マルウェア
トレンドマイクロでは2021年3月、特徴的なモジュール分割構成を持つバックドア型マルウェアを調査しました。本マルウェアはそのモジュール構成のために静的解析が困難であり、機能や動作の解明にあたっては、モジュールの再構築や動的解析を行う必要がありました。
トレンドマイクロでは2021年3月、特徴的なモジュール分割構成を持つバックドア型マルウェアを調査しました。本マルウェアはそのモジュール構成のために静的解析が困難であり、機能や動作の解明にあたっては、モジュールの再構築や動的解析を行う必要がありました。
本マルウェアは開発者によって「BumbleBee(中国語:大黄蜂)」と呼ばれていたため、本稿でもこの呼称を使用します。
BumbleBeeのペイロードを調査したところ、そこに含まれる不正なコードの量はごくわずかであり、表面上はキー入力やクリップボード情報を監視しているように見えました。しかし、さらに調査を進めたところ、BumbleBeeの機能や使用範囲を拡張するコントロール用アプリケーションの存在が明らかになりました。
BumbleBeeは、別のバックドア「BookWorm」とよく似た性質を持つことから、当該バックドアのリファクタリング版であることが推測されます。本稿執筆時点でBumbleBeeが展開された場所は台湾のみであり、ユーザインターフェースに使用された言語は簡体字中国語に限られます。このため、本マルウェアを展開しているのは中国系の攻撃グループであることが、可能性の1つとして挙げられます。本稿ではBumbleBeeが持つ機能やバックドアとしての分析結果について報告します。また、今回報告するマルウェアファミリ「BumbleBee」は、ランサムウェアグループが企業ネットワークに侵入する際にバックドアの設置をサポートするローダ型マルウェア「BumbleBee loader」と異なる点について、ご留意ください。
BumbleBee:リファクタリングされたモジュール構成によるバックドア
BumbleBeeはモジュール分割構成を持つバックドアであり、サーバ用とクライアント用(マルウェア用語でマスター用、スレーブ用と呼ばれることもある)それぞれのアプリケーションが用意されています。クライアント・アプリケーションが標的の端末(主に地方行政機関で使用する機器)に配備されると、攻撃者はサーバ・アプリケーションを通じてこの端末をコントロールすることが可能になります。以降、このバックドアの仕組みについて詳しく解説します。
多層配備:クライアント・アプリケーション
今回報告するクライアント・アプリケーションは、あるセキュリティ侵害のインシデントにおいて発見されました。その独特な「多層の入れ子形式」によるモジュール配備法は、注目に値するものでした。クライアント・アプリケーションの大本は自己解凍アーカイブであり、その中には3つのファイル:正規の実行ファイル(XcrSvr.exe)、サイドロードされるDLLファイル(XecureIO_v20.dll)、バイナリのシェルコードバイナリファイル(ore)が含まれていました。このうち、1つ目の実行ファイルが処理の開始点となります。
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture1.jpg)
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture2.jpg)
XCrSvr.exeはSoftForumによって開発されたXecureVistaCryptoSvrに同梱される実行ファイルです。BumbleBeeでは、このファイルがXecureIO_v20.dllのサイドロードに不正使用されました。サイドロードされたDLLは次のステップへのローダであり、シェルコード「ore」を実行します。このシェルコードはバックドアとしての主機能を担い、表1の通り複数のモジュールが組み込まれています。シェルコードに埋めこまれたモジュールのバイナリは、launcher.dllを除き、32ビット版と64ビット版のそれぞれが用意されています。
|
名前 |
内容 |
|
launcher.dll |
第一段階のランチャーとして、全ての後続モジュールを呼び出す。暗号化されたモジュール一覧をメモリ内で復号し、それぞれ順に実行する。 |
|
kernel.dll |
ユーティリティ・モジュールとして、他の全モジュールに対する調整を行う。 |
|
installer.dll |
感染した端末に各種コンポーネントをインストールする。 |
|
keylog.dll |
標的端末上でキー入力やクリップボードの内容を監視する他、プロセス起動やパスワード入力、ウィンドウからのテキスト取得といった操作またはイベントを記録する。窃取したデータは、2バイトの値「0xF29D」との排他的論理和(XOR)をとった上で、「%temp%\kb\[ユーザ名]\」に保存する。ファイル名としてはタイムスタンプを使用する。 |
|
loader.dll |
シェルコードを読み込む。 |
|
slaver.dll |
バックドアの起動後にメインモジュールとして機能し、他のさまざまな機能と連携をとる。 |
初回感染時はまず、launcher.dllが他の全モジュールの読み込みと起動を行います。インストーラ用モジュールは下記のステップを実行することで、標的端末上での永続化します。
- XecureIO_v20.dllのコピーを「%APPDATA%\LOCAL\TEMP」にドロップ
