読者です 読者をやめる 読者になる 読者になる

Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

Emdiviについて

Emdiviついて、解析の参考になりそうなことをネットで調べた。
観測された挙動・通信などの報告のまとめ。

概要

日本年金機構からの情報漏洩事件で有名になったRAT。 基本的には、今までのRATと同等の機能を備えている。

JPCERTによると2015年4-6月期(6/30現在)で、感染が確認されている組織は66組織。うち44組織がEmdiviとなっている。*1

2014年の標的型攻撃に最も使用されたRATは、この年に登場したEmdiviファミリーで全体の35%占めている。 昨年全体の23%とトップだったPoison Ivyは8%と大きく減少している。Plig Xは昨年の21%から32%と増加している。 これは、標的環境がWindows7を採用しているためだと考えられる。*2

またEmdiviは、特に日本を狙う標的型攻撃での使用が確認されているRATである。

以上から今、最も解析が求められているマルウェア検体だといえる。

感染経路・感染方法

今までの標的型攻撃と同様になりすましメールに添付されるケースが確認されている。 WordやPDFファイルのアイコンに偽造し、exeファイルを実行させる。 実行時には、ダミーファイルが開くようになっており、感染者に感染を気づかれないようにする。 メールやダミーファイルは、実組織のものに偽装しているが、フォントが中国語のものだったり、日本語がおかしい部分がある場合もある。 *3

Adobe FlashPlayerの脆弱性、CVE-2015-5119が利用されたケースがある。 これは、オブジェクト関数「valueOf」に含まれる「Use After Free(解放後使用)」の脆弱性で、VirtualProtect の呼び出しDEPを回避する。 Trend Microでは、ActionScriptを通じてVirtualProtectのエントリポイントを特定したうえで、実行可能なメモリ領域を設定し、そこにシェルコードを書き込んで実行することを確認している。

シェルコードでは、脆弱性を悪用するswfファイル内にzlibで圧縮されたexeファイルを、uncompressメソッドにより展開した領域のアドレスを渡す。これにより、ファイルを保存して実行させる。*4

VirtualProtect のエントリポイントを取得するための ActionScript (*4 トレンドマイクロ セキュリティブログより) f:id:pinksawtooth:20150819083505j:plain

挙動

md5を使用したハッシュ値をMutex名に使用する。*4

Emdiviがmd5値をMutex名に指定している呼び出し箇所 (*4 トレンドマイクロ セキュリティブログより) f:id:pinksawtooth:20150819084245j:plain  
Emdiviは耐解析機能を持っている。 感染したホスト名を検出し、一般的なsandboxで使用されている仮想マシンのホスト名一覧と比較することにより、sandboxによる解析を検出する。 他にも感染後は一定時間が経過しないと動作しないことで解析を妨害する。 以下の一般的な解析ツールの検出を行う。

  • OLLYDBG
  • W32DASM
  • WIRESHARK
  • SOFTICE
  • PROCESS MONITOR
  • PROCESS HACKER

EMDIVIによるsandbox検出(*4 トレンドマイクロ セキュリティブログより) f:id:pinksawtooth:20150819091545j:plain

EMDIVI が検出対象としている動的解析ツールの名称例(*4 トレンドマイクロ セキュリティブログより) f:id:pinksawtooth:20150819091904j:plain

Responder Proによる解析結果は以下のようになっている。*5

解析結果の挙動をまとめる。

  • HTTP GETリクエストを送信する
  • User-Agentをチェックする
  • 子プロセスを作成できる
  • リモートサーバからファイルをダウンロードして、実行できる
  • ランダムな名前の添付ファイルをTMPディレクトリに作成し、実行できる。
  • base64エンコード・デコードが可能。
  • MD5 hashを使っている
  • AESを使う
  • HTTP POSTリクエストを送信する
  • ファイルを削除する

Responder Proによるマルウェアの機能の簡易解析結果(*5 より) f:id:pinksawtooth:20150819100515p:plain

感染後にBrowserPasswordDump.exeと呼ばれるツールを利用し、ブラウザに登録されているパスワードとIDを抜き出すケースが確認されている。ms14-068.exeと呼ばれるWindowsドメインコントローラの脆弱性「MS14-068」を突き、権限昇格を行うツールの利用も多い。 *1

通信

C&Cサーバは国内の「co.jp」「.jp」などドメインで、日本のサイトが多い。 また小企業・個人が管理しているサイトを狙う。 日本国内の正規のサイトにC&Cサーバを置くことで、C&Cサーバとの通信を正規の通信に偽装する。

2014年5月に登場した当初のEmdiviは、HTTPのPOSTメソッドを使い、base64エンコードして通信を行っていた。 2014年8月に頃に確認されたバージョンでは、独自の暗号化を行った通信やHTTPのGETメソッド・HEADメソッドを使用した通信、取得したクッキー内にコマンドが含まれているパターンなど、様々な通信手法が確認されている。*2

f:id:pinksawtooth:20150819103003p:plain

不正コード内にニュースのヘッドラインのような内容を示す、日本語、英語の文字列が含まれていた。 この文字列のハッシュ値を、自身のコードを復号するための暗号鍵として使用する*2

EMDIVIがC&Cサーバから受信可能なコマンドとして以下の機能がある。 また、C&Cサーバから受信するコマンドは、平文ではなくmd5ハッシュ値を使用する。 *4

  • ファイルの検索
  • ファイルの削除
  • ファイルのダウンロード・アップロード・実行
  • 実行中のプロセス一覧の取得
  • Internet ExplorerIE)の認証パスワードとオートコンプリートの窃取
  • プロキシ設定の窃取(FireFox含む)

C2サーバからのコマンドをチェックするためにEmdiviが使用するmd5ハッシュ値(一部)

8dff5f89b87ebf91a1ecc1dbed3a6fbb: UPLOAD
74a9d3a81b79eec0aa2f849cbc8a7efb: GETFILE
4b8bb3c94a9676b5f34ace4d7102e5b9: GOTO
39cd12d51b236befc5f939a55218ad73: DOWNBG
d895d96bc3ae51944b29d53d599a2341: DOABORT
021321e8c168ba3ae39ce3a2e7b3ec87: VERSION
48bb700b80557ee2e5cf06c90ba6698c: SETCMD
ee93a0b023cef18b34ebfee347881c14: SUSPEND
67ca07ecb95c4055d2687815d0c0f8b9: LOADDLL

Responder Proを使用した、メモリ上に展開されたURLの抽出は、"http://www.s~~~~p.co.jp/images/index.php"(企業を特定できる部分については一部マスクを行っている)という日本国内の企業が所有するWebサーバのURLと思われる文字列が確認された。*5

攻撃を発覚させないため、通信を細かく分割して行うケースが確認されている。 *6