Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
件名:顔文字のランサムウェアNemtyに感染するばらまきメールの分析
S-Owl
March 07, 2020
Technology
3
500
件名:顔文字のランサムウェアNemtyに感染するばらまきメールの分析
S-Owl
March 07, 2020
Tweet
Share
More Decks by S-Owl
See All by S-Owl
ハニーポッター流社会貢献
sec_s_owl
0
1.9k
ハニーポットログの 読み方(初級編)
sec_s_owl
0
1.8k
Other Decks in Technology
See All in Technology
OPENLOGI Company Profile
hr01
0
13k
OCI技術資料 : ロード・バランサー 詳細 / Load Balancer 200
ocise
2
7.3k
NGINXENG JP#2 - 2-NGINXの動作の詳細
hiropo20
1
150
オブザーバビリティのベストプラクティスと弥生の現状 / best practices for observability and YAYOI’s current state
yayoi_dd
0
300
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
shonansurvivors
0
280
ChatGPT for Hacking
anugrahsr
0
4.7k
Multi-Cloud Gatewayでデータを統治せよ!/ Data Federation with MCG
tutsunom
1
370
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
3
16k
立ち止まっても、寄り道しても / even if I stop, even if I take a detour
katoaz
0
1.3k
5分でわかるファストドクターテクノロジーズ
fast_doctor
0
270
初めてのデータ移行プロジェクトから得た学び
tjmtmmnk
0
430
CES_2023_FleetWise_demo.pdf
sparkgene
0
130
Featured
See All Featured
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
Building Flexible Design Systems
yeseniaperezcruz
314
35k
Documentation Writing (for coders)
carmenintech
51
2.9k
Designing for humans not robots
tammielis
245
24k
Facilitating Awesome Meetings
lara
33
4.6k
Web development in the modern age
philhawksworth
197
9.6k
Visualization
eitanlees
129
12k
Done Done
chrislema
178
15k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
Designing with Data
zakiwarfel
91
4.2k
The Power of CSS Pseudo Elements
geoffreycrofte
52
4.3k
Product Roadmaps are Hard
iamctodd
38
7.7k
Transcript
件名:顔文字のランサムウェアNemtyに感 染するばらまきメールの分析 2020/03/07 ばらまきメール回収の会 S_Owl / bomccss
【テーマ】本日のテーマ 件名:顔文字でランサムウェアNemtyに感染する ばらまきメールの分析結果を共有。 興味のある人向けにばらまきメールの 分析の一例も紹介。 2
【概要】件名:顔文字のばらまきメール情報 ▪日時 2020/02/08 - 2020/02/12 頃 ▪件名 8-) 8-D :)
:* :-) :-* :-D :D ;) ;-) ;D ▪本文 :-) ▪添付ファイル(XXXXXXは6桁整数) PIC_XXXXXX_2020.zip → PIC_526246_2020_jpg.vbs (MD5: 913e1ce18aa6c620dbf33eeecdbc1085 ) IMGXXXXXX2020_jpg.zip → IMG4956432020_jpg.vbs (MD5: 9c3d4bdfb97553dd7484c01235dc4c50 ) ▪通信先 hxxp://92.63.197[.]190/jp.exe hxxp://92.63.197[.]190/jap.exe ▪マルウェア種別 ダウンロードされるexeはランサムウェア Nemty 3
【順序】ばらまきメールの分析の流れ 1.観測 ばらまきメールの情報を入手する (CSIRT/SOC等であれば実際に受信する、 そうでなければ発信されている情報を入手する) 2.分析 メールの添付ファイルや感染するマルウェアを分析する (通信先やマルウェア種別を特定する) 3.対策 被害に合わない為の対策を実施する
(メールや通信先を遮断する) 4.調査 関連する情報の調査し、更に分析や対策を行う (同じキャンペーンや検体など) 4