- 元のシェルコードファイルおよびパス情報を暗号化(それぞれファイル名を「bin」、「path」とする);RC4暗号化方式を使用(共通鍵として以下ののProductID値を使用) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Registration
- bpu.dllをドロップ(ユーザアカウント制御による制限の回避に利用);rundll32.exeを経由して起動
- 標的端末上で永続化
- 元のSFX(自己解凍アーカイブ)ファイルを削除
特記事項として、XcrSvr.exeはXecureIO_v20.dllをロードしますが、当該DLL側では親プロセスが本当にXcrSvr.exeであるかの確認を行います。この確認がとれた後、DLLは、XcrSvr.exeのエントリポイントを長いジャンプ命令で書き換えることで、処理が不正なコード側に飛ぶように仕向けます。
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture3.jpg)
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture4.jpg)
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture5.jpg)
こうした書き換えを行う理由として、XCrSvr.exeの正常な処理フローではXecureIO_v20.dllに埋めこまれた不正なコードが実行されないためと考えられます。つまり、XCrSvr.exe によってロードされたXecureIO_v20.dllは、当該DLLに埋めこまれた不正なコードを確実に実行させる目的で、XCrSvr.exeのエントリポイントを不正なコードのアドレスへのジャンプ命令で書き換えるものと推測されます。
クライアント・アプリケーションのインストールと永続化が完了すると、ローダ「XecureIO_v20.dll」は、初回インストール時に暗号化状態でドロップしたペイロード(ファイル名:bin)を復号します。復号鍵として、下記レジストリキー配下のProductID値を使用します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Registration
このように標的端末内のデータがペイロード暗号化の鍵として使用されていると、マルウェア検証環境での復号や解析作業は、より一層困難なものとなります。
|
ファイル名 |
内容 |
|
path |
次の段階で用いるシェルコードへのパス情報を表す文字列が、RC4で暗号化して保存される。パスは、通常のファイルパスの場合と、HKLMまたはHKCUで始まるレジストリパスの場合がある。 |
|
bin |
次の段階で用いるシェルコードのペイロードが、RC4で暗号化して保存される。 |
機能拡張コントローラ:サーバ・アプリケーション
BumbleBeeのクライアント・アプリケーションは上述の通り複雑な構成を持つため、その機能解析には相応の時間を要しました。その過程で、当該マルウェアおよび感染端末のコントローラとして動作するサーバ・アプリケーションを発見しました。これにより、BumbleBeeの動作をより明確に把握することが可能になりました。
標的端末内で活動するクライアント・アプリケーションは、当該端末の情報を収集しサーバ・アプリケーション側に送信します。収集、送信する情報として、コンピュータ名、外部IPアドレス、地理的な位置、OS、CPU、メモリ情報などが挙げられます。
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture6.jpg)
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture7.jpg)
図7の内容を踏まえると、このサーバ・アプリケーションは、下表の通り標的端末をコントロールする機能を持つことが分かります。
|
機能名 |
内容 |
|
文件管理(ファイル管理) |
標的環境に対するファイル操作:アップロード、ダウンロード、削除、一覧取得 |
|
屏幕控制(リモートデスクトップ操作) |
標的のデスクトップを遠隔操作 |
|
进程管理(プロセス管理) |
起動しているプロセスの一覧表示および管理:キー情報として「イメージ名」、「現在のフォルダ」、「プロセスID」、「親プロセスID」を利用 |
|
服务管理(サービス管理) |
現在のサービス・ステータスの一覧表示および管理 |
|
注冊表编辑(レジストリエディタ) |
標的環境におけるレジストリキーの一覧表示および管理 |
|
控制台命令(シェルコマンド) |
シェルコマンドを実行 |
|
交互式控制台(対話型コンソール) |
シェルコマンドを実行 |
|
反向代理(リバースプロキシ) |
NATおよびファイアウォールの背後にあるローカルサーバをインターネット上からアクセス可能とするためのリバースプロキシ機能を提供 |
|
键盘记录(キーロガー) |
キー入力とクリップボードの内容を記録 |
BumbleBeeのモジュール構成下でシェルコードに埋めこまれていた不正なコードは、標的端末上でキー入力やクリップボード内容を監視する程度の小さなプログラムのみでした。しかし、サーバ・アプリケーションを経由して追加のモジュールを読み込ませることで、機能をさらに拡張することが可能になります。こうした設計の結果としてBumbleBeeは高い柔軟性を持ち、開発者はマルウェア自体を再ビルドすることなく継続的にモジュールを追加できると考えられます。さらに、こうしたモジュール構成によって、セキュリティ解析者側で行うマルウェアの構造解析や取得済み検体との比較照合がより一層困難になる可能性があります。
