ASEC 分析チームは、PDF の添付ファイル(Attachment)機能を利用してインフォスティーラー型のマルウェアが配布されていることを確認した。以前も確認されたことがある攻撃手法だが、最近になってこのようなタイプのマルウェアが再び活発に配布されている状況が確認されたため、ユーザーに注意を促している。注目すべき点としては、攻撃者がユーザーを欺くために、添付ファイル名を活用して単純なトリックを用いている点をあげられる。
Acrobat Reader には PDF ファイル自体に添付ファイルを追加できる機能が存在するが、デフォルトでブラックリストに指定された .bin/.exe/.bat/.chm 等の拡張子を持つファイルは危険要素と認識され、添付することができない。デフォルトでブラックリスト/ホワイトリストに存在しないその他のファイルについては、ユーザーの判断を確認するメッセージボックスが出力されるが、攻撃者はこの点を悪用している。
電子メールに添付された PDF ファイルを開くと、意図的にブラー処理された本文内の画像が確認でき、Adobe Reader のデフォルト設定で動作する「ファイルを開く」のセキュリティ警告ウィンドウが表示される。これは PDF に添付された添付ファイルを開くかどうか確認するための警告ウィンドウで、ファイル名がメッセージボックスにそのまま表示される。以下の図2) のように韓国語環境の PC ではやや不自然に見える文章だが、図3) のように英語環境の PC で PDF ファイルを開くと、攻撃者が意図した方式について容易に把握できる。
PDF に添付されたファイルは「has been verified.However PDF, Jpeg, docx, .xlsx」というファイル名を持つ Excel 形式のファイルだが、メッセージボックスの内容のうち「The file」の後ろに続く「‘」(アポストロフィ)を無視すると、メッセージボックスの内容は以下のように自然な文章となる。文章の内容を注意深く読んでいないと、ユーザーはこのようなメッセージボックスを一般的なセキュリティメッセージ程度だと捉える可能性が高い。
ファイル名が has been verified.However PDF, Jpeg, docx, .xlsx の場合
The file ‘has been verified. However PDF, Jpeg, docx, .xlsx’ may contain programs, macros, or viruses that could potentially harm your computer. Open the file only if you are sure it is safe. Would you like to:
– Open this file
– Always allow opening files of this type
– Never allow opening files of this type
→ (ユーザーが開いた)ファイルは検証された(正常な)ファイルだが、PDF、Jpeg、docx、xlsx 形式のファイルには有害なプログラム/マクロ/ウイルスのような悪意を持った要素が含まれている可能性がある。
これは、同じ添付ファイルを使用したとしても、マルウェアに頻繁に使われるファイル名(ex.Quotation.xlsx)であった場合は、メッセージボックスの内容が以下のようにまったく異なる内容と捉えることができるため、ユーザーがマルウェアと認知して Acrobat Reader のファイルオープン設定を許可しない場合がある可能性を考慮したものと判断できる。
ファイル名が Quotation.xlsx の場合
The file ‘Quotation.xlsx’ may contain programs, macros, or viruses that could potentially harm your computer. Open the file only if you are sure it is safe. Would you like to:
– Open this file
– Always allow opening files of this type
– Never allow opening files of this type
→ 「Quotation.xlsx」ファイルにはコンピューターに害を及ぼすプログラム、マクロまたはウイルスが含まれている可能性がある。
このようなタイプの PDF 内添付ファイルのファイル名はユーザーを欺くために製作されたものであり、添付されるファイルには XLSX 形式だけでなく DOCX 形式も確認されており、それぞれのファイルは従来の Excel/Word タイプでよく使われる不正な要素を活用している。
- has been verified. However PDF, Jpeg, docx, .xlsx
- has been verified. However PDF, Jpeg, xlsx, .docx
- is scanned and Verified. However PDF, docx, .xlsx
- is verified. However PDF, Jpeg, Docx, .xlsx
