lazarusholic

Everyday is lazarus.dayβ

Sony Pictures Entertainmentへの攻撃に使用されたマルウェアに関する情報をまとめてみた

2014-12-28, piyokango
http://d.hatena.ne.jp/Kango/20141228/1419787781
#Blockbuster

Contents

2014年11月25日に発生したSony Pictures Entertainment(以降SPE)へのサイバー攻撃について、SPEのシステム破壊に使用されたとされるマルウェアに関する情報をここではまとめます。
尚、SPEを巡る一連の騒動については次のエントリでまとめています。
1.確認されているマルウェア群
- SPEへの攻撃で確認されているマルウェアは次の通り。Destover以外は詳しい情報は出ていない。
|分類名||種類||VT||C2通信|
|SMBワーム||2種類||登録なし||あり|
|リスニングツール||不明||登録なし||無し?|
|軽量バックドア||13種類||登録なし||無し?|
|プロキシツール||10種類||登録なし||無し?|
|HDD破壊ツール||1種類||登録なし||無し?|
|破壊クリーニングツール||2種類||登録なし||無し?|
|ネットワークワイパー||6種類||登録あり。(Destover)||あり|
- 関連を整理すると次の通り。
2.マルウェアの通信先
- SPEへの攻撃に使用されている確認されている通信先は次の6つ。
|IPアドレス||国||関連するマルウェア|
|203.131.222.102:8080||タイ||ネットワークワイパー
|
(760C35A80D758F032D02CF4DB12D3E55)
|217.96.33.164:8000||ポーランド||ネットワークワイパー
|
(760C35A80D758F032D02CF4DB12D3E55)
|88.53.215.64:8000||イタリア||ネットワークワイパー
|
(760C35A80D758F032D02CF4DB12D3E55)
|200.87.126.116:8000||ボリビア||N/A|
|58.185.154.99:8000||シンガポール||N/A|
|212.31.102.100:8080||キプロス||N/A|
|208.105.226.235||米国||N/A|
3.マルウェア詳細:SMBワーム
(1) 機能概要
(2) 関連ファイル一覧
|No||ファイル名||MD5 Hash||検知名|
|1||N/A||f6f48551d7723d87daeef2e840ae008f||N/A|
|2||N/A||194ae075bf53aa4c83e175d4fa1b9d89||N/A|
3.1 マルウェア詳細:リスニングツール
(1) 機能概要
- AESで暗号化されており、復号のキーフレーズは「National Football League.」
- リスニングするポートや接続に送信されるメッセージに違いがある。
- このツールから送信されたメッセージは「0x1F」でXORされている。
- 最初の接続時にツールから特定の文字列が送信される。
- 「!」(0x21byte)を受信すると接続を終了する。このメッセージはXORでエンコードはされていない。
3.2 マルウェア詳細:軽量バックドア
(1) 機能概要
(3) 関連ファイル一覧
|No||ファイル名||MD5 Hash||検知名|
|1||N/A||f57e6156907dc0f6f4c9e2c5a792df48||N/A|
|2||N/A||838e57492f632da79dcd5aa47b23f8a9||N/A|
|3||N/A||11c9374cea03c3b2ca190b9a0fd2816b||N/A|
|4||N/A||7fb0441a08690d4530d2275d4d7eb351||N/A|
|5||N/A||7759c7d2c6d49c8b0591a3a7270a44da||N/A|
|6||N/A||7e48d5ba6e6314c46550ad226f2b3c67||N/A|
|7||N/A||0a87c6f29f34a09acecce7f516cc7fdb||N/A|
|8||N/A||25fb1e131f282fa25a4b0dec6007a0ce||N/A|
|9||N/A||9761dd113e7e6673b94ab4b3ad552086||N/A|
|10||N/A||c905a30badb458655009799b1274205c||N/A|
|11||N/A||40adcd738c5bdc5e1cc3ab9a48b3df39||N/A|
|12||N/A||68a26b8eaf2011f16a58e4554ea576a1||N/A|
|13||N/A||74982cd1f3be3d0acfb0e6df22dbcd67||N/A|
3.3 マルウェア詳細:プロキシツール
(3) 関連ファイル一覧
|No||ファイル名||MD5 Hash||検知名|
|1||N/A||734740b16053ccc555686814a93dfbeb||N/A|
|2||N/A||3b9da603992d8001c1322474aac25f87||N/A|
|3||N/A||e509881b34a86a4e2b24449cf386af6a||N/A|
|4||N/A||9ab7f2bf638c9d911c2c742a574db89e||N/A|
