URL ファイルで配布される Xworm マルウェア(EDR 製品検知)

マルウェアの配布段階において最も代表的なものとして使用されるフィッシング手法は、以前から持続的に使用されてきた。フィッシングメールでは主に請求書や見積書、税金計算書、召喚状などに偽装したファイルを添付し、マルウェアを実行するように誘導する。最近 ASEC(AhnLab SEcurity intelligence Center)で確認したケースでは、PayPal を詐称し、計算書に偽装したファイルを実行するように誘導する。

ダウンロードした圧縮ファイルには、Payment_Information_842.url というファイルが入っている。url 拡張子はインターネットショートカットファイルであり、url 拡張子のファイルは Web サイトに接続したり、共有フォルダーにアクセスして追加のファイルをダウンロードしたりすることができる。

配布された url ファイルは、file scheme を利用してネットワーク共有フォルダーにアクセスしたあと、「Payment_Information.zip」ファイルをダウンロードする。

AhnLab EDR 製品では、マルウェアの配布段階で使用する振る舞いが記録に残り、マルウェアの侵入経路を把握することができる。以下の図は、ネットワーク共有フォルダーを通じてマルウェアをダウンロードする振る舞いを検知した様子である。このように、EDR に記録されたログを通じて、未確認のホストのネットワーク共有フォルダーにアクセスすることを検知し、侵入経路を認知できる。

ネットワーク共有フォルダーからダウンロードした zip ファイルの中には「PayPal_Product.exe」という実行ファイルが存在する。解凍したファイルを実行すると、「RegAsm.exe」を対象にプロセスハロウイングを実行する。

「RegAsm.exe」プロセスに挿入されたマルウェアは Xworm として知られているマルウェアであり、自己複製と自動実行登録の振る舞いを実行する。「C:\Users\Public\microsoft_version_0124.exe」パスに自己複製を行い、レジストリにそのパスを登録して自動で実行されるように設定する。

以下の図は、自己複製および自動実行登録の振る舞いを EDR を通じて検知した様子である。

Xworm の内部マルウェアを確認すると、C&C サーバーとの通信が可能であり、コマンドを受け取ってファイルのダウンロード、PC の強制シャットダウン、コマンドの実行、DDoS、キーロガー、画面キャプチャなどの様々な機能を実行することができる。内部で復号化プロセスを経ると Xworm の情報および接続ホストアドレス、ポート情報を確認できる。

AhnLab EDR を通じて C2 通信に関する内容も確認することができる。以下の図は Xworm がインジェクションされた RegAsm.exe ファイルが、攻撃者のサイトアドレスである hxxp://continentalgames[.]top、hxxps://newsferinfo[.]com に接続した振る舞いが検知された画面である。

AhnLab EDR を通じて、マルウェアの不正な振る舞いだけでなく、マルウェアが配布される過程を把握することができる。本記事で取り上げたマルウェアは、ネットワーク共有フォルダーで配布される振る舞いを実行するが、EDR ログを通じてマルウェアの配布過程を確認することができた。管理者は、これにより感染原因と侵入経路を把握することができ、攻撃に晒された後も攻撃対象となったシステムから攻撃者の証跡資料として侵害事故の調査に必要なデータを確認することができる。

振る舞い検知
Injection/EDR.Hollowing.M11934
Connection/EDR.T1048.003.M11903

ファイル検知
Trojan/Win.Injection.C5650961 (2024.07.02.00)
Downloader/URL.Generic (2024.07.02.00)

IoC
MD5
bfe4e6c774018b6e85d33fd381427d2f
36121a06f7d94bd1c18f5ff4618d5f29

C&C
62.173.141[.]99
hxxp://continentalgames[.]top
hxxps://newsferinfo[.]com

振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。