SQLデータベース内に潜むブラジルのバンキングマルウェア

システム管理者とユーザーは、長年スパムに悩まされ続けてきました。スパムには、「パフォーマンス強化」 薬品を売り込もうとしたり、怪しいWebサイトに誘導するものが多数あります。

しかしスパムの最大の用途として再び増えているのが、電子メールへの添付ファイルによるマルウェアの配信です。このテクニックは決してなくならず、先頃、Intel Securityでは、Webサイトの攻撃やWebの不正操作用キットなどの方法よりも、この配信方法を使用したマルウェアファミリの数が増加していることを確認しました。

以下のグラフは、電子メールでのマルウェア配信のテレメトリを示したものです。増減が多いのは、特定のマルウェアファミリを配信しているスパムキャンペーンがあることを示しています。最もまん延しているファミリは、ダウンローダー、パスワードスティーラ、そしてRansom-CTBやTeslaCryptを含むランサムウェアです。

Spam_telemetry_2

マルウェアが添付されたスパムのテレメトリ。数字はMcAfee Global Threat Intelligenceサービスによる1日あたりのクエリ数を示す。

最近のスパムキャンペーンのサンプルを分析する中で、少ないながらも興味深いマルウェアを発見しました。このマルウェアはVB.Netで作成されたパスワードスティーラとダウンローダーで、ブラジルのユーザーを標的にしています。

このダウンローダーの最大の特徴は、他のダウンローダーと違い、最終的なペイロードがURLに表れないという点です。この場合、マルウェアがMicrosoft SQLデータベース内にペイロードバイナリ全体を保存し、システム管理者がマルウェアのソースを特定しにくくします。

ユーザーマシン上で実行すると、ダウンローダーは侵入したデータベースサーバーに接続し、適切なテーブルにクエリを行って、クエリに対する回答から完全なペイロードを取得します。

Vb_net_code1

SQL接続を示すVB.Netコード

上記では、接続が確立されていることがわかります。ここで使用する接続は暗号化されていますが、クリアテキスト内の接続文字列に添付しているサンプルです。

Vb_net_code2

ペイロードをダウンロードするSQLクエリを示すVB.Netコード

上記では、New SqlCommand()というSQLコマンドが実行され、その直後のコードでファイルの結果が保存されていることがわかります。ここでは実行時に復号化されるファイル名で、ファイルが%TEMP%フォルダに保存されます。

クエリの実行:
   SELECT img FROM dbo.novosload WHERE id = ‘hone’

その後マルウェアがダウンロードされたサンプルをRunレジストリキー内にインストールし、リブート後に再起動し、メモリ内に留まります。

分析結果によると、このマルウェアはモジュール式のようです。ダウンローダーコンポーネントだけを含み、ペイロードのダウンロード後は何もしないでそのままメモリ内に留まるサンプルと、パスワードスティーラコンポーネントを含むサンプルがあります。

パスワードスティーラは以下を行うことができます。

  • ブラウザの資格情報を盗む:Facebook、電子メールサービス、その他、パスワードフィールドがあるあらゆる情報が標的になります。
  • G-Buster GbPluginの無効化:ブラジルではインターネットバンキングセッション中のユーザーを保護するための一般的な機能です。
  • インターネットバンキングセッション中にスクリーンショットを取得します。
  • 銀行の資格情報データを収集:ユーザー名、パスワード、デジタルトークン、パスワードカード。

他のモジュールにバンキング情報を取り込むためのあらゆる機能を含ませ、ブラウザキャプチャモジュールだけを含むサンプルを使って、これらの機能を個別に追加することができます。

マルウェアが収集したすべての情報もデータベースに保存します。以下の画像は一部のサーバーで見られる一般的なデータベースと、テーブル内のフィールドを示したものです。

Db_struct

マルウェアが使用するデータベース構造の例

これはバイナリペイロード(dbo.arq)と盗み出した情報が保存されたテーブルを示したものです。以下は感染したマシンに関する情報を保存したテーブルの1つです。コンピュータ名、Windowsバージョン、感染時刻、Internet Explorerのバージョン、マシンにインストールしているG-Busterプラグインのバージョンが含まれています。

Tbl_infect

感染したコンピュータに関する情報が保存されたテーブルの構造

各銀行は独自のG-Busterプラグインバージョンを持っているので、攻撃者は被害者が通常使用する銀行を把握することができます。

以下のテーブルにはバンキングセッション中に収集した情報が保存されています。

Tbl_info

インターネットバンキングセッション中に盗み出した情報を保存しているテーブル

このテーブルでは、アカウントにアクセスしているユーザーから取得したスクリーンショット、マウスクリックの「X,Y」座標値(バーチャルキーボードの場合に使用)、タイプされたパスワードとユーザー名、マシンに関する情報、およびバンキングセッション中にマルウェアが実行できたアクション(たとえばパスワードマトリックスカードからのトークンIDやデータの取り込み)に関する情報をマルウェアが保存します。

