システムを感染させるためにマルウェアが使うPowerShell

システムを感染させるために攻撃者が利用する最も一般的な手法の一つは、eメールです。そしてこのeメールによる攻撃でよく使用されるマルウェアは、ランサムウェアやバンキングマルウェアです。

私たちは最近、次のようないくつかの興味深く巧妙な変化を発見しました。

  • 悪意のある実行ファイルが埋め込まれた添付ファイル
  • 悪意のあるマクロが含まれたMicrosoft Officeドキュメント。このマクロが実行されると、ランサムウェアやバンキングマルウェアがダウンロードされます。
  • WindowsのWscriptにより実行される、例えばLockyなどのランサムウェアをダウンロードするJavaScriptファイル

私たちはrarファイルが添付される最近のeメール攻撃の1つを分析しました。このrarファイルの中に、私たちは.Inkファイルを見つけました。そして、Inkファイルは第2段のマルウェアをダウンロードするため、PowerShellを使うことがわかりました。

.lnkファイルについて見てみましょう。

01imagen1_2

.lnkファイルの特徴

.lnkファイルの調査時、私たちは次のコマンドを発見しました。

02imagen11_4

PowerShellの実行

このコマンドは.lnkファイルの起動時に実行されます。

03sintituloa_2

コマンドの実行

.lnkファイルは次のような動作をします。

  • 非表示のウィンドウを開きます。
  • 次のドメイン、http://anonfile[.]xyz/f/7f58d7dddec4b72bab0fb27cd852593e[.]exe からファイルをダウンロードします。
  • このファイルは、「windows.scr」という名前で%TEMP%フォルダの中に保存されます。
  • ダウンロードされたファイルが実行されます。

次のようにファイルを直接取得することもできます。

04imagen12

.lnkファイルを実行せずにファイルを取得する

ダウンロードしたマルウェアの分析

引き続き分析中です。

05imagen14

ファイルの実行

%TEMP%フォルダにダウンロードされたwindows.srcファイルは、コマンドプロンプト(cmd.exe)で実行されます。

マルウェアは実行している間、感染したマシンにいくつかの変更を加えます。これらの変更は、システムを再起動しても消えません。設定が消えないメカニズムは、schtasksコマンドを使用して、自動実行するタスクをシステムに作成しているからです。

バイナリデータを調査すれば、次のような特性がわかります。

06imagen15

ファイルの特性

このマルウェアは.NETの難読化ツールであるSmart Assemblyで保護されており、マルウェアのリバースエンジニアリングが困難なほか、より多くの情報を簡単に抜き取ることができます。

私たちはさらに多くの特性を把握するため、マルウェアをロードしました。

07imagen16_2

ファイルのプロパティのさらに細かい部分である関数やメソッドは難読化されていました。

多くのサンドボックスシステム上では検知できないPowerShell.lnkの組み合わせ

一部の企業やセキュリティ研究者は、クローラーやその他の手段を利用して自動的にマルウェアの分析を行っています。私たちは、いくつかの有名なサンドボックス上でこのマルウェアを実行し、ふるまいの観察を試みました。しかしこの分析は、以下に挙げたいくつかの理由により失敗に終わりました。

  • サンドボックスがPowerShellに対応しておらず、.lnkがマルウェアをダウンロードできなかった。
  • サンドボックス内で.lnkの実行を試みたが失敗した。
  • サンドボックスが.lnkファイルをサポートしていなかった。

このように実際のサンドボックス環境では失敗するかもしれないため、該当のファイルが悪意のあるものかどうか断定できません。

以下は、実行時に発生するエラーの1例です。

08error768x581

理想的なシナリオとしては、PowerShellに対応しており、.lnkファイルを実行すると悪意のある動作を確認できるサンドボックス機能を搭載したマシンを準備することです。

防御策

このタイプの脅威から企業や組織を守るには、複数の防御策の組み合わせが効果的です。

  • 管理用テンプレート(Administrative Templates for Windows PowerShellを使用して、PowerShellを実行するためのポリシーを変更する
  • 署名のあるPowerShellスクリプトのみ実行を許可する
  • %TEMP%フォルダ内に不明な.exeファイルの保存を許可しない
  • 不明な.exeファイルの実行を許可しない
  • AppLockerなどのWindowsの制限機能を適用する

これにより、感染したマシンやネットワーク上で悪意のある活動が実行される際の複数のサインを検知し、組織へのマルウェアの侵入を防御し、将来発生するであろう同様の脅威への対抗手段となります。

私たちは、このマルウェアがIPアドレス174[.]127[.]99[.]183に接続しに行くことがわかりました。このアドレスはアメリカのIPアドレスであり、「Virus Total」(訳注:Google傘下のウイルスチェックサービス)を使用して確認した結果、以下のような別の悪意のある活動の存在がわかりました。

09imagen17 

Virus Totalの結果

調査を行った後、発見したセキュリティ侵害のサインを利用して対策を講じることが可能です。

この分析で使用したハッシュは次の通りです。

  • 846e9c0631139cfdcbf270f8bdc08cdd39e9a89d
  • 6c41bf5ead73e98c56397c37114f2c5a46fd2640

※本ページの内容は2016年3月24日更新のMcAfee Blog の抄訳です。

原文: Malware Employs PowerShell to Infect Systems
著者: Marc Rivero López

【関連情報】