ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

悪意のある SettingContent が PDF で配信される

最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという 概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例 は、%windir%\ImmersiveControlPanel\Settings (例:%windir%\ImmersiveControlPanel\Settings\CortanaSettings.settingcontent-ms はダブルク リック時に Microsoft の Cortana を起動します)にあります。本件への対応として、Microsoft は Packager Activation list 更新して、Office 365 が OLE パッケージ内の SettingContent をブロ ックできるようにしました。

予想通り、マルウェア作成者は、ファイルタイプ SettingContent を通じて悪意のあるファイルを配 信する同様の手法を利用する別の方法を発見しました。しかし今回は、PDF ファイルに埋め込ま れていました。

私たちは最近、埋め込まれた.SettingContent-ms がスパムに感染した PDF サンプルを見つけまし た。電子メール本文には、欺瞞的または誘惑的な口実が含まれていますが、賢明に名前が付けら れた添付ファイルは、関心を持つユーザーに、添付ファイルが合法的な請求書 pdf であると思わ せクリックさせるように欺く可能性があります。

Email_sample
図 1:悪質な PDF 添付ファイルを含む電子メールサンプル

 

マルウェア分析:

PDF 添付ファイル "INV 60542183.pdf"を実行すると、埋め込まれた javascript オブジェクトが実行 されます。Acrobat は、開こうとしている別のオブジェクト「downl.SettingContent-ms」に関するセキ ュリティ警告をユーザーに表示します。ユーザーが同意すると、%temp%フォルダに保存され、実 行されます。その後、Acrobat によってシステムから削除されます。

Pdf-sc
図 2: PDF 添付ファイルを開いたときに起動されるセキュリティ警告

Js 図 3: javascript オブジェクトは exportDataObject を使用して "downl.SettingContent-ms"を起動する

 

オブジェクト "downl.SettingContent-ms"は、ファイルタイプ SettingContent としてシステムで認識 される XML ファイルです。タグ内のコードを実行する DeepLink エレメントが含まれ ています。この場合、コードは PowerShell を呼び出してバイナリをサイレントモードでシステムにダ ウンロードし、 "%temp%\update12.exe" として実行します。

Seg_email_sample
図 4: SEG によって抽出された埋め込みオブジェクト "downl.SettingContent-ms"

 

ダウンロードしたバイナリ "%temp%\update12.exe" は、 hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df に接続し、暗号化された BLOB を取得し、 "%programdata%\Microsoft Help\wsus.exe" として復号化します。これは、FlawedAmmyy バージ ョン 3 として知られている最終的なペイロードです。

Flawedammy_v3_ida
図 5: FlawedAmmy バージョン 3

 

FlawedAmmyy は以下の機能を備えたリモートアクセストロイの木馬です:

  • 表示画面
  • リモコン
  • ファイルマネージャー
  • 音声チャット
  • RDP セッション

システム情報を取得して C&C に送信することもできます。

Param_ida
図 6: FlawedAmmyy C&C に送信されるパラメータのスクリーンショット

 

結論:

SettingContent の悪用可能なコンポーネントは、DeepLink エレメントです。その中のコードが、ユ ーザーに警告することなく実行されるためです。SettingContent の誤用が Microsoft によって指摘 されたため、マルウェア作成者は、このファイルタイプを使用して悪質な意図を提供する別の方法 を検討しました。 今、それは PDF 経由で行われます。

 

侵害証跡(IOCs):

Filename

Size

(bytes)

Sha256

Codename

Download URL

INV 60542183.pdf

2,345

0A4F3F9ACC61B85183108A31A306115FE34B571240DA70920F0A1425FC32C3DE

PDF Attachment

-

%temp%\update12.exe

172,032

7db2e889b3156f3ebaea1340a129845b4935361e8cdcf92b430d64c96ac26014

Downloader

hxxp://169.239.128.164/tov

-

665032

618A1942370F4F0725FB2A28D85B7ACA828051F50079D51364A9B8AA19108F8

Encrypted blob

hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df

%programdata%\Microsoft Help\wsus.exe

665032

56f1ab4b108cafcbada89f5ca52ed7cdaf51c6da0368a08830ca8e590d793498

FlawedAmmyy RAT

-