piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Sony Pictures Entertainmentへの攻撃に使用されたマルウェアに関する情報をまとめてみた。

2014年11月25日に発生したSony Pictures Entertainment(以降SPE)へのサイバー攻撃について、SPEのシステム破壊に使用されたとされるマルウェアに関する情報をここではまとめます。

尚、SPEを巡る一連の騒動については次のエントリでまとめています。

1.確認されているマルウェア

  • SPEへの攻撃で確認されているマルウェアは次の通り。Destover以外は詳しい情報は出ていない。
分類名 種類 VT C2通信
SMBワーム 2種類 登録なし あり
リスニングツール 不明 登録なし 無し?
軽量バックドア 13種類 登録なし 無し?
プロキシツール 10種類 登録なし 無し?
HDD破壊ツール 1種類 登録なし 無し?
破壊クリーニングツール 2種類 登録なし 無し?
ネットワークワイパー 6種類 登録あり。(Destover) あり
  • 関連を整理すると次の通り。


2.マルウェアの通信先

  • SPEへの攻撃に使用されている確認されている通信先は次の6つ。
IPアドレス 関連するマルウェア
203.131.222.102:8080 タイ ネットワークワイパー
(760C35A80D758F032D02CF4DB12D3E55)
217.96.33.164:8000 ポーランド ネットワークワイパー
(760C35A80D758F032D02CF4DB12D3E55)
88.53.215.64:8000 イタリア ネットワークワイパー
(760C35A80D758F032D02CF4DB12D3E55)
200.87.126.116:8000 ボリビア N/A
58.185.154.99:8000 シンガポール N/A
212.31.102.100:8080 キプロス N/A
208.105.226.235 米国 N/A
SPE内部ネットワークのIPアドレスと思われるリスト
  • ドロッパー(d1c27ee7ce18675974edf42d4eea25c6)の動的解析で確認されたSPEの内部アドレスと思われるリスト

43.130.141.42
43.130.141.22
43.130.141.103
43.130.141.21
43.130.141.115
43.130.141.75
43.130.141.23
43.130.141.78
43.130.141.83

3.マルウェア詳細:SMBワーム

(1) 機能概要
  • WindowsのSMB共有を介して広がるワームタイプのマルウェア
  • 認証をブルートフォースで試行する。
  • C2に5分おきにログデータ(他認証に成功した端末リスト)を送信する。
  • 2つのスレッドで動作し、最初のスレッドでログデータの受信を行い、2つ目のスレッドでSMBの認証試行を行う。
  • 認証に成功した場合、ファイル共有確立後にファイルがコピーされ、新たな感染端末上で動作を行う。
  • ワームにはリスニングツール、軽量バックドア、プロキシツール、HDD破壊ツール、破壊クリーニングツールが装備されている。
  • C2との接続を確立すると次のスキャンを行う。
(2) 関連ファイル一覧
No ファイル名 MD5 Hash 検知名
1 N/A f6f48551d7723d87daeef2e840ae008f N/A
2 N/A 194ae075bf53aa4c83e175d4fa1b9d89 N/A

3.1 マルウェア詳細:リスニングツール

(1) 機能概要
  • AESで暗号化されており、復号のキーフレーズは「National Football League.」
  • リスニングするポートや接続に送信されるメッセージに違いがある。
  • このツールから送信されたメッセージは「0x1F」でXORされている。
  • 最初の接続時にツールから特定の文字列が送信される。
  • 「!」(0x21byte)を受信すると接続を終了する。このメッセージはXORでエンコードはされていない。
(2) 関連ファイル一覧と挙動の違い
No ファイル名 MD5 Hash 検知名 リスニングポート 接続時送信メッセージ
1 sensvc.exe N/A N/A TCP 444 200 www.yahoo.com!\x00
2 msensvc.exe N/A N/A TCP 444 200 www.yahoo.com!\x00
3 netcfg.dll N/A N/A TCP 195 RESPONSE 200 OK!!

