2014-12-28
Sony Pictures Entertainmentへの攻撃に使用されたマルウェアに関する情報をまとめてみた。
インシデントまとめ | |
2014年11月25日に発生したSony Pictures Entertainment(以降SPE)へのサイバー攻撃について、SPEのシステム破壊に使用されたとされるマルウェアに関する情報をここではまとめます。
尚、SPEを巡る一連の騒動については次のエントリでまとめています。
確認されているマルウェア群
| 分類名 | 種類 | VT | C2通信 |
|---|---|---|---|
| SMBワーム | 2種類 | 登録なし | あり |
| リスニングツール | 不明 | 登録なし | 無し |
| 軽量バックドア | 13種類 | 登録なし | 無し |
| プロキシツール | 10種類 | 登録なし | 無し |
| HDD破壊ツール | 1種類 | 登録なし | 無し |
| 破壊クリーニングツール | 2種類 | 登録なし | 無し |
| ネットワークワイパー | 10種類 | 登録あり。(Destover) | あり |
- 関連を整理すると次の通り。
マルウェアの通信先
- SPEへの攻撃に使用されている確認されている通信先は次の6つ。
| IPアドレス | 国 | マルウェア |
|---|---|---|
| 203.131.222.102:8080 | タイ | ネットワークワイパー (760C35A80D758F032D02CF4DB12D3E55) |
| 217.96.33.164:8000 | ポーランド | ネットワークワイパー (760C35A80D758F032D02CF4DB12D3E55) |
| 88.53.215.64:8000 | イタリア | ネットワークワイパー (760C35A80D758F032D02CF4DB12D3E55) |
| 200.87.126.116:8000 | ボリビア | N/A |
| 58.185.154.99:8000 | シンガポール | N/A |
| 212.31.102.100:8080 | キプロス | N/A |
| 208.105.226.235 | 米国 | N/A |
SPE内部ネットワークのIPアドレスと思われるリスト
- DropperにハードコードされたSPEの内部アドレスと思われるリスト
43.130.141.42
43.130.141.22
43.130.141.103
43.130.141.21
43.130.141.115
43.130.141.75
43.130.141.23
43.130.141.78
43.130.141.83
マルウェア詳細1. SMBワーム
機能概要
- WindowsのSMB共有を介して広がるワームタイプのマルウェア
- 認証をブルートフォースで試行する。
- C2に5分おきにログデータ(他認証に成功した端末リスト)を送信する。
- 2つのスレッドで動作し、最初のスレッドでログデータの受信を行い、2つ目のスレッドでSMBの認証試行を行う。
- 認証に成功した場合、ファイル共有確立後にファイルがコピーされ、新たな感染端末上で動作を行う。
- ワームにはリスニングツール、軽量バックドア、プロキシツール、HDD破壊ツール、破壊クリーニングツールが装備されている。
- C2との接続を確立すると次のスキャンを行う。
関連ファイル一覧
| No | ファイル名 | MD5 Hash | 検知名 |
|---|---|---|---|
| 1 | N/A | f6f48551d7723d87daeef2e840ae008f | N/A |
| 2 | N/A | 194ae075bf53aa4c83e175d4fa1b9d89 | N/A |
マルウェア詳細2.リスニングツール
機能概要
- AESで暗号化されており、復号のキーフレーズは「National Football League.」
- リスニングするポートや接続に送信されるメッセージに違いがある。
- このツールから送信されたメッセージは「0x1F」でXORされている。
- 最初の接続時にツールから特定の文字列が送信される。
- 「!」(0x21byte)を受信すると接続を終了する。このメッセージはXORでエンコードはされていない。
関連ファイル一覧と挙動の違い
| No | ファイル名 | MD5 Hash | 検知名 | リスニングポート | 接続時送信メッセージ |
|---|---|---|---|---|---|
| 1 | sensvc.exe | N/A | N/A | TCP 444 | 200 www.yahoo.com!\x00 |
| 2 | msensvc.exe | N/A | N/A | TCP 444 | 200 www.yahoo.com!\x00 |
| 3 | netcfg.dll | N/A | N/A | TCP 195 | RESPONSE 200 OK!! |