|5||N/A||a565e8c853b8325ad98f1fac9c40fb88||N/A|
|6||N/A||0bb82def661dd013a1866f779b455cf3||N/A|
|7||N/A||b8ffff8b57586d24e1e65cd0b0ad9173||N/A|
|8||N/A||4ef0ad7ad4fe3ef4fb3db02cd82bface||N/A|
|9||N/A||eb435e86604abced7c4a2b11c4637a52||N/A|
|10||N/A||ed7a9c6d9fc664afe2de2dd165a9338c||N/A|
3.4 マルウェア詳細: HDD破壊ツール
(1) 機能概要
(2) 関連ファイル一覧
|No||ファイル名||MD5 Hash||検知名|
|1||N/A||8dec36d7f5e6cbd5e06775771351c54e||N/A|
3.5 マルウェア詳細:破壊クリーニングツール
(2) 関連ファイル一覧
|No||ファイル名||MD5 Hash||検知名|
|1||N/A||a385900a36cad1c6a2022f31e8aca9f7||N/A|
|2||N/A||7bea4323807f7e8cf53776e24cbd71f1||N/A|
3.6 マルウェア詳細:ネットワークワイパー(Destover/WIPALL)
(1) 2つのグループ
- このマルウェアは前後関係から2つのグループに分かれる
|グループ||グループ1||グループ2|
|ドロッパー||diskpartmg16.exe
|
(d1c27ee7ce18675974edf42d4eea25c6)
|diskpartmg16.exe
|
(2618dd3e5c59ca851f03df12c0cab3b8)
|メインモジュール||igfxtrayex.exe
|
(760C35A80D758F032D02CF4DB12D3E55)
|igfxtrayex.exe
|
(B80AA583591EAF758FD95AB4EA7AFE39)
|その他||iissvr.exe
|
(E1864A55D5CCB76AF4BF7A0AE16279BA)
|ams.exe
|
(7E5FEE143FB44FDB0D24A1D32B2BD4BB)
(2) ドロッパー(diskpartmg16.exe)の機能概要
- 以下のパラメータを指定することで挙動が変化する。
|ドロッパー||パラメータ||挙動|
|グループ1のドロッパー
|
(d1c27ee7ce18675974edf42d4eea25c6)
|-i||自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。|
|-k||サービス(自分)が実行されているか確認し、-sオプションで自分自身を呼び出す。|
|-s||メインモジュール(760C35A80D758F032D02CF4DB12D3E55)をドロップし、それを実行する。|
|グループ2のドロッパー
|
(2618dd3e5c59ca851f03df12c0cab3b8)
|無し
|
i,k以外のパラメータ
|「Hello World」と記載されたウィンドウを表示する。|
|-i||自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。|
|-k||メインモジュール(B80AA583591EAF758FD95AB4EA7AFE39)をドロップし、それを実行する。|
- iパラメータで登録されるサービス内容(グループ1も同じ?)
|サービスのプロパティ||設定値|
|サービス名||WinsSchMgmt|
|表示名||Windows Schedule Management Service|
|スタートアップの種類||自動|
|実行ファイルパス|
- パラメータなしで起動した際に表示されるHelloworldウィンドウ(グループ1も同じ?) *1
(3) メインモジュール(igfxtrayex.exe)の機能概要
- グループ1のメインモジュール
- 自身のコピーを連鎖的に生成し、物理・リモートで接続されたドライブの上書き、特定のドライバファイルの実行、赤髑髏表示様にIISを起動する等が行われる。
- パラメータを指定することで以下の動作を行う。
|メインモジュール||パラメータ||挙動|
|グループ1のメインモジュール
|
2618dd3e5c59ca851f03df12c0cab3b8)
|無し||自身のコピーを作成し、-iオプションを指定して開始する。|
|-i||サービスを登録し、サービスの起動コマンドに-kを仕込む。|
|-k||実行されてから10分後に3つのコピーを作成し、同じディレクトリ上に配置する。
|
その後-m,-d,-wを付けてそれぞれ実行する。
コピーしたファイルは「taskhost+ランダムな2文字」.exeと名前が付けられる。
|-m||MBR上書き用にusbdrbv32.sysを作成し実行する。|
|-d||全ての固定ドライブとネットワークドライブ上のファイルを削除する。
|
ただし、%WINDIR%フォルダとProgram Filesフォルダはスキップする。
|-w||%Windir%にiissvr.exeを作成し実行する。
|
C2に接続する。
MS Exchangeのサービスを停止する。
|グループ2のメインモジュール
|
(E1864A55D5CCB76AF4BF7A0AE16279BA)
|無し||自身のコピーを作成し、-iオプションを指定して開始する。|
