マルウェア

そのCHMには裏がある: IcedIDを配布するポリグロットCHMファイルの解析

Clock Icon 2 min read
Related Products
Advanced DNS Security iconAdvanced DNS SecurityAdvanced Threat Prevention iconAdvanced Threat PreventionAdvanced URL Filtering iconAdvanced URL FilteringAdvanced WildFire iconAdvanced WildFireCloud-Delivered Security Services iconCloud-Delivered Security ServicesCortex XDR iconCortex XDRNext-Generation Firewall iconNext-Generation Firewall

This post is also available in: English (英語)

概要

Unit 42は最近、インフォスティーラーIcedIDの使う感染プロセスに、ポリグロット(=複数のプログラミング言語やファイル形式で書かれている)なMicrosoft Compiled HTML Help(CHM)ファイルが採用されていることを確認しました。そこで本稿は、ポリグロットなCHMファイルと最終ペイロードの解析方法を紹介し、このサンプルがどのように検出を回避しているかを理解できるようにします。

Starchy Taurus (別名APT41)やEvasive Serpens (旧称OilRig、Europium)をはじめとする複数の攻撃グループが、CHMファイルを悪用してPowerShellやJavaScriptを使って書かれたペイロードを隠蔽しています。本稿では、攻撃者が長いコードを書かずにすむようにすることで、悪意のあるファイルをセキュリティ製品による検出から逃れやすくさせている、興味深い攻撃について説明します。ポリグロットファイルを悪用すると、攻撃者はファイル形式の識別に依存するマルウェア対策システムを回避できます。この手法では感染プロセスで同じCHMファイルを2回実行します。1回目の実行では問題なく振る舞って見せ、2回目の実行で悪意のある振る舞いをひそかに実行します。

この特定の攻撃チェーンは2022年8月上旬に発見されており、最終ペイロードとしてIcedID (別名Bokbot)を配布していました。インフォスティーラーIcedID2019年からユーザーを攻撃している著名マルウェアです。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御高度なURLフィルタリングDNSセキュリティなどのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォールと、Cortex XDRにより、同様の解析対策技術を使うマルウェアファミリからの保護を受けています。

Unit 42の関連トピック Malware, IcedID, Evasion

目次

悪質なポリグロットCHMファイル
IcedID DLLの構成の抽出
結論
IoC

悪質なポリグロットCHMファイル

「ポリグロットファイル」は複数の異なるファイル形式をもつバイナリで、実行に使用するアプリケーションしだいでその振る舞いが変わるものです。

2022年8月上旬に発見されたこの攻撃は、erosstrucking-file-08.08.2022.zipという名前のZIPファイルを添付したフィッシングメールから始まっていました。zipファイルを展開するとorder-130722.28554.isoという名前のISOイメージファイルが作成されます。このISOファイルには、pss10r.chm (SHA256: 3d279aa8f56e468a014a916362540975958b9e9172d658eb57065a8a230632fa)というポリグロットCHMファイルが含まれていて、このCHMファイルがヘルプドキュメントの表示に使われます。ユーザーがこのCHMファイル(pss10r.chm)を起動した場合、無害なヘルプウィンドウが表示されます。

おとりとなるHTMLヘルプウィンドウには、この図のようにMicrosoft Customer Service and Supportからのメッセージが表示されます。
図1. デコイ(おとり)のHTMLヘルプウィンドウ

私たちは7zipを使ってこのCHMファイルの中身をダンプしました。ここで興味を引いたファイルがPSSXMicrosoftSupportServices_HP05221271.htmです。

デコイのHTMLヘルプウィンドウの内容。PSSXMicrosoftSupportServices_HP05221271.htmというファイルが興味を引く
図2. デコイHTMLヘルプウィンドウの内容