【観測】ばらまきメールの情報の入手 例えば、@itc_uec から情報を入手する 件名、添付ファイル名、ハッシュがわかる 国立大学法人電気通信大学情報基盤センター 5 https://www.cc.uec.ac.jp/blogs/news/2020/02/20200208malwarekaomoji.html https://twitter.com/itc_uec/status/1227498181895675909
【分析】検体の分析 添付ファイルの名前やハッシュが分かれば、分析が可能。 まずは、オープンサンドボックスサイトなどを使って表層・動的解析する。 https://app.any.run/tasks/6b586a41-c597-4a44-a66d-d5665cebd901/ 6
【分析】動的分析 https://app.any.run/tasks/6b586a41-c597-4a44-a66d-d5665cebd901/ AnyRunを使ってわかること ・通信先 hxxp://92.63.197[.]190/jp.exe http://api.db-ip.com/ hxxp://nemty10[.]hk/public/gate.php ・ダウンロードされるexe md5: 27dba86c54407cb0e5891f2dacdc70ef
・exeの種類 Nemty ランサムウェア 7
【対策】IoCによる遮断・検知 簡易分析の情報を元に、遮断・検知を行う。 ・メールの件名による遮断 (業務メールに一致しない件名のため可能、計8個) ・マルウェア通信先の遮断 hxxp://92.63.197[.]190/jp.exe ・マルウェア通信先の検知(感染後の通信) http://api.db-ip.com/ hxxp://nemty10[.]hk/public/gate.php ・Nemtyの通信の検知
User-Agent: Naruto Uzumake 8
同じ「件名:顔文字」のばらまきメール が続く 添付ファイル(zipの中身) ダウンロードファイル 【調査】似た件名のばらまきメール 9 日付 ファイル名 ファイル MD5
2020/02/08 PIC_526246_2020_jpg.vbs 913e1ce18aa6c620dbf33eeecdbc1085 2020/02/11 IMG4956432020_jpg.vbs 43993f85037145ebc44cdbd994910377 2020/02/11 IMG4956432020_jpg.vbs f657b659f9d5eaefb926f25d340c67ea 2020/02/12 IMG4956432020_jpg.vbs 9c3d4bdfb97553dd7484c01235dc4c50 日付 ファイル名 MD5 2020/02/08 jp.exe 27dba86c54407cb0e5891f2dacdc70ef 2020/02/11 jap.exe 542bab6a93e8fbd7141975db19a59853
【調査】似た件名のばらまきメール 同じ件名:顔文字で日本向けにばらまれたメールが2019年にもあった。 https://sec-owl.hatenablog.com/entry/2019/01/14/234043 比較 10 時期 2019/1-2 2020/2 類似性 件名
顔文字 (後にI LOVE YOUや俳優名など) 顔文字 ほぼ同じ 本文 顔文字 顔文字 同じ 添付ファイル ファイル名にPICやIMGとついたzip。 中にはjsやvbs ファイル名にPICとついたzip。中 にはvbs ほぼ同じ マルウェア ランサムウェアGandCrabや CoinMiner、スパムボットPhorpiexな ど ランサムウェアNemty どちらもランサ ムウェアが含ま れる 通信先 92.63.197[.]48 92.63.197[.]190 /24が同じ 送信手法 スパムボットPhorpiex ? 標的 主に日本 ? 調査!
【調査】Phorpiex Phorpiexの仕組み スパムボットだけではなく 様々なモジュール群 調べたいのはSpamBot 11 Phorpiex Breakdown https://research.checkpoint.com/2019/phorpiex-breakdown/
【調査】92.63.197[.]190 VirusTotalでexeのダウンロード元を調査。 適当なexeを実行してみたところ Phorpiexらしきものを発見。 https://app.any.run/tasks/cf90a195-3b74-4cea-8283-5a2a669371f7/ 12
【分析】Phorpiex ベースURL hxxp://92.63.197[.]190 13 以下を順に取得する /1 /2 /3 /4 /5
/6 各ファイルは時々によってなかったり、実行ファイル だったり、暗号化されている。 ファイルの中身はその時々によって異なる。 2, 3 は主にPhorpiexの更新ファイル。 その他には以下などを確認。 VNC Worm(5900/tcpへ通信するもの) Spam Bot(yahoo.comへ通信するもの) Coin Miner(vbsを実行するもの)
【分析】SpamBotの静的解析 14 MD5 通信先 添付ファイル 件名 45cb23abd4fff68ee50523b38cef4a11 04dc944092ba5235be7cd36febf9dd3f hxxp://92.63.197[.]190/jp/ PIC_526246_2020_jpg.vbs
:) ;) :* :-) ;-) :-* :D :-D 8-) 8-D 4103fda71052907dea823d28d8ec3a4e f96139f47da1fe1a44006c795b0bb672 hxxp://92.63.197[.]190/jap/ hxxp://92.63.197[.]190/jpjp/ IMG4956432020_jpg.vbs :) :D ;) ;D :-) ;-) cbcc461966f7dd01b3837f39fdada93b hxxp://92.63.197[.]190/jp/ なし ※sextortion Videos of you - I recorded you - You got recorded -