マルウェア詳細3. 軽量バックドア
機能概要
- サービス登録したDLLで動作するように設計されている。
- 任意のコードをコマンドラインとして実行出来る。
- ルーターやゲートウェイを検出するためにUPNPを使用する。
- NAT環境下においてもインバウンド接続を許可するポートマッピングを追加する。
軽量バックドアで確認されている機能
関連ファイル一覧
| No | ファイル名 | MD5 Hash | 検知名 |
|---|---|---|---|
| 1 | N/A | f57e6156907dc0f6f4c9e2c5a792df48 | N/A |
| 2 | N/A | 838e57492f632da79dcd5aa47b23f8a9 | N/A |
| 3 | N/A | 11c9374cea03c3b2ca190b9a0fd2816b | N/A |
| 4 | N/A | 7fb0441a08690d4530d2275d4d7eb351 | N/A |
| 5 | N/A | 7759c7d2c6d49c8b0591a3a7270a44da | N/A |
| 6 | N/A | 7e48d5ba6e6314c46550ad226f2b3c67 | N/A |
| 7 | N/A | 0a87c6f29f34a09acecce7f516cc7fdb | N/A |
| 8 | N/A | 25fb1e131f282fa25a4b0dec6007a0ce | N/A |
| 9 | N/A | 9761dd113e7e6673b94ab4b3ad552086 | N/A |
| 10 | N/A | c905a30badb458655009799b1274205c | N/A |
| 11 | N/A | 40adcd738c5bdc5e1cc3ab9a48b3df39 | N/A |
| 12 | N/A | 68a26b8eaf2011f16a58e4554ea576a1 | N/A |
| 13 | N/A | 74982cd1f3be3d0acfb0e6df22dbcd67 | N/A |
マルウェア詳細4. プロキシツール
機能概要
プロキシツールで確認されている機能
関連ファイル一覧
| No | ファイル名 | MD5 Hash | 検知名 |
|---|---|---|---|
| 1 | N/A | 734740b16053ccc555686814a93dfbeb | N/A |
| 2 | N/A | 3b9da603992d8001c1322474aac25f87 | N/A |
| 3 | N/A | e509881b34a86a4e2b24449cf386af6a | N/A |
| 4 | N/A | 9ab7f2bf638c9d911c2c742a574db89e | N/A |
| 5 | N/A | a565e8c853b8325ad98f1fac9c40fb88 | N/A |
| 6 | N/A | 0bb82def661dd013a1866f779b455cf3 | N/A |
| 7 | N/A | b8ffff8b57586d24e1e65cd0b0ad9173 | N/A |
| 8 | N/A | 4ef0ad7ad4fe3ef4fb3db02cd82bface | N/A |
| 9 | N/A | eb435e86604abced7c4a2b11c4637a52 | N/A |
| 10 | N/A | ed7a9c6d9fc664afe2de2dd165a9338c | N/A |
マルウェア詳細5. HDD破壊ツール
機能概要
- 管理権限で動作した場合
- ユーザー権限で動作した場合
- 特定のファイルが削除される。
- 使用不可能とまではならない。
関連ファイル一覧
| No | ファイル名 | MD5 Hash | 検知名 |
|---|---|---|---|
| 1 | N/A | 8dec36d7f5e6cbd5e06775771351c54e | N/A |
マルウェア詳細6. 破壊クリーニングツール
機能概要
関連ファイル一覧
| No | ファイル名 | MD5 Hash | 検知名 |
|---|---|---|---|
| 1 | N/A | a385900a36cad1c6a2022f31e8aca9f7 | N/A |
| 2 | N/A | 7bea4323807f7e8cf53776e24cbd71f1 | N/A |
マルウェア6. ネットワークワイパー(Destover/WIPALL)
(1) 2つのグループ
- このマルウェアは前後関係から2つのグループに分かれる
| グループ | グループ1 | グループ2 |
|---|---|---|
| Dropper | diskpartmg16.exe (d1c27ee7ce18675974edf42d4eea25c6) | diskpartmg16.exe (2618dd3e5c59ca851f03df12c0cab3b8) |
