最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという 概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例 は、%windir%\ImmersiveControlPanel\Settings (例:%windir%\ImmersiveControlPanel\Settings\CortanaSettings.settingcontent-ms はダブルク リック時に Microsoft の Cortana を起動します)にあります。本件への対応として、Microsoft は Packager Activation list 更新して、Office 365 が OLE パッケージ内の SettingContent をブロ ックできるようにしました。
予想通り、マルウェア作成者は、ファイルタイプ SettingContent を通じて悪意のあるファイルを配 信する同様の手法を利用する別の方法を発見しました。しかし今回は、PDF ファイルに埋め込ま れていました。
私たちは最近、埋め込まれた.SettingContent-ms がスパムに感染した PDF サンプルを見つけまし た。電子メール本文には、欺瞞的または誘惑的な口実が含まれていますが、賢明に名前が付けら れた添付ファイルは、関心を持つユーザーに、添付ファイルが合法的な請求書 pdf であると思わ せクリックさせるように欺く可能性があります。
マルウェア分析:
PDF 添付ファイル "INV 60542183.pdf"を実行すると、埋め込まれた javascript オブジェクトが実行 されます。Acrobat は、開こうとしている別のオブジェクト「downl.SettingContent-ms」に関するセキ ュリティ警告をユーザーに表示します。ユーザーが同意すると、%temp%フォルダに保存され、実 行されます。その後、Acrobat によってシステムから削除されます。
図 3: javascript オブジェクトは exportDataObject を使用して "downl.SettingContent-ms"を起動する
オブジェクト "downl.SettingContent-ms"は、ファイルタイプ SettingContent としてシステムで認識 される XML ファイルです。タグ内のコードを実行する DeepLink エレメントが含まれ ています。この場合、コードは PowerShell を呼び出してバイナリをサイレントモードでシステムにダ ウンロードし、 "%temp%\update12.exe" として実行します。
ダウンロードしたバイナリ "%temp%\update12.exe" は、 hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df に接続し、暗号化された BLOB を取得し、 "%programdata%\Microsoft Help\wsus.exe" として復号化します。これは、FlawedAmmyy バージ ョン 3 として知られている最終的なペイロードです。
FlawedAmmyy は以下の機能を備えたリモートアクセストロイの木馬です:
- 表示画面
- リモコン
- ファイルマネージャー
- 音声チャット
- RDP セッション
システム情報を取得して C&C に送信することもできます。
結論:
SettingContent の悪用可能なコンポーネントは、DeepLink エレメントです。その中のコードが、ユ ーザーに警告することなく実行されるためです。SettingContent の誤用が Microsoft によって指摘 されたため、マルウェア作成者は、このファイルタイプを使用して悪質な意図を提供する別の方法 を検討しました。 今、それは PDF 経由で行われます。
侵害証跡(IOCs):
Filename |
Size (bytes) |
Sha256 |
Codename |
Download URL |
INV 60542183.pdf |
2,345 |
0A4F3F9ACC61B85183108A31A306115FE34B571240DA70920F0A1425FC32C3DE |
PDF Attachment |
- |
%temp%\update12.exe |
172,032 |
7db2e889b3156f3ebaea1340a129845b4935361e8cdcf92b430d64c96ac26014 |
Downloader |
hxxp://169.239.128.164/tov |
- |
665032 |
618A1942370F4F0725FB2A28D85B7ACA828051F50079D51364A9B8AA19108F8 |
Encrypted blob |
hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df |
%programdata%\Microsoft Help\wsus.exe |
665032 |
56f1ab4b108cafcbada89f5ca52ed7cdaf51c6da0368a08830ca8e590d793498 |
FlawedAmmyy RAT |
- |