3.2 マルウェア詳細:軽量バックドア

(1) 機能概要
(2) 軽量バックドアで確認されている機能
  • ファイル転送
  • システム調査
  • プロセス操作
  • ファイルのタイムマッチング
  • プロキシ機能
  • 端末のFirewallの開放
(3) 関連ファイル一覧
No ファイル名 MD5 Hash 検知名
1 N/A f57e6156907dc0f6f4c9e2c5a792df48 N/A
2 N/A 838e57492f632da79dcd5aa47b23f8a9 N/A
3 N/A 11c9374cea03c3b2ca190b9a0fd2816b N/A
4 N/A 7fb0441a08690d4530d2275d4d7eb351 N/A
5 N/A 7759c7d2c6d49c8b0591a3a7270a44da N/A
6 N/A 7e48d5ba6e6314c46550ad226f2b3c67 N/A
7 N/A 0a87c6f29f34a09acecce7f516cc7fdb N/A
8 N/A 25fb1e131f282fa25a4b0dec6007a0ce N/A
9 N/A 9761dd113e7e6673b94ab4b3ad552086 N/A
10 N/A c905a30badb458655009799b1274205c N/A
11 N/A 40adcd738c5bdc5e1cc3ab9a48b3df39 N/A
12 N/A 68a26b8eaf2011f16a58e4554ea576a1 N/A
13 N/A 74982cd1f3be3d0acfb0e6df22dbcd67 N/A

3.3 マルウェア詳細:プロキシツール

(1) 機能概要
  • サービス登録され、TCP 443で待機する。
  • リスニングポートは設定ファイルで変更することが可能。
  • 感染端末の指紋を取る機能がある
  • 基本的なバックドア機能がある
(2) プロキシツールで確認されている機能
  • リモートからのコマンド実行
  • プロセスリストの取得
  • ディレクトリリストの取得
  • ファイルの転送
(3) 関連ファイル一覧
No ファイル名 MD5 Hash 検知名
1 N/A 734740b16053ccc555686814a93dfbeb N/A
2 N/A 3b9da603992d8001c1322474aac25f87 N/A
3 N/A e509881b34a86a4e2b24449cf386af6a N/A
4 N/A 9ab7f2bf638c9d911c2c742a574db89e N/A
5 N/A a565e8c853b8325ad98f1fac9c40fb88 N/A
6 N/A 0bb82def661dd013a1866f779b455cf3 N/A
7 N/A b8ffff8b57586d24e1e65cd0b0ad9173 N/A
8 N/A 4ef0ad7ad4fe3ef4fb3db02cd82bface N/A
9 N/A eb435e86604abced7c4a2b11c4637a52 N/A
10 N/A ed7a9c6d9fc664afe2de2dd165a9338c N/A

3.4 マルウェア詳細: HDD破壊ツール

(1) 機能概要
  • 管理権限で動作した場合
    • データリカバリを困難とするために復元のポイントのデータを破壊する。(データ破壊)
    • 1番目から4番目の物理HDDのMBRを上書きする。
    • Windows7の場合は再起動まで損傷状態で動作を継続する。
  • ユーザー権限で動作した場合
    • 特定のファイルが削除される。
    • 使用不可能とまではならない。
(2) 関連ファイル一覧
No ファイル名 MD5 Hash 検知名
1 N/A 8dec36d7f5e6cbd5e06775771351c54e N/A

3.5 マルウェア詳細:破壊クリーニングツール

(1) 機能概要
  • MBRの上書きによって対象のマシンを動作不能にする。
  • 3つの異なるファイルをドロップし実行する。
    • 破壊機能を含む実行ファイルとDLL、実行されるコマンドをエンコードしたファイル
(2) 関連ファイル一覧
No ファイル名 MD5 Hash 検知名
1 N/A a385900a36cad1c6a2022f31e8aca9f7 N/A
2 N/A 7bea4323807f7e8cf53776e24cbd71f1 N/A