| メインモジュール | igfxtrayex.exe (760C35A80D758F032D02CF4DB12D3E55) | igfxtrayex.exe (B80AA583591EAF758FD95AB4EA7AFE39) |
| その他 | iissvr.exe (E1864A55D5CCB76AF4BF7A0AE16279BA) | ams.exe (7E5FEE143FB44FDB0D24A1D32B2BD4BB) |
(2) ドロッパー(diskpartmg16.exe)の機能概要
- グループ1のドロッパー(d1c27ee7ce18675974edf42d4eea25c6)は以下のパラメータを指定することで挙動が変化する。
| パラメータ | 挙動 |
|---|---|
| -i | 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。 |
| -k | サービス(自分)が実行されているか確認し、-sオプションで自分自身を呼び出す。 |
| -s | メインモジュール(760C35A80D758F032D02CF4DB12D3E55)をドロップし、それを実行する。 |
- 0x67でXORされたユーザーID、パスワードリストを用いてネットワーク上の端末のログオンに使用される。
- 「net use \\<machinename> "<password>" /u:"<username>"」
- 「%SystemRoot%/System32」または「%SystemRoot%/Syswow64」に対して以下のコマンドを使用して共有を張ろうとする。
- 「cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone,FULL」
- C2に接続試行した結果を「net_ver.dat」に記録する。
- ハードコードされたIDにはSPE(恐らくドメイン名)といった標的を完全に絞った記述がみられる。
SPE\Da***** | London13!
SPE\JH***** | !Tomorrow33
SPE\MM***** | @Smiley91
- グループ2のドロッパー(2618dd3e5c59ca851f03df12c0cab3b8)は以下のパラメータを指定しすることで挙動が変化する。
| パラメータ | 挙動 |
|---|---|
| 無し i,k以外のパラメータ | 「Hello World」と記載されたウィンドウを表示する。 |
| -i | 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。 |
| -k | メインモジュール(B80AA583591EAF758FD95AB4EA7AFE39)をドロップし、それを実行する。 |
- -iパラメータで登録されるサービス内容
- サービス名:WinsSchMgmt
- 表示名:Windows Schedule Management Service
- スタートアップの種類:自動
- 実行可能ファイル:<CURRENT_PATH> \ diskpartmg16.exe -k
- パラメータなしで起動した際に表示されるHelloworldウィンドウ*1
(3) メインモジュール(igfxtrayex.exe)の機能概要
| パラメータ | 挙動 |
|---|---|
| 無し | 自身のコピーを作成し、-iオプションを指定して開始する。 |
| -i | サービスを登録し、サービスの起動コマンドに-kを仕込む。 |
| -k | 実行されてから10分後に3つのコピーを作成し、同じディレクトリ上に配置する。 その後-m,-d,-wを付けてそれぞれ実行する。 コピーしたファイルは「taskhost+ランダムな2文字」.exeと名前が付けられる。 |
| -m | usbdrbv32.sysを作成し実行する。 |
| -d | 全ての固定ドライブとネットワークドライブ上のファイルを削除する。 ただし、%WINDIR%フォルダとProgram Filesフォルダはスキップする。 |
| -w | %Windir%にiissvr.exeを作成し実行する。 C2に接続する。 MS Exchangeのサービスを停止する。 |
- iパラメータで登録されるサービス内容
サービス名:brmgmtsvc
表示名:Backup and Restore Management Service
スタートアップの種類:Automatic
- グループ2のメインモジュール(E1864A55D5CCB76AF4BF7A0AE16279BA)
| パラメータ | 挙動 |
|---|---|
| 無し | 自身のコピーを作成し、-iオプションを指定して開始する。 |
| -i | 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。 |
