Upgrade to Pro — share decks privately, control downloads, hide ads and more …

件名:顔文字のランサムウェアNemtyに感染するばらまきメールの分析

B1c0aa0ded28e92d402bb5203e8b8019?s=47 S-Owl
March 07, 2020

 件名:顔文字のランサムウェアNemtyに感染するばらまきメールの分析

B1c0aa0ded28e92d402bb5203e8b8019?s=128

S-Owl

March 07, 2020
Tweet

Transcript

  1. 件名:顔文字のランサムウェアNemtyに感 染するばらまきメールの分析 2020/03/07 ばらまきメール回収の会 S_Owl / bomccss

  2. 【テーマ】本日のテーマ 件名:顔文字でランサムウェアNemtyに感染する ばらまきメールの分析結果を共有。 興味のある人向けにばらまきメールの 分析の一例も紹介。 2

  3. 【概要】件名:顔文字のばらまきメール情報 ▪日時 2020/02/08 - 2020/02/12 頃 ▪件名 8-) 8-D :)

    :* :-) :-* :-D :D ;) ;-) ;D ▪本文 :-) ▪添付ファイル(XXXXXXは6桁整数) PIC_XXXXXX_2020.zip → PIC_526246_2020_jpg.vbs (MD5: 913e1ce18aa6c620dbf33eeecdbc1085 ) IMGXXXXXX2020_jpg.zip → IMG4956432020_jpg.vbs (MD5: 9c3d4bdfb97553dd7484c01235dc4c50 ) ▪通信先 hxxp://92.63.197[.]190/jp.exe hxxp://92.63.197[.]190/jap.exe ▪マルウェア種別 ダウンロードされるexeはランサムウェア Nemty 3
  4. 【順序】ばらまきメールの分析の流れ 1.観測  ばらまきメールの情報を入手する (CSIRT/SOC等であれば実際に受信する、  そうでなければ発信されている情報を入手する) 2.分析  メールの添付ファイルや感染するマルウェアを分析する (通信先やマルウェア種別を特定する) 3.対策  被害に合わない為の対策を実施する

    (メールや通信先を遮断する) 4.調査  関連する情報の調査し、更に分析や対策を行う (同じキャンペーンや検体など) 4
  5. 【観測】ばらまきメールの情報の入手 例えば、@itc_uec から情報を入手する 件名、添付ファイル名、ハッシュがわかる 国立大学法人電気通信大学情報基盤センター 5 https://www.cc.uec.ac.jp/blogs/news/2020/02/20200208malwarekaomoji.html https://twitter.com/itc_uec/status/1227498181895675909

  6. 【分析】検体の分析 添付ファイルの名前やハッシュが分かれば、分析が可能。 まずは、オープンサンドボックスサイトなどを使って表層・動的解析する。 https://app.any.run/tasks/6b586a41-c597-4a44-a66d-d5665cebd901/ 6

  7. 【分析】動的分析 https://app.any.run/tasks/6b586a41-c597-4a44-a66d-d5665cebd901/ AnyRunを使ってわかること ・通信先 hxxp://92.63.197[.]190/jp.exe http://api.db-ip.com/ hxxp://nemty10[.]hk/public/gate.php ・ダウンロードされるexe md5: 27dba86c54407cb0e5891f2dacdc70ef

    ・exeの種類 Nemty ランサムウェア 7
  8. 【対策】IoCによる遮断・検知 簡易分析の情報を元に、遮断・検知を行う。 ・メールの件名による遮断  (業務メールに一致しない件名のため可能、計8個) ・マルウェア通信先の遮断  hxxp://92.63.197[.]190/jp.exe ・マルウェア通信先の検知(感染後の通信)  http://api.db-ip.com/  hxxp://nemty10[.]hk/public/gate.php ・Nemtyの通信の検知

     User-Agent: Naruto Uzumake 8
  9. 同じ「件名:顔文字」のばらまきメール が続く 添付ファイル(zipの中身) ダウンロードファイル 【調査】似た件名のばらまきメール 9 日付 ファイル名 ファイル MD5

    2020/02/08 PIC_526246_2020_jpg.vbs 913e1ce18aa6c620dbf33eeecdbc1085 2020/02/11 IMG4956432020_jpg.vbs 43993f85037145ebc44cdbd994910377 2020/02/11 IMG4956432020_jpg.vbs f657b659f9d5eaefb926f25d340c67ea 2020/02/12 IMG4956432020_jpg.vbs 9c3d4bdfb97553dd7484c01235dc4c50 日付 ファイル名 MD5 2020/02/08 jp.exe 27dba86c54407cb0e5891f2dacdc70ef 2020/02/11 jap.exe 542bab6a93e8fbd7141975db19a59853
  10. 【調査】似た件名のばらまきメール 同じ件名:顔文字で日本向けにばらまれたメールが2019年にもあった。 https://sec-owl.hatenablog.com/entry/2019/01/14/234043 比較 10 時期 2019/1-2 2020/2 類似性 件名

    顔文字 (後にI LOVE YOUや俳優名など) 顔文字 ほぼ同じ 本文 顔文字 顔文字 同じ 添付ファイル ファイル名にPICやIMGとついたzip。 中にはjsやvbs ファイル名にPICとついたzip。中 にはvbs ほぼ同じ マルウェア ランサムウェアGandCrabや CoinMiner、スパムボットPhorpiexな ど ランサムウェアNemty どちらもランサ ムウェアが含ま れる 通信先 92.63.197[.]48 92.63.197[.]190 /24が同じ 送信手法 スパムボットPhorpiex ? 標的 主に日本 ? 調査!
  11. 【調査】Phorpiex Phorpiexの仕組み スパムボットだけではなく 様々なモジュール群 調べたいのはSpamBot 11 Phorpiex Breakdown https://research.checkpoint.com/2019/phorpiex-breakdown/