ネットワーク通信
BumbleBeeはHTTPプロトコルで通信を行います。はじめに、ネットワーク・ビーコンとして機能するHTTPリクエスト・データを作成し、これをコマンド・コントロール(C&C)サーバに送信することで、自身の存在を通知します。この際の宛先URLは「http://<C&Cサーバ>/update/」であり、POSTリクエストが使用されます。初期接続に成功すると、クライアント・アプリケーションは、標的端末の情報をRC4で暗号化して(図8、9参照)送信します。標的の情報を除き、クライアントとサーバ間で行き来する通信トラフィックはRC4による暗号化とLZOアルゴリズム(Lempel–Ziv–Oberhumer)による圧縮が施されています。
BumbleBeeでは、受信したペイロードのデータが正しいかどうかを検査するため、CRC32チェックサム値による反転表現モードでの巡回冗長検査を行います。CRC32チェックサム値の計算では、独自に定義した値「20200105」を初期値として使用します(典型的に使用される初期値は0xFFFFFFFF)。
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture8.jpg)
/buzzing-in-the-background-bumblebee-a-new-modular-backdoor-evolv/Picture9.jpg)
永続化
BumbleBeeでは永続化のためにさまざまな技術を導入していることが、調査によって判明しました。また、実際に使用される技術は設定に応じて変化します。今回発見したBumbleBeeの検体が導入した技術は、下記の通りです。
- システム起動時にマルウェアが自動起動するように、起動に関連するレジストリ値を不正に編集
- 不正なペイロードが繰り返し実行されるように、Windowsのサービスを登録
- 永続化のために以下のレジストリキー配下に次の値を追加設定して、ログイン時の初期処理用に自動で呼び出されるWindowsログオンスクリプトを設定
- HKEY_CURRENT_USER\Environment
- UserInitMprLogonScript
派生元マルウェアの関連付け
BumbleBeeのモジュール構成が特徴的であったため、これが特定の攻撃者によって使用される専用ツールである可能性について調べる必要があると考えました。他の調査資料や報告と照合した結果、BumbleBeeは、2015年にPalo Altoが報告したバックドア「BookWorm」と類似することが判明しました。確認された類似点は下記の通りです。
- 両者とも自己解凍アーカイブであり、マルウェアをロードするために正規の実行ファイルを不正使用する
- 両者ともペイロード暗号化の鍵として同じレジストリ値を使用する
- 両者ともバックドアの設計方針としてモジュール分割構成を使用する
- 両者とも東南アジアの地方行政機関を標的とする(被害者の類似)
- 両者ともC&Cとの通信でRC4、LZOのアルゴリズムを使用(ネットワーク・プロトコルの類似)
以上を踏まえると、恐らくBumbleBeeはバックドア「BookWorm」のリファクタリング版であると考えられます。両者とも同じ戦略、テクニック、プロシージャ(TTPs:Tactics、Techniques、Procedures)を採用し、同一の暗号化方針を用い、同種の組織を攻撃対象としています。サーバ・アプリケーションの表示に簡体字中国語が用いられていることにより、BumbleBeeの起源と開発者は中国系であることが可能性の1つとして考えられます。
結論
BumbleBeeはBookWormと同じ特徴を有することから、前者は後者のリファクタリング版であると推測されます。アジアの地方行政機関を標的としていることや、サーバ・アプリケーションに簡体字中国語が用いられていることは全て、背後にいる攻撃者が中国系のハッキング・グループである可能性を示唆するものです。
モジュール構成のBumbleBeeは、動作を柔軟に変化させるだけでなく、セキュリティ解析者による構造、挙動分析を難しくする点で、巧妙に作られていると言えるでしょう。また、モジュラー構成では機能の追加が比較的容易であるため、開発側はマルウェアの現行バージョンに対して新規モジュールを次々と追加投入できるという点も、特記に値します。
本マルウェアの背後にいる攻撃者は、モジュラー構成の柔軟性を利用して危険性の高い追加モジュールを配備する可能性が懸念されます。このような脅威に対抗する上では、高度なシステム保護レイヤーと早期の検知機能を用いて、システムへのバックドア設置を未然に防ぐことが重要です。「Trend Micro Vision One™」はこうした機能を提供し、バックドアのさまざまな侵入経路において有効です。
タグ
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
from "構成" - Google ニュース https://ift.tt/jhIvkFW
via IFTTT
Bagikan Berita Ini
0 Response to "背後で飛び回る脅威:BookWormから進化したモジュール構成による新型バックドア「BumbleBee」|トレンドマイクロ - Trend Micro"
Post a Comment