先週、韓国の銀行と放送局に影響を与えた「ワイパー」マルウェアのニュースが報じられた。韓国NSHC Security社のRed Alert Teamは、このマルウェアの詳細な分析結果をここで公表している。同じコンポーネントに対するハッシュ値がいくつか触れられており、同一のキャンペーンのもと、複数のオペレーションがあったことを示唆している。
では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。
アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。
鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。
当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。
バックグラウンドでは、マルウェアが以下をダウンロードして実行する。
hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
%systemdirectory%\hzcompl.dllとして保存
hxxp://www.clickflower.net/board/images/start_car.gif
%systemdirectory%\%random%.dllとして保存
hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
%systemdirectory%\sotd.dllとして保存
他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。
我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。
ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。
上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。
スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。
RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。
では、影響のあった企業はどのようにして感染したのだろうか?誰にも確かなところはわかっていない。しかし我々はこのアーカイブを見つけた。
アーカイブファイル名を翻訳すると、おおよそ「顧客の口座履歴」といった意味になる。ちなみに報道によれば、影響を受けた企業の1つに新韓銀行がある。
鋭い目を持った人はお気づきだろうが、アーカイブ内のマルウェアは非常に長いファイル名に拡張子を二重につなげたものを用いており、実際の拡張子を隠している。これはソーシャルエンジニアリングで普及している戦術で、約10年前の大規模なメールワームの時代に始まった。したがって、このアーカイブはスピアフィッシングメールに添付されて送りつけられた可能性が高いと、我々は考えている。
当該マルウェアのタイムスタンプは2013年3月17日で、事件発生のわずか数日前だ。Internet Explorerのアイコンを用いており、実行すると以下のデコイを開く。
バックグラウンドでは、マルウェアが以下をダウンロードして実行する。
hxxp://www.6885.com/uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
%systemdirectory%\hzcompl.dllとして保存
hxxp://www.clickflower.net/board/images/start_car.gif
%systemdirectory%\%random%.dllとして保存
hxxp://mailimg.nate.com/mail/img/button/btn_mycomputer.gif
%systemdirectory%\sotd.dllとして保存
他にもいくつかのHTTPリクエストが行われるが、これはおそらくペイロードが依存するファイルをダウンロードしたり、あるいは単純にネットワークトラフィックを監視している管理者から悪意のあるHTTPリクエストを隠蔽するためのものだ。
我々の分析中、すでにこれらのURLは無効またはクリーンになっていた。しかしながら、ファイル名が攻撃者のスタイルについて手がかりを与えてくれている。たとえばファイルの拡張子により、ペイロードがDLLファイルだった可能性が示されている。また「btn_mycomputer.gif」という名前から、URL上の最下部の画像として、ペイロードが隠蔽された可能性が示唆される。このワイパーペイロードへのリンクとしてあり得そうなものを調査し続けて以来、実在のサンプルを目にするようになってきた。
ぴったり一致するものは見つけられなかったが、スタイルに符合するワイパーコンポーネントの派生形が2つあった。1つ目は同様に構成されたファイル名「mb_join.gif」を用いている。これはあるモバイルバンキングのWebサイトのjoin(登録)ボタンの画像として偽造しようとしている可能性がある。もう1つは、時間をトリガーにしたDLLのサンプルだ。
上のコードは「(month * 100 + day) * 100 + hour >= 32,015」と同等で、これは3月20日15時以降のみ条件を満たす。
スピアフィッシングメールについてはおいておくが、影響があったシステムがすべて感染しているとは限らない。いくつかのバリアントはリモートのシステムをワイプするのに、感染したシステムにインストールされている特定のSSHクライアントの設定ファイル内にある証明書を用いる。したがって、影響を受けたシステムでたった1人のユーザが脆弱なSSHクライアントを用いていて、駄目にしてしまうということもあり得る。
RARアーカイブと共にFelix DeimelおよびVanDykeの2つのSSHクライアントが攻撃に用いられたことは興味深い。これはいずれもサードパーティー製のアプリケーションで、Windowsのネイティブアプリケーションとしてサポートされていない。攻撃では、リモートのLinuxおよびUnixベースのシステムを中心にワイプしたことは言うまでもない。こうした仕様はすべて、標的型攻撃との印象を与える。