【分析】SpamBotの動き ベースの通信先(hxxp://92.63.197[.]190/jp/ など)から以下を取得 /n.txt … 送信先リスト(1.txt ~ nn.txt)の数が記載されている /nn.txt …
送信先アドレスが複数記載されている /a.vbs … 添付ファイル メールの件名は検体に記載されたものからランダムに選択 →送信先アドレスリストを確認すると、2019年の送信先アドレスリストと同等 15
【参考】Phorpiex SpamBot Sextortionメールを送信するPhorpiex Spam Module (packや難読化がされていないため読みやすい) f28a329f6fc609a328f69155f409702a https://app.any.run/tasks/4af12514-1f0e-4cff-9a4c-3848f8fb5590/ 通信先ベースURL hxxp://92.63.197.190/xess/
件名 Videos of you - I recorded you - You got recorded - ※他のSpamBotのHashは主にVTから調査 16
【参考】Phorpiexの感染経路 PhorpiexへはRIG-EK経由で感染 (CheckPointの調査記事とも一致) https://twitter.com/FaLconIntel/status/1230488503290449920 17
【参考】その後のNemtyのばらまきメール 日本向けは1週間で終わり、標的は別に移った模様 https://www.bleepingcomputer.com/news/security/nemty-ransomware-actively-distributed-via-love-letter-spam/ 日時: 2020/02/26 件名: I love you など
添付ファイル: LOVE_YOU _ ###### _ 2020.zip → LOVE_YOU.js 通信先: hxxp://92.63.197[.]190/nnn.exe ペイロード: Nemtyランサムウェア 18
【調査】まとめ 2019年の件名:顔文字メールからランサムウェアに感染させるばらまきメールと同一ア クターと考えられる 19 時期 2019/1-2 2020/2 類似性 件名 顔文字
(後にI LOVE YOUや俳優名など) 顔文字 ほぼ同じ 本文 顔文字 顔文字 同じ 添付ファイル ファイル名にPICやIMGとついたzip。 中にはjsやvbs ファイル名にPICとついたzip。中 にはvbs ほぼ同じ マルウェア ランサムウェアGandCrabや CoinMiner、スパムボットPhorpiexな ど ランサムウェアNemty どちらもランサ ムウェアが含ま れる 通信先 92.63.197[.]48 92.63.197[.]190 /24が同じ 送信手法 スパムボットPhorpiex スパムボットPhorpiex 同じ 標的 主に日本 日本 同じ
参考情報 国立大学法人電気通信大学情報基盤センター(@itc_uec) の関連情報 https://twitter.com/itc_uec/status/1227498181895675909 https://www.cc.uec.ac.jp/blogs/news/2020/02/20200208malwarekaomoji.html NRIセキュア NeoSOC【検知】メール件名が顔文字の不審メール|ランサムウェアNemty https://www.secure-sketch.com/blog/suspicious-emails-with-emoticon-subject Nemty Ransomware
Scaling UP: APAC Mailboxes Swarmed by Dual Downloaders https://www.lastline.com/labsblog/nemty-ransomware-scaling-up-apac-mailboxes-swarmed-dual-downloaders/ Phorpiex Breakdown https://research.checkpoint.com/2019/phorpiex-breakdown/ <2019年のPhorpiexからばらまかれた顔文字メール情報> 1/1-13の顔文字件名のスパムメールによるPhorpiex/GandCrabの調査まとめ https://sec-owl.hatenablog.com/entry/2019/01/14/234043 2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査 https://bomccss.hatenablog.jp/entry/2019/02/27/042405 「顔文字」、「LoveYou」スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行 https://blog.trendmicro.co.jp/archives/20392 Heartbreaking Emails: "Love You" Malspam https://isc.sans.edu/forums/diary/Heartbreaking+Emails+Love+You+Malspam/24512/ 20