| -k | 実行されてから45分経つか最初のsleepに自身のコピーを4つを作成する。 コピーしたファイルは「igfxtrayex+ランダムな2文字」.exeと名前が付けられる。 |
| -a | 64bitのWindowsマシンかチェックし、64bitマシンの場合はkph.sys、ams.exeを作成、amas.exeを実行する。 |
| -m | MBR上書き用にusbdrbv32.sysを作成し実行する。 |
| -d | 全ての固定ドライブとネットワークドライブ上のファイルを削除する。 ただし、%WINDIR%フォルダはスキップする。 |
| -n | walls.bmpをC:\Windowsにドロップし、デスクトップの壁紙に設定する。 |
| -s | 特定のユーザーID、パスワードを使用して管理($IPC)共有へ接続試行する。 |
- iパラメータで登録されるサービス内容
サービス名:PMSvc
表示名:Performance Manager
スタートアップの種類:自動
実行可能ファイル:<path>\igfxtrayex.exe -k
(4) 「Hacked By GOP」赤髑髏の表示
- マルウェアのグループによって表示方法が異なる
- グループ1での赤髑髏表示
(5) 標的ホストのリスト「net_var.dat」
- 「HOSTNAME | IP Address | 2」として標的ホストが記載されている。
- HOSTNAMEは必須ではない模様。
- 末尾の数字2が意味する内容については不明。ログイン試行の結果が記録されている可能性。
(6) McAfeeの関連プロセス停止
- 感染端末が64bitであれば、igfxtrayex.exe(B80AA583591EAF758FD95AB4EA7AFE39)がamas.exeとkph.sysをドロップする。
- ams.exe(7E5FEE143FB44FDB0D24A1D32B2BD4BB)が当該機能を有する。
- レジストリ(HKLM\CurrentControlSet\services\McShield)からMcShield.exeのファイルパスを取得し、McAfeeのリアルタイムスキャン(mcshield.exe)を別のファイル(同名のmcshield.exe)に置き換えし、実行(リアルタイムスキャンを停止)する。
- KProccessHackerのkph.sysをインストールし、以下のMcAfeeの関連プロセスを停止させる。ドライバサービスがユーザーモードアプリケーションよりも高い権限で動作することからこれを利用した可能性がある。
ネットワークワイパー検証動画
関連ファイル一覧
- グループ1
| No | ファイル名 | MD5 Hash | 検知名 | 機能 |
|---|---|---|---|---|
| 1 | diskpartmg16.exe | d1c27ee7ce18675974edf42d4eea25c6 (Malwr:DL可) | Trojan.Win32.Destover.a(Kaspersky) Trojan-Wiper(McAfee) Trojan:Win32/NukeSped.A(Microsoft) Troj/Destover-C(Sophos) Backdoor.Destover(Symantec) BKDR_WIPALL.A(TrendMicro) | Dropper。 SMB経由で感染するワーム機能あり。 igfxtrayex.exeを生成し実行。 |
| 2 | igfxtrayex.exe | 760C35A80D758F032D02CF4DB12D3E55 (Malwr) | Trojan.Win32.Destover.c(Kaspersky) Trojan-Wiper(McAfee) Trojan:Win32/NukeSped.B(Microsoft) Troj/Destover-B(Sophos) Backdoor.Destover(Symantec) BKDR_WIPALL.B(TrendMicro) | ファイルやMBRを上書きし破壊する。 iissvr.exeを生成し実行。 |
| 3 | iissvr.exe | E1864A55D5CCB76AF4BF7A0AE16279BA | Trojan.NukeSped.C(F-Secure) Backdoor.Win32.DestoverServ.a(Kaspersky) Trojan-Wiper(McAfee) Trojan:Win32/NukeSped.C!dha(Microsoft) Troj/Destover-B(Sophos) Backdoor.Destover(Symantec) BKDR_WIPALL.E(TrendMicro) | Webサーバーを起動し、赤髑髏を表示させる。 |
- グループ2
| No | ファイル名 | MD5 Hash | 検知名 | 機能 |
|---|---|---|---|---|