3.6 マルウェア詳細:ネットワークワイパー(Destover/WIPALL)

(1) 2つのグループ
  • このマルウェアは前後関係から2つのグループに分かれる
グループ グループ1 グループ2
ドロッパー diskpartmg16.exe
(d1c27ee7ce18675974edf42d4eea25c6)
diskpartmg16.exe
(2618dd3e5c59ca851f03df12c0cab3b8)
メインモジュール igfxtrayex.exe
(760C35A80D758F032D02CF4DB12D3E55)
igfxtrayex.exe
(B80AA583591EAF758FD95AB4EA7AFE39)
その他 iissvr.exe
(E1864A55D5CCB76AF4BF7A0AE16279BA)
ams.exe
(7E5FEE143FB44FDB0D24A1D32B2BD4BB)
(2) ドロッパー(diskpartmg16.exe)の機能概要
  • 以下のパラメータを指定することで挙動が変化する。
ドロッパー パラメータ 挙動
グループ1のドロッパー
(d1c27ee7ce18675974edf42d4eea25c6)
-i 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。
  -k サービス(自分)が実行されているか確認し、-sオプションで自分自身を呼び出す。
  -s メインモジュール(760C35A80D758F032D02CF4DB12D3E55)をドロップし、それを実行する。
グループ2のドロッパー
(2618dd3e5c59ca851f03df12c0cab3b8)
無し
i,k以外のパラメータ
Hello World」と記載されたウィンドウを表示する。
  -i 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。
  -k メインモジュール(B80AA583591EAF758FD95AB4EA7AFE39)をドロップし、それを実行する。
  • iパラメータで登録されるサービス内容(グループ1も同じ?)
サービスのプロパティ 設定値
サービス名 WinsSchMgmt
表示名 Windows Schedule Management Service
スタートアップの種類 自動
実行ファイルパス \ diskpartmg16.exe -k
  • パラメータなしで起動した際に表示されるHelloworldウィンドウ(グループ1も同じ?) *1


(3) メインモジュール(igfxtrayex.exe)の機能概要
  • グループ1のメインモジュール
    • 自身のコピーを連鎖的に生成し、物理・リモートで接続されたドライブの上書き、特定のドライバファイルの実行、赤髑髏表示様にIISを起動する等が行われる。
  • パラメータを指定することで以下の動作を行う。
メインモジュール パラメータ 挙動
グループ1のメインモジュール
2618dd3e5c59ca851f03df12c0cab3b8)
無し 自身のコピーを作成し、-iオプションを指定して開始する。
  -i サービスを登録し、サービスの起動コマンドに-kを仕込む。
  -k 実行されてから10分後に3つのコピーを作成し、同じディレクトリ上に配置する。
その後-m,-d,-wを付けてそれぞれ実行する。
コピーしたファイルは「taskhost+ランダムな2文字」.exeと名前が付けられる。
  -m MBR上書き用にusbdrbv32.sysを作成し実行する。
  -d 全ての固定ドライブとネットワークドライブ上のファイルを削除する。
ただし、%WINDIR%フォルダとProgram Filesフォルダはスキップする。
  -w %Windir%にiissvr.exeを作成し実行する。
C2に接続する。
MS Exchangeのサービスを停止する。
グループ2のメインモジュール
(E1864A55D5CCB76AF4BF7A0AE16279BA)
無し 自身のコピーを作成し、-iオプションを指定して開始する。
  -i 自身をサービスとして登録する。サービスの起動コマンドに-kを仕込む。
  -k 実行されてから45分経つか最初のsleepに自身のコピーを4つを作成する。
コピーしたファイルは「igfxtrayex+ランダムな2文字」.exeと名前が付けられる。
  -a 64bitのWindowsマシンかチェックし、64bitマシンの場合はkph.sys、ams.exeを作成、amas.exeを実行する。
  -m MBR上書き用にusbdrbv32.sysを作成し実行する。
  -d 全ての固定ドライブとネットワークドライブ上のファイルを削除する。
ただし、%WINDIR%フォルダはスキップする。
  -n walls.bmpをC:\Windowsにドロップし、デスクトップの壁紙に設定する。
  -s 特定のユーザーID、パスワードを使用して管理($IPC)共有へ接続試行する。
  • iパラメータで登録されるサービスの設定内容
メインモジュール サービスのプロパティ 設定値
グループ1のメインモジュール
(2618dd3e5c59ca851f03df12c0cab3b8)
サービス名 brmgmtsvc
  表示名 Backup and Restore Management Service
  スタートアップの種類 自動
  実行ファイルパス \ diskpartmg16.exe -k
グループ2のメインモジュール
(E1864A55D5CCB76AF4BF7A0AE16279BA)
サービス名 PMSvc
  表示名 Performance Manager
  スタートアップの種類 自動
  実行ファイルパス \igfxtrayex.exe -k
(4) ドロッパーに搭載されているSMB共有ワーム
  • グループ1のドロッパーで動作報告がある。グループ2は不明。
  • 0x67でXORされたユーザーID、パスワードリストを用いて以下のコマンドでネットワーク上の端末のログオンを試行する。

