オンライン・バンキングを狙うマルウェア「Dridex」の進化

米国カリフォルニア州ミルピタス発
フィッシングメールにたびたび使われるマルウェアに「Dridex(ドライデックス)」があります。今回は、Dridexがどのように被害者のもとに届きフィッシング攻撃が行われているのか、またDridex自体がどのように進化しているかについて紹介します。

Dridexの作成者は非常に積極的で、活発に組織的なフィッシング攻撃を実行しています。これは最近ファイア・アイが注目しているAPT攻撃群の中でも、特に活動的です。マルウェアを配信する手口は頻繁に変更され、新しいフィッシング攻撃が登場するたびに新たな手口を用いて感染させます。

初期の金融機関を標的にしたトロイの木馬型マルウェアの配信方法
これまでの主な配信方法は、悪意あるリンクや悪意ある添付ファイルをフィッシングメールに仕掛け、悪意のあるバイナリの実行を促すというものでした。

2014年から2015年初頭にかけてDridexの作成者が用いた配信方法は、次の3通りです。

  1. cubby.com、copy.comなど、正規のファイル共有サイトに悪意のあるバイナリがホストされ、ダウンロード先のリンクがスパムメール経由で送られました。
  2. スパムメールにMicrosoft Word/Excelファイルが添付して送られました。これらのファイルには悪意ある難読化されたマクロが含まれており、感染したWebサイトや攻撃者がホストしているWebサイトからペイロードを直接ダウンロードします。
  3. 改ざんされたWebサイトへのリンクが、外部JJEncoded JavaScriptを参照している電子メールで送られます。このJavaScriptは、ブラウザからバイナリのダウンロードを起動し、被害者は悪意あるバイナリのダウンロードを促されます。

2014年のマルウェア配信方法の変化はもっぱら、攻撃者がマクロで使用する難読化技術のアップデートや、SSL証明書を持つサーバーの悪意あるバイナリのホストに関するものでした。しかし、上記の期間を通じて、わずかながらも以下の共通点が見られました。

  1. 第2段階バイナリは直接ダウンロードされており、複数の段階に分かれているわけではありませんでした。そのため、検知は容易でした。
  2. フィッシングメールには、誰でも知っているMicrosoft Word/Excelファイルが使用されました。

次にDridexマルウェアをスパムキャンペーンで配信する際に利用されるいくつかの技術について説明します。これは先に述べた通常のマルウェア配信方法に比べ、検知がより困難なものです

マクロ方式のトロイの木馬型ダウンローダー
Microsoft Officeファイルは、昨今のスパム攻撃でよく使用されるファイル形式です。これらのファイルには、悪意あるマクロが組み込まれており、感染サーバーや攻撃者がホストしたサーバーから、第2段階ペイロードをフェッチします。

マクロで使用される難読化手法は頻繁に更新されます。これは、シグネチャベースの静的検知を回避する試みと思われます。

多段階ダウンローダー

先に述べた通り、2014年に見られたマクロは、最初のネットワーク・コールバックで実行ファイルを直接フェッチするトロイの木馬型ダウンローダーを元にしていました。私たちはその後、ネットワーク・コールバックで実行ファイルを直接フェッチするのではなく、Base64エンコードのテキストファイルをリクエストする亜種を発見しました。このBase64テキストファイルは、VBScriptとBatchのコンテナを復号化します。プロセスを以下に記します。

1.  図1に示す通り、悪意あるマクロは、最初のHTTP GETリクエストで、サーバーからBase64エンコードのテキストファイルをリクエストします。

図1:Base64テキストファイルのGETリクエスト

2.  図2に示す通り、悪意ある実行ファイルのダウンロード用URLをフェッチするため、別のHTTP GETリクエストを送ります。

図2:悪意あるバイナリダウンロードURLをフェッチするGETリクエスト

3.  ステップ1で検索されたBase64エンコードテキストは、BatchとVBScriptのスニペットのコンテナにデコードします。これには、text10、text20や、下図のような複数のマーカーが含まれます。これらのマーカーは、図3に示すデコードされたテキストからBatchファイルとVBScriptを構成するのに使用されます。

図3:Base64のレスポンスを解析するマクロからのコード選択

4.  BatchファイルとVBScriptが作成されると、マクロがそれらを実行し、ステップ2で取得したURLから悪意ある実行ファイルをフェッチします。

Base64エンコードテキストは、pastebin.comなど、一般にアクセスされるWebサイトから検索され、悪意あるバイナリはdropbox.com上にホストされます。悪意あるコンテンツのホストで使用されるサイトは、通常使用されるWebサイトであり、こうしたネットワーク・トラフィックと、一般のトラフィックを識別することは容易ではないため、攻撃者にとってはメリットとなります。