データベース内には、このマルウェアキャンペーンの黒幕に関する重要な情報も含まれています。バイナリペイロードが保存されたデータベース内のテーブルでは、各ペイロードのユーザーも特定しています。

Tbl_payload

各ユーザーに関連するバイナリペイロードが保存されたテーブル

このスクリーンショットでは、バイナリペイロード(実行可能ファイル)が保存されているテーブルがあり、それぞれにニックネームが付いています。ニックネームはこのマルウェアのサンプルのものとほぼ100%同じです。データベースにアクセスするためのパスワードの一部としても使用されます。

この情報と、検出したサンプルの分析から、この6つのニックネームがこのマルウェアの開発または配信の黒幕であるという結論に達しました。

デコンパイル済みのソースコードに含まれていた多くのサンプルから、作者と思われる存在が判明しました。この種のサンプルにはコード内に固定フィールドが定義されており、これをパスワードとして使用してコード全体の文字列を復号化しています。サンプルの中には値が変化するものもありますが、ほとんどはデフォルト値を使用しているようです。

Kayce

マルウェアのコードで検出された固定フィールドを示すVB.Netスニペット

多くのサンプルで、Kayce Buarqueまたはこの名前の一部がコードの他の部分に表れています。ただし、1つのサンプルでは、以下のようなおかしな文字列に値が変更されていました。

Fagner

サンプルの1つで使用された別のパスワードを示すスニペットコード

この文字列はポルトガル語で「ファグネルのFanatismoを聞け」という内容です。ファグネルはブラジルで人気のある歌手で、「Fanatismo」という曲が大ヒットになりました。

攻撃の指標

このマルウェアは主として電子メールの添付ファイルとして配信されます。ファイル名には金融関係のポルトガル語の一般用語が多く見受けられます。最近のキャンペーンでは以下のようなファイル名のパターンを検出しました。

  • Curriculum-Vitae-*.exe
  • Boleto*.exe
  • Anexo-ID*.exe
  • OrcamentoPDF*.exe

ワイルドカードの部分はフルネームや数値に置き換えることができ、日付が一般的です。

別の感染方法は、電子メール内のリンクを使用してユーザーにマルウェアをダウンロードさせるというものです。攻撃者は主にGoogle DocsやDropboxを使用して、悪意のあるサンプルを保存します。

実行されると、マルウェアはデータベースサーバーに接続します。このファミリの既知のすべてのサンプルが同じサーバーファームを使用しており、以下のドメインパターンを使用してアクセスします。

  •  Dbsq*.whservidor.com:1433
  • Whl*.whservidor.com <:80 or :443>
  • ftp*.whservidor.com:21

これらのドメインはブラジルのホストプロバイダであるUniverso Onlineに登録されています。

Whois

ハッキングの影響を受けるホストプロバイダの識別情報。これらのサーバーは攻撃されており、悪意のあるアカウントが作成されているようです。

この種のマルウェアサンプルに使用されたアカウントは長時間オンライン状態を維持しないため、おそらくプロバイダの同意なくハッカーが使用した攻撃済みのデータベースです。

マルウェアは以下の実行キーで自らインストールします。
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ファイルは以下のいずれかのフォルダ内に保存されます。

  • %TEMP%
  • %APPDATA%

(ここで%TEMP%はユーザーの一時フォルダを指します。Windows XP上では通常、C:\Documents and Settings\<username>\Local Settings\Temp、Windows Vistaとそれ以降のバージョンではC:\Users\<username>\AppData\Local\Tempです。%APPDATA%はユーザープロファイルフォルダで、XPではC:\Documents and Settings\<username>\Application Data、Vistaとそれ以降のバージョンではC:\Users\<username>\AppData\Roamingを指します。)

マルウェアが使用するファイル名は異なりますが、ほとんどの場合、以下のようにマシン名を含んでいます。

  • <machinename>.exe
  • new<machinename>XXX.exe

バイナリと同じ名前のファイルに拡張子.GLPを付けたものも、同じフォルダ内に一時データを保存するために作成されます。

当社は、このマルウェアファミリについてさらに詳しく調査しています。いつものように、十分なセキュリティプラクティスを実施し、セキュリティ製品を最新の状態にすることが一番の保護策です。電子メールで配信されるマルウェアの場合、以下の点に注意してください。

  • 送信元から依頼されない限り、.zip添付ファイルは絶対に開かないでください。電子メールヘッダを表示するか、別な電子メールを送信して送信元を確認してから添付ファイルを開きます。
  • 電子メールに組み込まれたハイパーリンクはクリックしないでください。この種の脅威は.zipの添付ファイルとして送信されることが多いので、悪意のあるWebサイトを閲覧するだけでダウンロードされてしまうことがあります。
  • 疑わしい電子メールを組織のセキュリティ運用センターに報告します。疑わしい電子メールを安全に提出できる先を、従業員に繰り返し伝えてください。

Intel Security製品を使用すると、この種の脅威は、PWS-FCBKとして検出できます。

※本ページの内容は McAfee Blog の抄訳です。

原文: Brazilian Banking Malware Hides in SQL Database

著者:ギリェルメ・ベネレ