ブログ(脅威調査)

C#で開発されたクレデンシャル・スティーラー「Dark Crystal RAT」の解析

本ブログは、米FireEyeが公開したMay 12, 2020  「Analyzing Dark Crystal RAT, a C# backdoor」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。
 

FireEye Mandiant Threat Intelligenceチームは、サイバー攻撃者と彼らが使用するマルウェアを追跡することで、お客様の保護を支援しています。FLARE(Front Line Advanced Research & Expertise; FireEyeにおける攻撃者やキャンペーンなどの脅威解析チーム)チームは、マルウェアのサンプルをリバースエンジニアリングすることによって脅威インテリジェンスを増やします。最近、FLAREチームは、Threat Intelligenceチームから送られてきたDark Crystal RAT(DCRat)の新しいC#亜種を調査し、オープンソース・インテリジェンスと以前の調査のレビュー、サンドボックス・テストの実施、Dark Crystal RATをリバースエンジニアリングして機能と通信プロトコルの確認を行いました。このブログの記事を公開することで、Dark Crystal RATのIOCや兆候を探すセキュリティ担当者や、.NETマルウェアを初めて調査したり、将来このサンプルの亜種を見つけるであろう同僚のマルウェア・リサーチャーを支援することができればと考えています。

Dark Crystal RATは、.NETフレームワークで開発されたバックドアで、ハードコードされたC&CサーバーにHTTPで通信し、クレデンシャル情報を窃取したり、シェルコマンド実行、ファイル転送機能を持っています。Dark Crystal RATは2018年10月頃より地下フォーラムで広告されている「市販ツール」です。

この記事では、Threat Intelligenceチームが提供したサンプルの解析とすべての構成要素について説明します。まとめると、最初のトリアージで、「dfsds.exe」構成要素がDark Crystal RATであることがわかり、Dark Crystal RATが.NET実行ファイルであることを突き止め、リバースエンジニアリングを実施しました。そして、マルウェアの構成を抽出し、動的解析によりそのC2コミュニケーションのシンタックスを見つけました。小規模なPOCサーバーを実装して、マルウェアに送信されるコマンドの正しい形式と、アップロードされたスクリーンショットの解釈方法をテストしました。最後に、実際の脅威グループがDark Crystal RATをダウンロードして使用する方法を再度確認しました。

解析したサンプル(MD5: b478d340a787b85e086cc951d0696cb1)は2つの実行ファイル (dal.exe, mnb.exe) を作成し、一つの実行ファイルはさらに3つの実行ファイル (dfsds.exe、fsdffc.exe、daaca.exe and) を生成しました(図1)。


図1:解析したサンプル。最終的に5つの実行ファイルを生成

本ブログでは、公開された分析情報の少ないクレデンシャル・スティーラー dfsds.exeに着目して詳細に解析しています。

詳細な解説やDark Crystal RAT (MD5: 047af34af65efd5c6ee38eb7ad100a01)のIOCについては、英文ブログ May 12, 2020 「Analyzing Dark Crystal RAT, a C# backdoor」をご覧ください。

日本語版:Reviewed by Toru Tanimura