この Excel ファイルが実行されると、数式エディタ(EQNEDT32.EXE)の脆弱性を利用して外部ネットワークに接続後、マルウェアをダウンロードするが、5月の半月の間に確認されたマルウェアはその大半が FormBook、Lokibot のようなインフォスティーラー型のマルウェアであることが確認された。FormBook、Lokibot マルウェアは ASEC 週間統計で常に上位を占めているマルウェアだが、このように更に綿密に意図された方法で配布されていることがわかる。
PDF 内に添付された「has been verified.However PDF, Jpeg, docx, .xlsx」ファイルの動作プロセスを明確に確認するために、Excel の添付ファイル自体を別途保存し、実行時に上記のようなプロセスツリーを確認することができた。まず、Excel ファイルの数式エディタ(EQNEDT32.EXE)の脆弱性を利用して外部 URL から NSIS(Nullsoft Scriptable Install System)形式のマルウェア(vbc.exe)がダウンロードされ、続いて最終的なマルウェアである bokvb.exe がドロップされて実行される。最終的に動作するこのファイルは、Lokibot マルウェアであることが確認された。
数式エディタの脆弱性を悪用した Excel ファイルを活用する以外にも、Word ファイルを利用したケースも確認された。(ファイル名:has been verified.However PDF, Jpeg, xlsx, .docx)
Word ファイル内部の document.xml.rels ファイルに存在する短縮 URL は、さらなるマルウェアをダウンロードする最終 URL にリダイレクトする。最終的な URL からは RTF ファイルをダウンロードするが、RTF ファイルでも数式エディタの脆弱性が使用され、NSIS 形式のマルウェアがダウンロードされる動作方式が同じである。
- 短縮 URL : hxxps://shorted[.]pro/stumwd
- 最終 URL : hxxp://172.245.163[.]188/document_shipping/document_g010.doc (RTF ダウンロード)
もし攻撃者の意図とは異なり、最初の PDF ファイルの動作環境が英語環境の PC ではないとしても、ユーザーが PDF ファイルの実行時に表示されるメッセージボックスをあまり気にせず、不注意に確認ボタン(このファイルを開く(O))をクリックしてしまう可能性も高い。メッセージボックスの3番目のラジオボタン「このタイプのファイルを開くことを許可しない(N)」のオプションを選択すると、添付ファイルの即時実行を遮断することができ、その後、左側タブのクリップアイコンのタブから添付ファイルの情報をもう一度確認することができる。(編集-環境設定の「信頼性管理マネージャー」メニューから既存設定の復元が可能である)
ただし、韓国国内のユーザーをターゲットに配布された EML が確認されていることから、究極的には受信したメール内の添付ファイルを開くにあたり、ユーザーの注意が特に必要とされる。
AhnLab 製品では、本記事で取り上げたマルウェアについて以下の通り検知している。
[ファイル検知]
OLE/Cve-2017-0199.Gen
OLE/Cve-2018-0798.Gen
RTF/Malform-A.Gen
Exploit/Pdf.Generic
XML/Dloader
Trojan/Win.NSISInject.R491618
Trojan/Win.NSISInject.R487995
Trojan/Win.FormBook.R492664
Trojan/Win.Generic.R481309
[IOC]
2d418caa178a376491815af16535ee08 (PDF)
374b79c1e46034ad1e3625c99195c113 (has been verified. However PDF, Jpeg, docx, .xlsx)
hxxp://23.94.159[.]221/800/vbc.exe
4f2b5d6712ca51ba7619581acc9e6c06 (vbc.exe, NSIS)
016471d2742c31adedd647c6ee2022c1 (bokvb.exe / Lokibot)
hxxp://hyatqfuh9olahvxf[.]ga/Legend/fre.php (Lokibot C2)
947ad46aa4cfc0eaf59fd7781aadc039 (PDF)
c790888adcb84f9add8288d3634103da (has been verified. However PDF, Jpeg, xlsx, .docx)
hxxp://172.245.163[.]188/document_shipping/document_g010.doc
53edca969843ae183610def08b00f022 (RTF)
hxxp://172.245.163[.]188/crypted%20exes/ge010.exe
1bc2e6b3bcfc05766b833d0ee1bd9638 (ge010.exe, NSIS)
a8cd72078de5d385315aa7b699e69ef9 (yphxlgsy.exe / Lokibot)
hxxp://sempersim[.]su/ge10/fre.php (Lokibot C2)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報