| 4 | diskpartmg16.exe dpnsvr16.exe | 2618dd3e5c59ca851f03df12c0cab3b8 (Malwr) | Trojan-Wiper(McAfee) Trojan:Win32/NukeSped.A!dha(Microsoft) Backdoor.Destover(Symantec) BKDR_WIPALL.D(TrendMicro) | Dropper。 igfxtrayex.exeを生成し実行。 |
| 5 | igfxtrayex.exe | B80AA583591EAF758FD95AB4EA7AFE39 (Malwr) | Trojan.Win32.Destover.b(Kaspersky) Trojan-Wiper(McAfee) Troj/Destover-E(Sophos) Trojan:Win32/NukeSped.B!dha(Microsft) Backdoor.Destover(Symantec) BKDR_WIPALL.C(TrendMicro) | ファイルやMBRを上書きし破壊する。 赤髑髏をデスクトップ背景に設定する。 感染端末が64bit環境の場合amas.exe、kph.sysを生成し実行。 |
| 6 | ams.exe | 7E5FEE143FB44FDB0D24A1D32B2BD4BB (Malwr:DL可) | Trojan.Win64.Destover.a(Kaspersky) Trojan-Wiper(McAfee) Trojan:Win64/NukeSped.A!dha(Microsft) Backdoor.Destover(Symatec) BKDR64_WIPALL.F(TrendMicro) | McAfeeのリアルタイムスキャンの停止 McAfee関連プロセスの停止 |
- 派生ファイル
| ファイル名 | MD5 Hash | 概要 |
|---|---|---|
| usbdrv3_32bit.sys (elrawdsk.sys) | 6AEAC618E29980B69721158044C2E544 | Eldos社ドライバ |
| usbdrv3_64bit.sys (elrawdsk.sys) | 86E212B7FC20FC406C692400294073FF | Eldos社ドライバ |
| kph.sys | N/A | KprocessHackerのドライバ |
| net_ver.dat | 93BC819011B2B3DA8487F964F29EB934 | ネットワークログオンの標的リスト |
| walls.bmp | N/A | 赤髑髏の壁紙用BMPファイル |
関連トピック Sonyの署名がされたDestover
| ファイル名 | MD5 Hash | 検知名 |
|---|---|---|
| igfxtpers.exe | e904bf93403c0fb08b9683a9e858c73e (Malwr:DL可) | Trojan.Win32.Destover.d(Kaspersky) Troj/Destover-A(Sophos) Backdoor.Destover(Symantec) BKDR_DESTOVER.A(TrendMicro) |
参考情報
この記事は以下の解析情報を参考に記述しています。
FBI
USCERT
- 12/04 Alert (TA14-353A) Targeted Destructive Malware
- 12/19 Security Tip (ST13-003) Handling Destructive Malware
TrendMicro
- 12/03 An Analysis of the “Destructive” Malware Behind FBI Warnings (和訳)
- 12/03 Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks
- 12/05 WIPALL Malware Leads to #GOP Warning in Sony Hack (和訳)
- 12/08 TrendMicro The Hack of Sony Pictures: What We Know and What You Need to Know
CYREN
- 12/03 WIPER.A: AN ANALYSIS OF THE DESTRUCTIVE AND DANGEROUS MALWARE TARGETED AT SONY PICTURES ENTERTAINMENT
- 12/08 WIPER.A: FOLLOW-UP ANALYSIS OF MALWARE TARGETED AT SONY PICTURES ENTERTAINMENT
- 12/10 WIPER FAMILY OF MALWARE TARGETING SONY PICTURES ENTERTAINMENT GROWS
McAfee
Symantec
F-Secure
Kaspersky
HP
Cisco
BlueCoat
更新履歴
- 2014/12/29 AM 新規作成