ファイルフォーマットの亜種
Dridexの最近の攻撃では、既知のファイル形式の複数の亜種を用いて、スパム攻撃で悪意あるファイルを送付しています。本セクションでは、私たちが最近確認した亜種を紹介します。

2015年3月:従来型のWord ML文書
2015年3月の攻撃では、従来型のXMLベースによるWordファイル形式が使用されました。
これらのファイルには、下記のようなヘッダーが見られます。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<?mso-application progid="Word.Document"?>

上記のXMLファイルは、Windows OSによって解析されると、Microsoft Wordとともに自動的に起動します。

この攻撃が行われた時点で、OfficeMalScanner等のオープンソースの無償マルウェア分析ツールでは、こうしたWord MLドキュメントからマクロを抽出するオプションはありませんでした。攻撃者はこうしたツールを回避し、悪意あるマクロの分析を阻止しようと試みている可能性があります。

PythonベースのOLE解析ツールとして定評あるolevba.pyには、こうしたXMLベースのWord MLからマクロを抽出する機能はありませんでした。このフィッシング・キャンペーンの後にolevba.pyは更新され、Word MLドキュメントへのサポートが追加されました。

2015年4月:PDFに組み込まれた悪意あるWord文書
Dridex作成者は、悪意あるWord文書をPDFファイルに組み込むという斬新な手口を使用しました。これは、2015年4月の攻撃で確認されました。

PDFファイルをAdobe Readerで開く際、そこに組み込まれている悪意あるWord文書が自動的に開かれるよう、PDFファイルにはJavaScriptが書き込まれていました。

組み込みのWordドキュメントを自動的に開くのに使用されるJavaScriptのスニペットを以下に記載します。

var a = this.dataObjects;

this.exportDataObject({cName:a[0].name, nLaunch:2});

組み込まれたWord文書がこのような形でPDFから起動されると、Adobe Readerの画面には、セキュリティ警告のダイアログボックスが表示されます。そのため、この攻撃で

感染を成功させるには、ユーザー側の承諾が必要となります。

2015年5月:MIMEベースのMS Officeファイル
Dridexが2015年5月に行った攻撃では、Base64エンコード/圧縮された悪意あるOLEStreamがMIMEファイル内部に組み込まれました。ファイルには、下記のようなヘッダーが見られます。

MIME-Version: 1.0

Content-Type: multipart/related; boundary="----=_NextPart_xxx.xxx"

Base64エンコード/圧縮された実際のOLEStreamは、MIMEドキュメントの以下のセクションに存在することになります。

図4:Base64エンコードされたOLEStream

Base64エンコードテキストは例外なく、ActiveMimeに相当する「QWN0aXZlTW」で始まります。

これらのMIMEドキュメントは、Microsoft Wordによって自動的に開かれ、マクロが実行されます。しかし、オープンソースの無償マルウェア分析ツールの大半は、今回の攻撃の時点でこうしたマクロの抽出・分析に対応しておらず、検知の回避が可能となっています。

図5に示す通り、これらのMIMEドキュメントに組み込まれたマクロは、pastebin.comからVBScriptをフェッチします。

図5:pastebin.comからVBScriptをフェッチするGETリクエスト

図6に示す通り、このVBScriptは、攻撃者がコントロールするサーバーから悪意あるペイロードを再びフェッチします。

図6:悪意あるペイロードをフェッチするVBScript

この場合、悪意あるバイナリのダウンロードでDridex作成者が再び中間プロセスを導入したことが確認できます。彼らは、検知を阻止するための手段として、pastebin.comからVBScriptをダウンロードします。

こうしたMIMEベースのファイルに関する重要な注意点を以下にいくつか記載します。

  • 私たちは、類似のMIMEベース形式を用いたフィッシング・キャンペーンで、Excelファイルの使用も確認しました。
  • ファイルのヘッダーは、柔軟であると思われます。「MIME-Version: 1.0」より前に複数の文字を追加しても、ファイルはMicrosoft Word/Excelで問題なく開かれます。

金融機関を標的にしたトロイの木馬が企業にもたらした被害
最近、金融機関を標的にして最も活発な動きが検知されるDridexとDyreの分布状況に基づく地理的背景と時系列を示すため、私たちはクラウド・プラットフォームである「Dynamic Threat Intelligence(DTI)」を用いて統計情報を収集しました。表1は、地域別の感染率を示したものです。

表1:地域別の感染率:感染率は、地域内の全顧客数によって分類された各地域の、Dridexによって影響を受けた顧客の数によって計算されます。

金融機関を狙ったトロイの木馬型マルウェアDridexの被害を最も受けた地域は北米です。平均感染率は57.3%で、世界の企業の6割近くがDridexの被害を受けていることになります。国際的にも高い平均値であると言えるでしょう。(日本は48.4%)