ブログ(脅威調査)

CARBANAKウィーク 第1部:稀有な事件

FLAREが多目的で非公式に開発されたマルウェアを解析し、ソース・コードやオペレータ・ツールが最終的に手に入るケースは稀です。しかし、これは、CARBANAKウィークと銘打った、この記事で始まる4部構成のブログを準備するほど、異常な状況なのです。

CARBANAKは、最も機能の多い、今も使われるバックドアの1つです。これは、FireEyeがFIN7として追跡するグループによって、数百万ドルにも及ぶ金融犯罪に使用されました。2017年、トム・ベネット(Tom Bennett)とバリー・ベンジェリク(Barry Vengerik)は、CARBANAKのサンプルと数年間にわたるFIN7攻撃について、深く幅広く分析した結果をまとめた記事「Behind the CARBANAK Backdoor」を発表しました。このレポートに続いて、同僚のニック・カー(Nick Carr)は、CARBANAKのソース・コード、ビルダー、および他のツールを含む一対のRARアーカイブを公開しました(どちらもVirusTotal: kb3r1pおよびapwmieで入手可能)。

FLAREのマルウェア解析に要求されるのは通常、多くとも数十ファイルに制限されますが、CARBANAKのソース・コードは39のバイナリ・ファイル、100,000行のコードを含む計755ファイルで構成され、20MBありました。FireEyeの目標は、以前の解析で見逃した脅威インテリジェンスを見つけることです。アナリストは、広く制限のない目標を持つこのリクエストにどのように対応し、何を見つけたでしょうか?

友人のTom Bennettと私は、2018年のFireEye Cyber Defense Summitでの「Hello, Carbanak!」のトークで、この内容を簡単に説明しました。このブログシリーズでは、リバース・エンジニアリングしたバイナリ・コードをベースにして、以前公開した解析に取り入れた推論について詳細に説明し、また過去の記事を共有していきます。この第1部では、ロシア語の問題、GUIを翻訳したCARBANAKツール、ソース・コードの観点から見た解析の妨害方法について説明していきます。また、予想外の展開があったこともお知らせします。ソース・コードの解析は、少なくともバイナリの解析と同じくらい難しいことを証明しました。盛りだくさんの内容でお届けします!

<中略>

結論

CARBANAKのソース・コードは、これらのマルウェアの作成者がコードの難読化をどのように進めていったかを知る実例となっています。タスク・コードとWindows API解決システムの両方からは、マルウェアのアナリストをこのバックドアの手掛かりから遠ざけるためにかなり投資されたことが見て取れます。続く第2部では、ウイルス対策のすり抜け、エクスプロイト、秘密、鍵生成、マルウェア作者の痕跡、およびネットワーク・ベースのインジケーターについてまとめましたので、どうぞご覧ください。第3部、第4部も公開済みです。併せてご覧ください。

本ブログは、米FireEyeが公開した「CARBANAK Week Part One: A Rare Occurrence」の要約版です。技術詳細を含むブログ全文および第2部から第4部(すべて英語)は次のリンクをご参照ください。

第1部:https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

第2部:https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-two-continuing-source-code-analysis.html

第3部:https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-three-behind-the-backdoor.html

第4部:https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-four-desktop-video-player.html