脅威のスポットライト: ロシアのユーザ以外を狙うAmadey ボット

By Masaki Kasuya

本ブログ記事は、2020年1月8日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

エグゼクティブサマリ

Amadey は2018年10月に初めて発見されたボットです[1]。主な機能は感染した環境の情報を収集し、追加のマルウェアを配布することです。

主な感染経路はRigEKやFallout EK[2]といったエクスプロイトキット経由です。BlackBerry Cylance によるモニタリングでは2019年の2月23日から3月1日及び4月18日から6月5日に情報搾取型マルウェアであるAZORult Infostealer[3]からAmadeyを拡散する傾向を確認しています。2019年の4月にはサイバー犯罪集団であるTA505がAmadeyを利用したことが知られています[4]

本記事ではAZORultを媒介として拡散したAmadeyの技術的な詳細を解説します。このキャンペーンの間、Amadeyの亜種が複数確認されています。本記事は1ヶ月近く利用されたDE8A40568834EAF2F84A352D91D4EA1BB3081407867B12F33358ABD262DC7182の詳細を調べています。

技術的解説

難読化

Amadeyは実行ファイルに難読化した文字列を含み、このサンプルでは図1のロジックに従い難読化を解きます。例えばC2サーバのドメイン名、dllファイルの名前、API名、アンチウイルスベンダーの名前などを難読化して保持しています。例えば “94 D6 CD CF 99 DA AD 92 CF CD 98 D7 96 AA A1 D6 AA A1 D6 94 C6 A6 CF” は下記のようにC2サーバのドメイン名に変換されます。
 ashleywalkerfuns[.]com.



図 1: Amadeyが使う難読化文字列を解くロジック

インストール

Amadeyは感染したコンピュータに表1で示すアンチウイルス製品が存在するかどうかを調べます。次に、自身を ”vnren.exe” として “C:\ProgramData\44b36f0e13\” にコピーします。その後、自身の実行を終了する前にコピーした実行ファイルを起動します。”44b36f0e13” のディレクトリ名は難読化された文字列としてAmadeyに埋め込まれているため、Amadeyのサンプルごとに異なる場合があります。

アンチウイルス製品名

対応するインデックス番号

AVAST Software

0x1

Avira

0x2

Kaspersky Lab

0x3

ESET

0x4

Panda Security

0x5

Doctor Web

0x6

AVG

0x7

360TotalSecurity

0x8

BitDefender

0x9

Norton

0xA

Sophos

0xB

Comodo

0xC

表 1: アンチウイルス製品名と対応するインデックス番号

AmadeyがNorton (0xA) もしくは Sophos (0xB) がインストールされていることを検知すると、”C:\ProgramData\44b36f0e13\” に自身のコピーを作成することを避けます (図2を参照)。 



図 2: Norton もしくは Sophos が存在する場合、Amadeyは自身のコピーを作成しない

永続性

Amadeyは永続性を保つためにAmadeyの実行ファイル (vnren.exe) を含むフォルダをスタートアップフォルダとして変更します。これは図3で示すようにレジストリの変更により実現します。


図 3: 永続性を保つためにAmadeyはスタートアップフォルダの変更をする

また、この段階でも再度Amadeyはインストールされているアンチウイルス製品を調べます。360TotalSecurity がインストールされている場合、この永続性を保つ処理は行われません (図4参照)。



図 4: 360 TotalSecurity が存在する場合、 Amadey は永続性を保つ処理を行わない

C2 通信

表2はAmadeyがC2サーバに送信するパラメータの一覧です。

Key

Value

id

“Volume Serial Number” に基づいて計算される ID

vs

Amadey のバージョン

ar

管理者権限で動作している場合1、そうでない場合は0

bi

64 bit 環境: 1
32 bit 環境: 0

lv

0 の場合、追加のマルウェアをインストールする

os

OS バージョン。Windows 7 の場合 9

av

表1を参照、該当しない場合は 0

pc

GetComputerNameA APIから得られるコンピュータ名

un

GetUserNameA API から得られるユーザ名

表 2: AmadeyのPOSTパラメータ

Amadeyは60秒ごとにC2サーバに以下のパラメータを送信します (図5参照)。


図 5: HTTP POSTリクエストのサンプル

図6のようにAmadey のC2サーバはマルウェアを保存しているURL のリストをレスポンスとして返します。AmadeyはそのURLから追加のマルウェアをダウンロードして実行します。


図 6:レスポンスのサンプル

本記事のドラフト執筆時には、図7のようにAmadey管理者ツールのログインページを確認できました。


図 7: 稼働していたAmadey管理者ページ

Amadey 管理者ツール

一時期公開されていたAmadey管理者ツールのソースコード[5] から、その機能を把握するためにテスト環境にツールをインストールし調査を行いました。調査の結果、下記の機能を有することが判明しました。

  • 感染したコンピュータに関する統計情報の表示 (図 8)
  • 感染したコンピュータのリストの表示 (図 9)
  • 追加のマルウェア配布に関する管理パネル (図 10)
       ◦  感染したコンピュータのIPアドレスがロシアに属していることが判明すると 悪意ある動作をせず実行が終了する (図 11)


図 8: 統計情報


図 9: 感染したコンピュータのリスト


図 10: タスクの作成


図 11:感染したコンピュータがロシアにあることが判明すると悪意ある動作を実行しない (一部のコードを削除)