|-i||自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。|
|-k||実行されてから45分経つか最初のsleepに自身のコピーを4つを作成する。
|
コピーしたファイルは「igfxtrayex+ランダムな2文字」.exeと名前が付けられる。
|-a||64bitのWindowsマシンかチェックし、64bitマシンの場合はkph.sys、ams.exeを作成、amas.exeを実行する。|
|-m||MBR上書き用にusbdrbv32.sysを作成し実行する。|
|-d||全ての固定ドライブとネットワークドライブ上のファイルを削除する。
|
ただし、%WINDIR%フォルダはスキップする。
|-n||walls.bmpをC:\Windowsにドロップし、デスクトップの壁紙に設定する。|
|-s||特定のユーザーID、パスワードを使用して管理($IPC)共有へ接続試行する。|
- iパラメータで登録されるサービスの設定内容
|メインモジュール||サービスのプロパティ||設定値|
|グループ1のメインモジュール
|
(2618dd3e5c59ca851f03df12c0cab3b8)
|サービス名||brmgmtsvc|
|表示名||Backup and Restore Management Service|
|スタートアップの種類||自動|
|実行ファイルパス|
|グループ2のメインモジュール
|
(E1864A55D5CCB76AF4BF7A0AE16279BA)
|サービス名||PMSvc|
|表示名||Performance Manager|
|スタートアップの種類||自動|
|実行ファイルパス|
(4) ドロッパーに搭載されているSMB共有ワーム
- グループ1のドロッパーで動作報告がある。グループ2は不明。
- 0x67でXORされたユーザーID、パスワードリストを用いて以下のコマンドでネットワーク上の端末のログオンを試行する。
net use \\
" " /u:" "
- 「%SystemRoot%/System32」または「%SystemRoot%/Syswow64」に対して以下のコマンドを使用して共有を張ろうとする。
cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone,FULL
- C2に接続試行した結果を「net_ver.dat」に記録する。
- ハードコードされたIDにはSPE(恐らくドメイン名)といった標的を完全に絞った記述がみられる。
SPE\Da***** | London13!
SPE\JH***** | !Tomorrow33
SPE\KM***** | M@nday77
SPE\MM***** | @Smiley91
- 標的ホストのリスト「net_var.dat」
- 「HOSTNAME | IP Address | 2」として標的ホストが記載されている。
- HOSTNAMEは必須ではない模様。
- 末尾の数字2が意味する内容については不明。ログイン試行の結果が記録されている可能性。
(5) 「Hacked By GOP」赤髑髏の表示
- グループによって表示方法が異なる
- グループ1での赤髑髏表示
- iissrv.exeが実行されると「back.jpg」、「index.wav」、それらを埋め込んだHTMLファイルを出力し、Webサーバーを起動させる。その後、ブラウザを開き赤髑髏の画面を表示する。なお、iissvr.exeはTCP2332でバックドアとして機能する。
- グループ2での赤髑髏表示
- igfxtrayex.exeが実行されると「walls.bmp」を作成し、赤髑髏の画像を壁紙に設定する。
(6) McAfeeキラー:McAfeeの関連プロセス停止
- 感染端末が64bitであれば、igfxtrayex.exe(B80AA583591EAF758FD95AB4EA7AFE39)がamas.exeとkph.sysをドロップする。
- ams.exe(7E5FEE143FB44FDB0D24A1D32B2BD4BB)が当該機能を有する。
- レジストリ(HKLM\CurrentControlSet\services\McShield)からMcShield.exeのファイルパスを取得し、McAfeeのリアルタイムスキャン(mcshield.exe)を別のファイル(同名のmcshield.exe)に置き換えし、実行(リアルタイムスキャンを停止)する。
- KProccessHackerのkph.sysをインストールし、以下のMcAfeeの関連プロセスを停止させる。ドライバサービスがユーザーモードアプリケーションよりも高い権限で動作することからこれを利用した可能性がある。
- UdaterUI.exe
- McTray.exe
- shstat.exe
- FrameworkService.exe
- VsTskMgr.exe
- mfeann.exe
- naPrdMgr.exe
(7) ネットワークワイパー検証動画
- グループ1メインモジュール igfxtrayex.exe(760C35A80D758F032D02CF4DB12D3E55) Neutral8x9eRさんの検証動画
(8) 関連ファイル一覧
- グループ1
|No||ファイル名||MD5 Hash||検知名||機能|
|1||diskpartmg16.exe||d1c27ee7ce18675974edf42d4eea25c6 (Malwr:DL可)||Trojan.Win32.Destover.a(Kaspersky)
|
