最近、電子メールで配布されるドキュメントマルウェアでは主に、数式エディターの脆弱性ドキュメントと外部 External 接続リンクが含まれているドキュメントが配布されている。この記事では、後者の方式の外部 External 接続リンクを含むドキュメントで配布される Danabot マルウェアの感染フローを説明し、当社 EDR 製品のダイアグラムを通じて確認できる証跡および検知について説明する。 [図1]は、External 接続リンクが含まれているWordドキュメントが添付されたスパムメールの本文である。本文の内容を見れば分かるように、受信者を騙すため、精巧に偽装された入社志願書の電子メールだ。添付されたドキュメント(.docx)は、External 接続リンクが含まれているワードドキュメントである。
[図1] ドキュメントマルウェアが添付されているメールの本文
[図2]は、この電子メールを閲覧し、添付ファイルを実行した PC の EDR 証跡である。Outlook(outlook.exe)のプロセスを通じてドキュメントファイル(.docx)が作成および実行された証跡が確認された。ダイアグラムでは、メールを閲覧した Outlook(outlook.exe)から Word(winword.exe) -> コマンドウィンドウ(cmd.exe) -> PowerShell(powershell.exe) -> 実行ファイル(iu4t4.exe)- rundll32.exe の順に続く、疑わしいプロセスツリーの痕跡が確認された。
[図2] outlook.exe から作成された不正な Word ドキュメント(.docx)
[図3]は、添付された Word ドキュメント(.docx)の内部に存在する外部 External 接続リンクである。この機能を通じて Word ドキュメント(.docx)を実行すると、該当のリンクに接続し、追加ドキュメントファイルをダウンロードしてロードする。[図4]は、Word ドキュメント(.docx)の実行時、外部接続によってダウンロードされたマクロドキュメント(w1p3nx.dotm)がロードされた画面である。[図5]のように EDR ダイアグラムで Word ファイルが実行される WINWORD.EXE プロセスから追加でダウンロードされるドキュメント(w1p3nx.dotm)ファイルの作成およびロードされた証跡が確認された。
[図3] 添付された不正な Word ドキュメントの機能(External 接続リンクを通じた w1p3nx.dotm ドキュメントファイルダウンロード)
[図4] Word ドキュメント(.docx)を通じてロードされたマクロドキュメント(w1p3nx.dotm)
[図5] EDR ダイアグラム(w1p3nx.dotm ドキュメントファイルの作成および実行証跡)
[図6]は、追加でダウンロードされたマクロドキュメント(w1p4nx.dotm)に含まれているマクロコードである。エンコードされた cmd コマンドをデコードして実行するマクロコードが確認された。[図7]の EDR ダイアグラムでデコードされたコマンドが確認され、C2 から DanaBot マルウェア(iu4t4.exe)をダウンロードする PowerShell コマンドが確認される。
[図6] w1p4nx.dotm ドキュメントファイルのマクロコード機能(エンコードされた cmd コマンド実行)
[図7] EDR ダイアグラム(復号化された cmd コマンドが証跡で確認 – EXE ファイルダウンロード)
[図8]は、ダウンロードされるパス(C:\Users\Public)に作成された DanaBot マルウェア(iu4t4.exe)であり、[図9]のように EDR ダイアグラムで PowerShell を通じて DanaBot マルウェア(iu4t4.exe)が作成された証跡が確認される。
[図8] ダウンロードされた EXE ファイル(DanaBot マルウェア)
[図9] EDR ダイアグラム(DanaBot マルウェアの EXE 作成証跡)
[図10]は、実行された DanaBot マルウェア(iu4t4.exe)が rundll32.exe を通じて shell32.dll のパラメータで自身を再実行する内容である。よって、shell32.dll 内で動作し、振る舞いの主なプロセスは rundll32.exe である。
[図10] EDR ダイアグラム(セルフインジェクションおよび rundll32.exe を通じた再実行)
Danabot マルウェア[1] は、感染時に PC の様々な情報を窃取する機能が存在し、C2 と接続されなくても情報収集の振る舞いが現れる。EDR ダイアグラム内 rundll32.exe の振る舞い証跡を確認すると、[図11]のように画面キャプチャ、PC 情報、ブラウザのアカウント情報を収集する証跡が確認できる。
[図11] EDR ダイアグラム(画面キャプチャ、PC 情報、ブラウザアカウント情報の奪取)
External 接続リンクが含まれているドキュメントで配布される Danabot マルウェアの感染フローと、この感染フローに合わせて EDR 製品のダイアグラムで確認できる証跡について説明した。攻撃者は、添付ファイルとして外部接続が含まれているドキュメントを使用することで、巧妙に不正なマクロを露出させない。配布の電子メールもまた、一般的な入社志願書のように本文内容を偽装しているため、受信者をだまし、ドキュメントファイルの実行を誘導する。添付ファイルを開く際には、マルウェアが実行できる拡張子が存在していないか常に注意しなければならない。また、セキュリティ製品を利用したモニタリングで攻撃者のアクセスを把握し、対応および予防に注意を払う必要がある。
[振る舞い検知]
Execution/MDP.Scripting.M10747
Execution/EDR.Malware.M10459
[ファイル検知]
Downloader/XML.External
Downloader/DOC.Generic.S2503
Trojan/Win.DANABOT.C5608053
[IOC]
0bb0ae135c2f4ec39e93dcf66027604d (.DOCX)
28fd189dc70f5bab649e8a267407ae85 (.DOTM)
e29e4a6c31bd79d90ab2b89f57075312 (Danabot EXE)
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知