Silence – a new Trojan attacking financial organizations (SECURELIST、Kaspersky)
元記事URL: https://securelist.com/the-silence/83009/
抄訳。
Silenceとは
Silenceという金融機関をターゲットにした標的型攻撃が観測された
ターゲットとなっている国はほとんどがロシアの銀行だがマレーシアやアルメニアの金融機関でも感染が見つかっている
手口
長期間銀行のネットワーク内部に居座り続け、行員のPC上での操作を動画で記録する
業務がどのように行われているか、どのようなソフトウェアが使われているかなどを把握し、どうすれば最もお金を窃取できるかを把握する
- まず、口座開設を装うスピアフィッシング型メールで初期感染を狙う。メール送信元は既に感染した従業員のアドレスが使用されるため不審なメールには見えない。
- ここで使われる感染を引き起こす添付ファイルはWindowsヘルプファイル(拡張子 .chm)
- chmファイルの中身はHTMLで、そこに含まれるJavaScriptコードによってVBSファイルのダウンロードと実行が行われ、次のステージに進む
- VBSスクリプトはドロッパー(マルウェアをダウンロードするためのモジュール)であるWin32実行ファイルをダウンロードする
- ドロッパーはC&Cサーバー(制御用サーバー)に対してHTTP GETリクエストで端末のIDを知らせたのち、最終感染のためのペイロードをダウンロードし、実行する
- ペイロードはスクリーンのロード(閲覧?)やデータアップロードなど複数のモジュールからなる
- 当該ペイロードモジュール(監視&制御モジュール)は、Windowsサービスとして登録される
監視&制御モジュール
- サービスとして登録される時の名前は"Default monitor"
- 初回起動後、名前付きパイプ "\\.\pipe\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}" を作成する。この名前付きパイプは複数のモジュールのプロセス間通信でデータ共有のために使用される
- "mss.exe"という名前のバイナリファイルを生成し、Windowsのテンポラリディレクトリに保存、後にCreateProcessAsUserA関数を使って起動する。このバイナリはリアルタイムの画面上の操作記録を行う
画面操作収集モジュール
- Windows GDIとWindows APIを使用して画面操作を記録する
- 関数はCreateCompatibleBitmapおよびGdipCreateBitmapFromHBITMAP
- 元はbitmapデータだが名前付きパイプにデータを書き込んでいって疑似的な動画ストリームが作られる
- C&C通信モジュールも他のモジュールと同様Windowsサービス
- サービス初期化後、必要なWindows API関数名を復号し、LoadLibraryでロード、GetProcAddressを使用してどのアドレスあるか特定する
- WinAPI関数のロードが成功したら、ハードコードされたIPアドレス"185.161.209.81"にバックコネクトする
- C&Cサーバーに対して自分のIDを送信し、C&Cからの指示を含むレスポンスを待つ
- 指示にはロシア語で再接続、再起動、タスクなし、等が含まれる
- 追加で新しいモジュールを受信し、sc createコマンドで登録するのも容易に行われてしまう
- Winexesvcツール(psexecと似ている)が見つかるケースもあった
※ハードコードされた名前付きパイプやIPアドレスのほかにモジュールのMD5などのIOCも元記事にあり
EDR製品や資産管理系製品が入っていれば、検知、ブロック、調査は意外としっかりできるのではないでしょうか。
結論:SILENCE やってることは VIOLENCE