  12. 【調査】92.63.197[.]190 VirusTotalでexeのダウンロード元を調査。 適当なexeを実行してみたところ Phorpiexらしきものを発見。 https://app.any.run/tasks/cf90a195-3b74-4cea-8283-5a2a669371f7/ 12

  13. 【分析】Phorpiex ベースURL hxxp://92.63.197[.]190 13 以下を順に取得する /1 /2 /3 /4 /5

    /6 各ファイルは時々によってなかったり、実行ファイル だったり、暗号化されている。 ファイルの中身はその時々によって異なる。 2, 3 は主にPhorpiexの更新ファイル。 その他には以下などを確認。 VNC Worm(5900/tcpへ通信するもの) Spam Bot(yahoo.comへ通信するもの) Coin Miner(vbsを実行するもの)
  14. 【分析】SpamBotの静的解析 14 MD5 通信先 添付ファイル 件名 45cb23abd4fff68ee50523b38cef4a11 04dc944092ba5235be7cd36febf9dd3f hxxp://92.63.197[.]190/jp/ PIC_526246_2020_jpg.vbs

    :) ;) :* :-) ;-) :-* :D :-D 8-) 8-D 4103fda71052907dea823d28d8ec3a4e f96139f47da1fe1a44006c795b0bb672 hxxp://92.63.197[.]190/jap/ hxxp://92.63.197[.]190/jpjp/ IMG4956432020_jpg.vbs :) :D ;) ;D :-) ;-) cbcc461966f7dd01b3837f39fdada93b hxxp://92.63.197[.]190/jp/ なし ※sextortion Videos of you - I recorded you - You got recorded -
  15. 【分析】SpamBotの動き ベースの通信先(hxxp://92.63.197[.]190/jp/ など)から以下を取得  /n.txt … 送信先リスト(1.txt ~ nn.txt)の数が記載されている  /nn.txt …

    送信先アドレスが複数記載されている  /a.vbs … 添付ファイル メールの件名は検体に記載されたものからランダムに選択 →送信先アドレスリストを確認すると、2019年の送信先アドレスリストと同等 15
  16. 【参考】Phorpiex SpamBot Sextortionメールを送信するPhorpiex Spam Module (packや難読化がされていないため読みやすい) f28a329f6fc609a328f69155f409702a https://app.any.run/tasks/4af12514-1f0e-4cff-9a4c-3848f8fb5590/ 通信先ベースURL hxxp://92.63.197.190/xess/

    件名 Videos of you - I recorded you - You got recorded - ※他のSpamBotのHashは主にVTから調査 16
  17. 【参考】Phorpiexの感染経路 PhorpiexへはRIG-EK経由で感染 (CheckPointの調査記事とも一致) https://twitter.com/FaLconIntel/status/1230488503290449920 17

  18. 【参考】その後のNemtyのばらまきメール 日本向けは1週間で終わり、標的は別に移った模様 https://www.bleepingcomputer.com/news/security/nemty-ransomware-actively-distributed-via-love-letter-spam/ 日時: 2020/02/26 件名: I love you など

    添付ファイル: LOVE_YOU _ ###### _ 2020.zip → LOVE_YOU.js 通信先: hxxp://92.63.197[.]190/nnn.exe ペイロード: Nemtyランサムウェア 18
  19. 【調査】まとめ 2019年の件名:顔文字メールからランサムウェアに感染させるばらまきメールと同一ア クターと考えられる 19 時期 2019/1-2 2020/2 類似性 件名 顔文字

    (後にI LOVE YOUや俳優名など) 顔文字 ほぼ同じ 本文 顔文字 顔文字 同じ 添付ファイル ファイル名にPICやIMGとついたzip。 中にはjsやvbs ファイル名にPICとついたzip。中 にはvbs ほぼ同じ マルウェア ランサムウェアGandCrabや CoinMiner、スパムボットPhorpiexな ど ランサムウェアNemty どちらもランサ ムウェアが含ま れる 通信先 92.63.197[.]48 92.63.197[.]190 /24が同じ 送信手法 スパムボットPhorpiex スパムボットPhorpiex 同じ 標的 主に日本 日本 同じ
  20. 参考情報 国立大学法人電気通信大学情報基盤センター(@itc_uec) の関連情報 https://twitter.com/itc_uec/status/1227498181895675909 https://www.cc.uec.ac.jp/blogs/news/2020/02/20200208malwarekaomoji.html NRIセキュア NeoSOC【検知】メール件名が顔文字の不審メール|ランサムウェアNemty https://www.secure-sketch.com/blog/suspicious-emails-with-emoticon-subject Nemty Ransomware

    Scaling UP: APAC Mailboxes Swarmed by Dual Downloaders https://www.lastline.com/labsblog/nemty-ransomware-scaling-up-apac-mailboxes-swarmed-dual-downloaders/ Phorpiex Breakdown https://research.checkpoint.com/2019/phorpiex-breakdown/ <2019年のPhorpiexからばらまかれた顔文字メール情報> 1/1-13の顔文字件名のスパムメールによるPhorpiex/GandCrabの調査まとめ https://sec-owl.hatenablog.com/entry/2019/01/14/234043 2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査 https://bomccss.hatenablog.jp/entry/2019/02/27/042405 「顔文字」、「LoveYou」スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行 https://blog.trendmicro.co.jp/archives/20392 Heartbreaking Emails: "Love You" Malspam https://isc.sans.edu/forums/diary/Heartbreaking+Emails+Love+You+Malspam/24512/ 20