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.A(Microsoft)
Troj/Destover-C(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.A(TrendMicro)
|ドロッパー。
|
SMB経由で感染するワーム機能あり。
igfxtrayex.exeを生成し実行。
|2||igfxtrayex.exe||760C35A80D758F032D02CF4DB12D3E55 (Malwr)||Trojan.Win32.Destover.c(Kaspersky)
|
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.B(Microsoft)
Troj/Destover-B(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.B(TrendMicro)
|ファイルやMBRを上書きし破壊する。
|
iissvr.exeを生成し実行。
|3||iissvr.exe||E1864A55D5CCB76AF4BF7A0AE16279BA||Trojan.NukeSped.C(F-Secure)
|
Backdoor.Win32.DestoverServ.a(Kaspersky)
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.C!dha(Microsoft)
Troj/Destover-B(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.E(TrendMicro)
|Webサーバーを起動し、赤髑髏を表示させる。|
- グループ2
|No||ファイル名||MD5 Hash||検知名||機能|
|4||diskpartmg16.exe
|
dpnsvr16.exe
|2618dd3e5c59ca851f03df12c0cab3b8 (Malwr)||Trojan-Wiper(McAfee)
|
Trojan:Win32/NukeSped.A!dha(Microsoft)
Backdoor.Destover(Symantec)
BKDR_WIPALL.D(TrendMicro)
|ドロッパー。
|
igfxtrayex.exeを生成し実行。
|5||igfxtrayex.exe||B80AA583591EAF758FD95AB4EA7AFE39 (Malwr)||Trojan.Win32.Destover.b(Kaspersky)
|
Trojan-Wiper(McAfee)
Troj/Destover-E(Sophos)
Trojan:Win32/NukeSped.B!dha(Microsft)
Backdoor.Destover(Symantec)
BKDR_WIPALL.C(TrendMicro)
|ファイルやMBRを上書きし破壊する。
|
赤髑髏をデスクトップ背景に設定する。
感染端末が64bit環境の場合amas.exe、kph.sysを生成し実行。
|6||ams.exe||7E5FEE143FB44FDB0D24A1D32B2BD4BB (Malwr:DL可)||Trojan.Win64.Destover.a(Kaspersky)
|
Trojan-Wiper(McAfee)
Trojan:Win64/NukeSped.A!dha(Microsft)
Backdoor.Destover(Symatec)
BKDR64_WIPALL.F(TrendMicro)
|McAfeeのリアルタイムスキャンの停止
|
McAfee関連プロセスの停止
- 派生・関連ファイル
|ファイル名||MD5 Hash||概要|
|usbdrv3_32bit.sys
|
(elrawdsk.sys)
|6AEAC618E29980B69721158044C2E544||Eldos社ドライバ|
|usbdrv3_64bit.sys
|
(elrawdsk.sys)
|86E212B7FC20FC406C692400294073FF||Eldos社ドライバ|
|kph.sys||N/A||KprocessHackerのドライバ|
|net_ver.dat||93BC819011B2B3DA8487F964F29EB934||ネットワークログオンの標的リスト|
|walls.bmp||N/A||赤髑髏の壁紙用BMPファイル|
関連トピック SPEの署名がされたDestover
- 攻撃者が行ったものではなく、研究者が行ったもの。
- 電子証明書のパスワードはファイル名であった。
- DigiCertは12月7日に証明書を失効させた。
- 12/09 Kaspersky 'Destover' malware now digitally signed by Sony certificates (updated)
|ファイル名||MD5 Hash||検知名|
|igfxtpers.exe||e904bf93403c0fb08b9683a9e858c73e (Malwr:DL可)||Trojan.Win32.Destover.d(Kaspersky)
|
Troj/Destover-A(Sophos)
Backdoor.Destover(Symantec)
BKDR_DESTOVER.A(TrendMicro)
参考情報
この記事は以下の解析情報を参考に記述しています。
FBI
- 12/01 (PDF) FBI Liaison Alert System …