net use \\ "" /u:""

  • 「%SystemRoot%/System32」または「%SystemRoot%/Syswow64」に対して以下のコマンドを使用して共有を張ろうとする。

cmd.exe /q /c net share shared$=%SystemRoot% /GRANT:everyone,FULL

  • C2に接続試行した結果を「net_ver.dat」に記録する。
  • ハードコードされたIDにはSPE(恐らくドメイン名)といった標的を完全に絞った記述がみられる。

SPE\Da***** | London13!
SPE\JH***** | !Tomorrow33
SPE\KM***** | M@nday77
SPE\MM***** | @Smiley91

  • 標的ホストのリスト「net_var.dat」
    • 「HOSTNAME | IP Address | 2」として標的ホストが記載されている。
    • HOSTNAMEは必須ではない模様。
    • 末尾の数字2が意味する内容については不明。ログイン試行の結果が記録されている可能性。
(5) 「Hacked By GOP」赤髑髏の表示
  • グループによって表示方法が異なる
  • グループ1での赤髑髏表示
    • iissrv.exeが実行されると「back.jpg」、「index.wav」、それらを埋め込んだHTMLファイルを出力し、Webサーバーを起動させる。その後、ブラウザを開き赤髑髏の画面を表示する。なお、iissvr.exeはTCP2332でバックドアとして機能する。

*2

  • グループ2での赤髑髏表示
    • igfxtrayex.exeが実行されると「walls.bmp」を作成し、赤髑髏の画像を壁紙に設定する。


(6) McAfeeキラー:McAfeeの関連プロセス停止
  • 感染端末が64bitであれば、igfxtrayex.exe(B80AA583591EAF758FD95AB4EA7AFE39)がamas.exeとkph.sysをドロップする。
  • ams.exe(7E5FEE143FB44FDB0D24A1D32B2BD4BB)が当該機能を有する。
  • レジストリ(HKLM\CurrentControlSet\services\McShield)からMcShield.exeのファイルパスを取得し、McAfeeのリアルタイムスキャン(mcshield.exe)を別のファイル(同名のmcshield.exe)に置き換えし、実行(リアルタイムスキャンを停止)する。
  • KProccessHackerのkph.sysをインストールし、以下のMcAfeeの関連プロセスを停止させる。ドライバサービスがユーザーモードアプリケーションよりも高い権限で動作することからこれを利用した可能性がある。
    • UdaterUI.exe
    • McTray.exe
    • shstat.exe
    • FrameworkService.exe
    • VsTskMgr.exe
    • mfeann.exe
    • naPrdMgr.exe
(7) ネットワークワイパー検証動画
  • グループ1メインモジュール igfxtrayex.exe(760C35A80D758F032D02CF4DB12D3E55) Neutral8x9eRさんの検証動画