AZORult を経たAmadeyキャンペーン

BlackBerry Cylance はAZORultを経た2つのAmadeyの拡散キャンペーンを観測しました。最初のキャンペーンは2019年2月23日から3月1日にかけて (表3を参照)、2回目のキャンペーンは2019年4月18日から6月5日にかけて観測できました(表4を参照)。下記の特徴から同一の攻撃者により実施されたことが推測できます。

  • 同一バージョン (v1.09)
  • ファイル名の先頭が “ama” 始まる
  • 自分自身のコピーを作成する際の名前が“vnren.exe”
     

SHA256

URL

日付

b23c8e970c3d7ecd762e15f084f0675c
b011fc2afe38e7763db25810d6997adf

hXXp://www[.]llambrich[.]com/ama[.]exe

Feb. 23 2019 - Feb. 24 2019

e1efb7e182cb91f2061fd02bffebb5e4
b9a011d176a6f46e26fc5b881a09044f

hXXp://motorgalicia[.]es/amad[.]exe

Feb. 25 2019 - Mar. 1 2019

表 3: otsosukadzima[.]com (AZORult C2 URL) からのAmadey キャンペーン

SHA256 (Amadey)

URL

日付

5f581635e962eae615827376b609d34a
cd6b01d0572e51f2fe7b858d82119509

hXXp://2[.]59[.]42[.]63/amad_orj_pr[.]exe

Apr. 18 2019

3df371b9daed1a30dd89dabd88608f64
b000b6dddff3a958bf0edbd756640600

hXXp://2[.]59[.]42[.]63/amad_yo[.]exe

Apr. 18 2019 - Apr. 20 2019

de8a40568834eaf2f84a352d91d4ea1b
b3081407867b12f33358abd262dc7182

hXXp://ashleywalkerfuns[.]com/ama_orj_pr[.]exe

Apr. 25 2019 - May. 21 2019, May. 28 2019 – Jun. 5 2019

表 4: kadzimagenius[.]com (AZORult C2 URL) からのAmadey キャンペーン

まとめ

Amadeyは新しいボットの一種であり、BlackBerry Cylanceは情報搾取型マルウェアのAZORultを経て拡散キャンペーンが行われていたことを観測しました。Amadeyの管理者ツールのコードを分析したところ、Amadeyに感染したコンピュータがロシアに存在する場合、追加のマルウェアをダウンロードしないことが判明しています。

Blackberry CylanceのAIは、百万を超えるファイルの脅威の特徴に基づいて様々な脅威を特定できるようトレーニングされています。Blackberry Cylanceのセキュリティエージェントは、マルウェアのDNAに基づいて脅威を特定し、防御します。予測防御 により既知及び未知の脅威から保護する Blacyberry Cylanceはあらゆるマルウェアから様々な特徴を学習し、Amadey を検出することができています。 

CylancePROTECT® をご利用中のお客様は、BlackBerry Cylance の機械学習モデルによってこの攻撃から既に防御されています。詳しくは  こちらを御覧ください。
 

 

付録

侵入の痕跡(IoC)

  • SHA256
       ◦  DE8A40568834EAF2F84A352D91D4EA1BB3081407867B12F33358ABD262DC7182
       ◦  3DF371B9DAED1A30DD89DABD88608F64B000B6DDDFF3A958BF0EDBD756640600
       ◦  5F581635E962EAE615827376B609D34ACD6B01D0572E51F2FE7B858D82119509
       ◦  E1EFB7E182CB91F2061FD02BFFEBB5E4B9A011D176A6F46E26FC5B881A09044F
       ◦  B23C8E970C3D7ECD762E15F084F0675CB011FC2AFE38E7763DB25810D6997ADF  
  • 自身をコピーする時のファイル名
       ◦  vnren.exe    
  • C2s/IPs
       ◦  Amadey ダウンロードURL
               ▪  hXXp://ashleywalkerfuns[.]com/ama_orj_pr[.]exe
               ▪  hXXp://2[.]59[.]42[.]63/amad_yo[.]exebr
               ▪  hXXp://2[.]59[.]42[.]63/ama_orj_pr[.]exe
               ▪  hXXp://motorgalicia[.]es/amad[.]exe
               ▪  hXXp://www[.]llambrich[.]com/ama[.]exe
       ◦  Amadey の通信先
               ▪  hXXp://ashleywalkerfuns[.]com/2hYbb4x/index[.]php
               ▪  hXXp://otsosukadzima666[.]com/d55fVb7H/index[.]php
       ◦  Amadey 管理者ツールのログインURL
               ▪  hXXps://ashleywalkerfuns[.]com/2hYbb4x/login[.]php

  • 永続性

    REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v Startup /t REG_SZ /d C:\ProgramData\[THE FOLDER NAME WILL BE VARY FROM SAMPLE TO SAMPLE]
    (感染したコンピュータにNorton もしくは Sophosがインストールされている場合、Amadeyは永続性を保つための処理を行いません。)

    引用

    [1] https://pastebin.com/U415KmF3
    [2] https://www.malware-traffic-analysis.net/2019/02/28/index.html
    [3] https://threatvector.cylance.com/en_us/home/threat-spotlight-analyzing-azorult-infostealer-malware.html
    [4] https://medium.com/@1ZRR4H/ta505-intensifica-ciberataques-a-chile-y-latinoam%C3%A9rica-con-flawedammy-9fb92c2f0552
    [5] https://github.com/prsecurity/amadey


    著者について

     

  •  

     

     

     

     

     

     

    Tags: