フィルタで検出されたマルスパム解析のススメ

元記事

Reviewing the spam filters: Malspam pushing Gozi-ISFB - SANS Internet Storm Center

概要

マルスパムをうまくアンチスパムフィルタが処理してくれた場合、その後の攻撃手法を知らぬままになってしまうことが多い。 マルスパムがフィルタをすり抜けてインボックスに着信した場合、内容が不自然だったり社員教育が奏功したりでひっかかる社員が「今回」たまたまいなかったとしても、攻撃手法は進化していくので「次も」そうなるとは限らない。 すでにスパムフィルタ等で処理されたり誰もひっかからなかったマルスパムであっても、添付されたマルウェアが何をしようとしたのかを解析することは、自組織がどのようなサイバー脅威にさらされているかについての重要なインテリジェンスをもたらす。

2 通のサンプルマルスパムの解析例

• 実在する正当な組織名を含むマクロ入り Word 文書が添付されたマルスパムが 2 通着信した
• 当該マルスパムには、既知の Windows の脆弱性を狙った Ursnif の亜種、Gozi-ISFB が含まれていた
  • Ursnif は不正送金マルウェア
  • 詳細: マルウェア情報：情報提供｜一般財団法人日本サイバー犯罪対策センター
  • Gozi-ISFB については Malspam Distributing Ursnif (Gozi ISFB) – Malware Breakdown に詳細な解析情報あり

1 つ目の Word 文書

• 1 つ目の Word 文書を開くと、Gozi-ISFB により Nymaim トロイの木馬が追加ダウンロードされる
• Nymaim トロイの木馬については、以下 2 つに説明があるので参照されたい
  • Malware-Traffic-Analysis.net - 2017-11-03 - malspam pushing Nymaim
  • Malware-Traffic-Analysis.net - 2017-12-06 - Quick post: UK vehicle violation-themed malspam pushes Nymaim

2 通目の Word 文書

• 1 つ目の Word 文書を開くと、Gozi-ISFB により未知のマルウェアが追加ダウンロードされ、その後 tcp/443 で DNS クエリを行わず、紐付いたドメイン名もない特定 IP への通信が開始される
• 追加ダウンロードされた未知のマルウェアは、winmm.dll という名前の悪意のある DLL で、正当な Windows システムファイルである presentationsettings.exe が読み込むようになっている。両方のファイルは新規に作成される感染ユーザの AppData\Roaming フォルダ以下に保存される

IOC

元記事の Indicators に一覧があるのでそちらを参照のこと

接続先の悪意のあるドメイン

• ijqdjqnwiduqujqiuezxc[.]com
• adistributedmean[.]net
• fyibc[.]com
• fortrunernaskdneazxd[.]com
• bithedistributedlicense[.]net
• fyicreative[.]ca

まとめ

スパムフィルタリングの性能が高く、端末の管理や社員教育がしっかり行われることは重要で、その結果メールに添付されているマルウェアがユーザーに到達しないのは喜ばしい。ただし攻撃者は常に手口を変えて防御をかいくぐろうとするので、今回の 2 通目のように未知のマルウェアが手口の変更により侵入に成功する可能性もある。そのため、フィルタがうまく機能した場合や社員教育のおかげで誰もマルウェアを開かなかった場合でも、添付されたマルウェアを解析して事前に攻撃者像のインテリジェンスを得ておくことは重要である。