みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

商用ツールRecoms RATを利用した新型コロナウィルス対策を装うマルウェアについて

f:id:micro_keyword:20200228205333j:plain:w400

CoronaVirusSafetyMeasures_pdf.exeという名前、つまり「コロナウイルス安全対策」という名前のファイルを用いて、標的の端末にRemcos RATとマルウェアペイロードをダウンロードさせようとする攻撃活動が観測されています。

本攻撃の観測は、ヨーロッパのMSSP(Managed Security Service Provider)であるYoroiというベンダーのブログにて公開されました。

blog.yoroi.company


目次


マルウェアの動作

オンラインファイル共有ストレージの利用

発見されたマルウェアの名前はCoronaVirusSafetyMeasures_pdf.exeです。

このマルウェアは、Remcos RATのドロッパーであり実行後、dmca.gripeというオンラインファイル共有ストレージへHTTPSで通信します。

https://lh5.googleusercontent.com/ZD4MPtouQ2-nNhfk2jPpVF0nKmHmCzaWssswBwz7_Lhb3ajXfGCxQ2tcvnE9ewNZN7D7Z-lEt-dV9aUv_UdWykafstxE7z4hq5VXULkdDj2l9JJZN0Vw9lABqllBBst6pLj0--c

https://lh5.googleusercontent.com/PNoQgwK6hrMnW0Cw-DLsQ808yOg-q03ZbnezfdD30-f7sUYn4I66rT5p1iDHgaB2Zhkv9I1seVZRSESSuBWe0F4hywyzM8stqtmijqgHxwXNClNxupSs67Q65tpMlaTH9toho78

このファイル共有サイトから落とされるファイルは、「filename1.vbs」と「filename1.exe」で、C:\Users\\Subfolder 配下にダウンロードされます。

Remcos RATの実行

本体は、このfilename1.exeでありRemcos RATになります。

一方、filename1.vbsはfilename1.exeを実行するために利用され、filename1.vbsはRunOnceレジストリキーに記録されるため、再起動後も同ファイルが実行されるような仕組みになっています。

https://lh6.googleusercontent.com/aCP5x4dsLioAISrUQtRRqvChBDSkF5WFd43VyOiwaNwStQF3f7UGDuTdAwjJinC8mMqreBmevkNW0epiM0hRKBIsRykW2N0d83kl1_vzmE_DX1lrGDJVunWKPgVB1_osGmkUcCI

https://lh3.googleusercontent.com/6EmNMjOqZXGwQDYijQp9_6CKVKW1rGMPq-Sto8F84l0J-ZE9X9NX8bDJr1AfH-aSF2MxAF2twKSQ9lzlEfzN2YZCNi9vJHmSOYG-fqiJSDgTPRQ4zrP0uuFYnHAW10f_7TToqRc

キーボード入力情報の窃取

そして、このRATの実行後、端末のキーボード入力情報をlogs.datに記録し、“%AppData%\Local\Temp\onedriv”に保存します。

onedrivは、onedriveに見せかけている感じですね。

https://lh4.googleusercontent.com/0TPPsvd52JprGhnIjsjNj-Qo3Q5if8OetDF4rp6DLavMmvky5Ghw8dPqKSRKZ2DsIW2F7OqzwMrQBmInsOzyGYWbPAJ7jPwjomEUzYz6pMDfw2GA3OqNgU1ReXhpXCRSHgynDBI

そして、最終的に攻撃者が用意したC2サーバへと送信します。

一連の流れを図にしたものが以下になります。

https://i2.wp.com/blog.yoroi.company/wp-content/uploads/2020/02/Screenshot-from-2020-02-25-10-34-38.png?w=658&ssl=1

図にある通り、Yoroiのリサーチャーは感染の契機となるのは、フィッシングメールに添付されたファイルだと推測しています。

簡易分析の結果については、INTEZER Analyzeにも上がっていたので、興味がある方はご確認ください。

https://analyze.intezer.com/#/files/c9c0180eba2a712f1aba1303b90cbf12c1117451ce13b68715931abc437b10cd/sub/f545b8f4-8761-4dfb-953a-9998caf195a4


商用ツールRecoms RATについて

まさに、サブタイトルの通りなのですが、今回紹介したRecoms RATは元々商用のツールで、Breaking Securityという会社が開発・販売しています。

https://breaking-security.net/remcos/

書いてあることは、「遠隔から端末が操作できるよ。」みたいなことなのですが、開発者は、全ての機能がセキュリティを守るためだと位置付けています。

以下のブログ記事のコメントによると、開発者は以下のように述べています。

  • Regarding the legality question: I don’t know where you live, but here in Europe what I am developing and selling is perfectly legal.(貴方の住んでいるところの話は知らないけど、ヨーロッパにおいて私の開発および販売は完璧に合法だ!)
  • Then still you forget that our focus is on legal administration and surveillance, we don’t aid cybercriminals as you state.(私たちは法的な管理下ないし監視下にあるため、サイバー犯罪の支援は行いません!)
  • Actually, what you did is a criminal offence by european laws, which is called defamation towards a company.(なんなら、貴方がやっていること自体、欧州における法の下では攻撃的犯罪であり、名誉毀損だと言える!)
  • If you need any other clarification, we are always available. 🙂(もしこれ以上に説明が答えられるなら、いつだって答えます!)

krabsonsecurity.com

なんだか、子供みたいな返しな気がしてしまいますが。。。

ちなみにこの後も議論は続きますが、なんとも。。。

ちなみに、値段は以下のサイトの通り、€58.00 – €389.00の価格帯で、その使用範囲によって異なります。

日本円で言うと7,000円から47,000円程度ですね。

breaking-security.net

商用のツールというと、他にはCobaltStrikeなどが挙げられます。

同ツールは、標的型攻撃にも用いられており、先日話題になったTickグループの利用や先週ブログに記載した、Winntiなどで利用が確認されています。

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com


Recoms RATを用いた最近の攻撃

こちらも本日のブログ記事にはなるのですが、TrustwaveのSpiderLabsブログによると、画像ファイルに含まれる暗号化されたDLLを読み込むことで最終的にRemcos RATが実行される攻撃も確認されています。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4e9357f200d-800wi

こちらは、社内にセクハラがあることを同僚に伝えるメールから始まり、 添付ファイル(Zipファイル)を開くとファイルが展開され、最終的にはRemcos RATとNetwireを落とします。

詳細が気になる方は、記事をご覧になってみてください。


まとめ

今回は新型コロナウィルス関連のマルウェアという切り口から商用ツールの攻撃利用について少し書いてみました。

個人的にはこういったツールの正規利用っていうのがどうも腑に落ちないですが、逆に不正であるという根拠になる基準を決めるのも極めて難しいんだと思っています。

ただ、セキュリティ運用をするなかで、どう考えても使わないツールに関しては、プロセス監視の中でアラートをあげるなり、端末にプログラムの実行制御をかけるなりで防ぐ術もあるように感じます。

こういった本当の意味での"運用でカバー"の例をもっと知りたいな~なんて思う今日この頃でした。