HTMLファイル内のコードのほとんどはおとり用ウィンドウの作成に使われます。ただしHTMLコード内には同一CHMファイルを再実行するコマンドが1行隠されています。このコマンドはMshta.exeを呼び出して自分自身(pss10r.chm)を再実行させます。Mshta.exeはMicrosoftのHTMLアプリケーション(HTA)ファイルを実行するユーティリティで、HTAはHTMLで作成されたれっきとしたアプリケーションです。

ここに表示した行でmshtaを呼び出してpss10r.chmを再実行する
図3. PSSXMicrosoftSupportServices_HP05221271.htm内のHTMLコード行。この行でMshta.exeを呼び出し、CHMファイルを再実行させている

HTAのコードはCHMファイルのバイナリ内に埋めこまれているので、実行中、被害者からは見えません。このHTAはapp.dllというバイナリの実行に使われます。

pss10r.chmに埋めこまれたHTAコードを示したスクリーンショット。これがバイナリapp.dllの実行に使われる
図4. pss10r.chm内に埋めこまれたHTAコード

実際にapp.dllというバイナリがISOイメージ内に隠されています。attribコマンドを使うとこの隠れたバイナリを明らかにできます。

attribコマンドで隠されたバイナリを明らかにする様子を示したスクリーンショット
図5. 隠されたバイナリを明らかに

このapp.dllというバイナリは、64ビット版IcedID DLLです。(SHA256: d240bd25a0516bf1a6f6b3f080b8d649ed2b116c145dd919f65c05d20fc73131)

IcedID DLLの構成の抽出

IcedID DLLからIoC(indicators of compromise: 侵害の痕跡)を得るため、その構成を調べました。IcedID DLLの構成はエンコードされた状態でバイナリのデータセクションに格納されています。エンコードされた構成は、図6に示したようなファイル形式になっています。

エンコードされたIcedID DLLの構成
図6. Encoded_config_blobの構造体

以下の関数がIcedID DLLの構成を実行時にデコードします。エンコードされた構成(enc_config)のアドレスはこの関数内に存在しています。

IcedID DLL
図7 IcedID DLLの構成をデコードする関数

デコードされたIcedID DLLの構成は以下のような形式です。

デコードされたIcedIDの構成の構造体
図8 デコードされたIcedIDの構成の構造体

デコードされた構成からは以下のIoCを抽出できます。

コマンド&コントロールのURL abegelkunic[.]com
攻撃キャンペーンID 4157420015

結論

脅威アクターは検知回避テクニックを進化させ続けています。上記の分析では、攻撃者がどのようにしてポリグロットMicrosoft Compiled HTMLファイルを悪用し、IcedIDペイロードを配布したのかを示しました。防御側はファイル形式にもとづいてバイナリを信用しないことが重要です。今回取り上げたようなポリグロットファイルには正しいファイルタイプが複数あるからです。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御高度なURLフィルタリングDNSセキュリティなどのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォールと、Cortex XDRにより、同様の解析対策技術を使うマルウェアファミリからの保護を受けています。

IoC

ファイル名: erosstrucking-file-08.08.2022.zip
SHA256: fb6d23f69d14d474ce096da4dcfea27a84c93f42c96f6dd8295d33ef2845b6c7

ファイル名: order-130722.28554.iso
SHA256: d403df3fb181560d6ebf4885b538c5af86e718fecfabc73219b64924d74dd0eb

ファイル名: pss10r.chm
SHA256: 3d279aa8f56e468a014a916362540975958b9e9172d658eb57065a8a230632fa

ファイル名: app.dll
SHA256: d240bd25a0516bf1a6f6b3f080b8d649ed2b116c145dd919f65c05d20fc73131

コマンド&コントロールのURL: abegelkunic[.]com

 

追加リソース

有害なヘルプ: Agent Teslaを配信する悪性コンパイル済みHTMLヘルプファイル(.chm)の分析

Tags

目次

関連記事

関連項目 マルウェア リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
A mobile phone with technical details on screen. It is sitting on a glowing circuit board.
category icon主なサイバー脅威

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow