascript オブジェクトが実行 されます。Acrobat は、開こうとしている別のオブジェクト「downl.SettingContent-ms」に関するセキ ュリティ警告をユーザーに表示します。ユーザーが同意すると、%temp%フォルダに保存され、実 行されます。その後、Acrobat によってシステムから削除されます。

図 2： PDF 添付ファイルを開いたときに起動されるセキュリティ警告

図 3： javascript オブジェクトは exportDataObject を使用して "downl.SettingContent-ms"を起動する

オブジェクト "downl.SettingContent-ms"は、ファイルタイプ SettingContent としてシステムで認識 される XML ファイルです。タグ内のコードを実行する DeepLink エレメントが含まれ ています。この場合、コードは PowerShell を呼び出してバイナリをサイレントモードでシステムにダ ウンロードし、 "%temp%\update12.exe" として実行します。

図 4： SEG によって抽出された埋め込みオブジェクト "downl.SettingContent-ms"

ダウンロードしたバイナリ "%temp%\update12.exe" は、 hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df に接続し、暗号化された BLOB を取得し、 "%programdata%\Microsoft Help\wsus.exe" として復号化します。これは、FlawedAmmyy バージ ョン 3 として知られている最終的なペイロードです。

図 5： FlawedAmmy バージョン 3

FlawedAmmyy は以下の機能を備えたリモートアクセストロイの木馬です：

• 表示画面
• リモコン
• ファイルマネージャー
• 音声チャット
• RDP セッション

システム情報を取得して C＆C に送信することもできます。

図 6： FlawedAmmyy C&C に送信されるパラメータのスクリーンショット

結論：

SettingContent の悪用可能なコンポーネントは、DeepLink エレメントです。その中のコードが、ユ ーザーに警告することなく実行されるためです。SettingContent の誤用が Microsoft によって指摘 されたため、マルウェア作成者は、このファイルタイプを使用して悪質な意図を提供する別の方法 を検討しました。 今、それは PDF 経由で行われます。

侵害証跡（IOCs）：