(8) 関連ファイル一覧
  • グループ1
No ファイル名 MD5 Hash 検知名 機能
1 diskpartmg16.exe d1c27ee7ce18675974edf42d4eea25c6 (Malwr:DL可) Trojan.Win32.Destover.a(Kaspersky)
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.A(Microsoft)
Troj/Destover-C(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.A(TrendMicro)
ドロッパー。
SMB経由で感染するワーム機能あり。
igfxtrayex.exeを生成し実行。
2 igfxtrayex.exe 760C35A80D758F032D02CF4DB12D3E55 (Malwr) Trojan.Win32.Destover.c(Kaspersky)
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.B(Microsoft)
Troj/Destover-B(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.B(TrendMicro)
ファイルやMBRを上書きし破壊する。
iissvr.exeを生成し実行。
3 iissvr.exe E1864A55D5CCB76AF4BF7A0AE16279BA Trojan.NukeSped.C(F-Secure)
Backdoor.Win32.DestoverServ.a(Kaspersky)
Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.C!dha(Microsoft)
Troj/Destover-B(Sophos)
Backdoor.Destover(Symantec)
BKDR_WIPALL.E(TrendMicro)
Webサーバーを起動し、赤髑髏を表示させる。
  • グループ2
No ファイル名 MD5 Hash 検知名 機能
4 diskpartmg16.exe
dpnsvr16.exe
2618dd3e5c59ca851f03df12c0cab3b8 (Malwr) Trojan-Wiper(McAfee)
Trojan:Win32/NukeSped.A!dha(Microsoft)
Backdoor.Destover(Symantec)
BKDR_WIPALL.D(TrendMicro)
ドロッパー。
igfxtrayex.exeを生成し実行。
5 igfxtrayex.exe B80AA583591EAF758FD95AB4EA7AFE39 (Malwr) Trojan.Win32.Destover.b(Kaspersky)
Trojan-Wiper(McAfee)
Troj/Destover-E(Sophos)
Trojan:Win32/NukeSped.B!dha(Microsft)
Backdoor.Destover(Symantec)
BKDR_WIPALL.C(TrendMicro)
ファイルやMBRを上書きし破壊する。
赤髑髏をデスクトップ背景に設定する。
感染端末が64bit環境の場合amas.exe、kph.sysを生成し実行。
6 ams.exe 7E5FEE143FB44FDB0D24A1D32B2BD4BB (Malwr:DL可) Trojan.Win64.Destover.a(Kaspersky)
Trojan-Wiper(McAfee)
Trojan:Win64/NukeSped.A!dha(Microsft)
Backdoor.Destover(Symatec)
BKDR64_WIPALL.F(TrendMicro)
McAfeeのリアルタイムスキャンの停止
McAfee関連プロセスの停止
  • 派生・関連ファイル
ファイル名 MD5 Hash 概要
usbdrv3_32bit.sys
(elrawdsk.sys)
6AEAC618E29980B69721158044C2E544 Eldos社ドライバ
usbdrv3_64bit.sys
(elrawdsk.sys)
86E212B7FC20FC406C692400294073FF Eldos社ドライバ
kph.sys N/A KprocessHackerのドライバ
net_ver.dat 93BC819011B2B3DA8487F964F29EB934 ネットワークログオンの標的リスト
walls.bmp N/A 赤髑髏の壁紙用BMPファイル

関連トピック SPEの署名がされたDestover

ファイル名 MD5 Hash 検知名
igfxtpers.exe e904bf93403c0fb08b9683a9e858c73e (Malwr:DL可) Trojan.Win32.Destover.d(Kaspersky)
Troj/Destover-A(Sophos)
Backdoor.Destover(Symantec)
BKDR_DESTOVER.A(TrendMicro)

更新履歴

  • 2014/12/29 AM 新規作成

*1:McAfee 解析記事より

*2:Kaspersky 解析記事より