2020年9月に落ちてきたEmotetらしき検体の解析メモです。

 

プライベートの時間しかとれない＆割と忙しいため、まーだパッカー（と判断している部分）しか見ていません（遅い・・・遅すぎるよ・・・）。

ただ、このパッカーは、アンチウィルス回避のためのギミックの理屈は分かったのですが、その仕組みゆえに素読みがしづらく、動かしてみないと分かりづらいということが時間がかかっている理由の一つとしてあります。

 

また、時間がかかっているもう一つの理由として、パッカー部とみている箇所にも関わらず、通信を行おうとしており、そのためのPCからの情報収集、暗号鍵の作成、隠された公開鍵の復号化、暗号化処理とその通信データ化の処理を、わりと真面目に追ってしまっている、ということも理由の１つです。

 

現在解析している検体をIDAで解析したところ、IPアドレス指定で93IPとの通信を試みていることを確認しました。

うち、いくつかは2020年10月17日現在で通信できる可能性があります。

以下に確認できた結果をメモしておきます。

 

 

検体のハッシュ値：

MD5：
46A69F3FBCD669B05BD2FB2D82E85A57
SHA-1：
D101F7C5642F4BA5BBDDA2EE85979FF97B8CFD13
 

 

 

IDAの解析で、通信しようとしていることを確認できたIPアドレスは以下の通り。

うち、HttpSendRequestWで通信に成功していたIPアドレスには右側に「〇」を付与。

 

 

当該検体で通信を試みたIPアドレス一覧

（うち、HttpSendRequestWで通信に成功したものに〇を付与）

118.243.83.70
5.189.168.53
162.241.41.111
190.85.46.52 〇
95.216.205.155
50.116.78.109
54.38.143.245
113.160.248.110 〇
115.176.16.221 
223.17.215.76 〇
202.188.218.82
172.96.190.154
139.59.12.63
181.95.133.104
74.208.173.91
202.166.170.43
185.142.236.163
198.57.203.63
185.86.148.68
88.247.58.26
67.121.104.51
167.71.227.113
117.247.235.44
37.187.100.220
75.127.14.170 〇
45.177.120.37
79.133.6.236
178.33.167.120
179.5.118.12
113.161.148.81
14.241.182.160
180.26.62.115
190.194.12.132
187.189.66.200
5.79.70.250
37.46.129.215
126.126.139.26 〇
76.18.16.210
78.114.175.216
202.153.220.157
192.241.220.183
103.133.66.57
220.147.247.145
116.202.10.123
192.210.217.94
46.32.229.152
37.205.9.252
190.101.48.116
41.185.29.128
46.105.131.68
113.193.239.51
119.92.77.17 〇
162.144.42.60
139.59.61.215
41.212.89.128
181.137.229.1
185.208.226.142 〇
103.93.220.182 〇
192.163.221.191
103.80.51.61
103.48.68.173
138.201.45.2
86.57.216.23
36.91.44.183 〇
103.229.73.17
182.227.240.189
91.75.75.46 〇
37.210.220.95
182.253.83.234
128.106.187.110
58.27.215.3
157.245.138.101
190.190.15.20
115.79.195.246
77.74.78.80 〇
195.201.56.70
203.153.216.178
8.4.9.137
2.144.244.204
113.156.82.32
120.51.34.254 〇
80.200.62.81
200.120.241.238
91.83.93.103
157.7.164.178
181.122.154.240
143.95.101.72
115.78.11.155
51.38.201.19
60.125.114.64
49.243.9.118
189.150.209.206
172.105.78.244

 

 

以下、私の小並感：

• このIPアドレスを全てIoCにすることは非推奨。
• 理由として、通信が確立していないIPは、ダミーか対応済みの可能性が考えられるため。
• 過去の通信ログから、可能性のある通信を広めに調査する場合に利用する程度。
• このIPアドレスのうち、〇が付いているものは、検知対象とすることは可能と考えられる。
• ただし、あくまでHttpSendRequestWの通信が1回成功したことまでしか確認していないため、これをもってC&Cサーバと断定して良いかは一考。
• 理由として、この先の通信処理が未解析のため、単に関係ないサーバがリクエストの受信は受け付けた、という可能性は残される。
• もっとも、マルウェアと判断されたプログラムと通信を確立してしまうのは気持ち悪いことは確かであるため、厳しめにみるなら〇が付いているIPアドレスの通信を遮断することも一考の余地あり。
• 攪乱・検知回避のため、Fast Fluxの可能性も考慮する必要がある。このため、今回通信できたIPも短時間一時的に成功していただけの可能性も考えられる。
• なお、この時のHttpSendRequestWのパラメータは、ユーザエージェントとAES暗号鍵を細工した上でhttpのストリームデータに変換したもの。
• 別の日に実行したところ、やはり繋がらなくなっているサイトもあり(2020/10/19追記)。
• 仮に繋がったとしても、HttpQueryInfoWでHTTPステータスを受け取った結果が「200」でなければエラーとこのマルウェアは判定しているため、HttpSendRequestWの通信が成功したからといってC&Cとは限らない模様(2020/10/19追記)。
• 75.127.14.170からは2020/10/18にInternetReadFileでデータを受信できたので、これは解析結果によってはガチかもしれない(2020/10/19追記)。

 

・・・そして、受信データをCryptDecryptで復号したら成功し、中身に実行プログラムが含まれている模様。

当たりを引いたっぽい。

復号結果は0x05432058～だが、0x05432070～がMZヘッダになっており、よく見る実行プログラムになっている。

つまり、このマルウェアはドロッパ。

新たなコードは、インターネットに繋がりさえすればダウンロードするようになっている（少なくとも私の解析では）。

 

 

 

なお、通信可能だったIPアドレスについてまとめると以下のとおり。

特に地理的、所属的な共通性は無いようにみられます。

また、単純にHTTPで繋がるだけで、C&Cではないサーバも含まれているようです(2020/10/19追記)。

• 190.85.46.52　（コロンビア）
• 113.160.248.110　（ベトナム）
• 223.17.215.76　（中国・香港）
• 75.127.14.170　（アメリカ）
• 126.126.139.26　（日本）
• 119.92.77.17　（フィリピン）
• 185.208.226.142　（ハンガリー）
• 103.93.220.182　（フィリピン）
• 36.91.44.183　（インドネシア）
• 91.75.75.46　（アラブ首長国連邦）
• 77.74.78.80　（ロシア）
• 120.51.34.254　（日本）

 

 

通信データは、ランダムに作られているパラメータと、予めマルウェア内に用意されていて、暗号化されているパラメータがあります。

 

特に、AES暗号鍵のほか、それをバイナリ化して送信データとするときのboundaryの文字列も毎回ランダムで作っています。

このため、これらは検知のためのIoCには向きません。

 

一方、ユーザエージェント等の文字列は、マルウェア内にある暗号化されたデータを復号化したものでした。

IoCにした場合、本物のブラウザ通信と混同して誤検知する可能性はありますが、一応このマルウェアから発見された復号化されたユーザエージェント等のパラメータを記しておきます。

 

このマルウェアがhttp通信する際の固定パラメータ

User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer: %s/%s
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=%s

 

このパラメータのうち、「%s」の部分は置き換えられることに留意してください。

置き換えのルールは、Refererの前半部分は通信先のIPアドレス、後半はランダムな文字列、boundary=の部分もランダムに生成されるバイナリの識別用パラメータです。

 

 

一方、マルウェアが作成・収集しているパラメータは、Refererやboundaryで用いるランダムな文字列のほか、AES暗号鍵、コンピュータ名、プロセスのリストなどがあります。

 

AES暗号鍵はデータを前後逆転させた後に、マルウェア内に暗号化して隠されていた公開鍵で暗号化し、HttpSendRequestWで送信していることは確認しています。

 

また、コンピュータ名、プロセスのリストは、若干の細工をした後、AES鍵で暗号化していることは確認しています。

こちらは送信するものと予想されますが、まだ送信したところを確認したわけではないため、断定は控えます。

 

コンピュータ名、プロセスリストをC&Cに送っている場合、恐らくそれらの情報から、解析環境かどうかを判定する、使用しているセキュリティ製品を把握する、といった挙動をするのではないかと思われます。

パッカー部分の機能ですが、場合によってはC&Cから処理を中止する等のコマンドが送られてくるのかもしれません。

サーバ側の分析は難しいものの、そういったテクニックを使っていないかという観点を持って分析する必要があるでしょう。

 

 

以上が、分析時に見られた通信の状況（ただし序盤のみ）です。

Emotetの本体も分析してみたいところですが・・・C&Cサーバがまだ生きているなら、通信先が生きているうちに、通信関係の分析をしておいたほうがいいんでしょうねぇ。

ああ、時間が足りない足りない・・・。