「BADRABBIT」ランサムウェアを「BACKSWING」から紐解く

概要
2017年10月24日、水飲み場攻撃により、ユーザーに気づかれることなく「BADRABBIT」ランサムウェアが配布されました。ファイア・アイのアプライアンスは、ランサムウェアダウンロードの試みを検知し、ユーザーの感染を阻止しました。攻撃活動の調査過程で、ファイア・アイは、BADRABBITのリダイレクト先と、私たちが「BACKSWING」として追跡中のプロファイルをホストするサイトが、直接的に重複していることを特定しました。私たちはこれまで、「BACKSWING」をホストするサイトを51件特定しており、そのうち4件で「BADRABBIT」のドロップが確認されました。2017年を通じ、私たちはBACKSWINGを2バージョン観察しています。その活動は5月に著しく拡大しましたが、攻撃者の目的が、ウクライナのWebサイトへの不正アクセスだったことは明白です。これまでの動向により、この攻撃を戦略的に支援する者は、特定の地域に関心がある可能性が高く、金銭目的以外の動機が示唆されます。今もなお、多くのドメインがBACKSWINGの不正アクセスを受けている点を考えると、これらが将来的な攻撃に使用されるリスクが予想されます。

背景
ファイア・アイは10月24日8時(協定世界時)、複数の顧客企業への感染の試みを検知・阻止しました。Flash Update(install_flash_player.exe)を装う自動ダウンロードの形式で、ワームの侵入を許すランサムウェアの亜種へ感染させるものでした。ユーザーは、複数の正規サイト(例:http://www.mediaport[.]ua/sites/default/files/page-main.js)から、感染したサイトへと同時にリダイレクトされました。このことから、調整された広範な水飲み場攻撃キャンペーンであることが示唆されます。

感染の試みが停止し、攻撃者のインフラストラクチャ(1dnscontrol[.]comおよび不正コードを含む正規のWebサイトの両方)がオフラインになったのは、10月24日15時(協定世界時)のことでしたが、それまでの期間、ファイア・アイのネットワーク機器は、ドイツ、日本、米国を中心に、10社以上に対する感染の試みを阻止しました。

BADRABBITのアクティビティとの関連性が疑われる、BACKSWINGのフレームワーク
水飲み場攻撃により、付随的な標的の数が膨大になる可能性があります。攻撃者にとって、水飲み場攻撃と、マルウェアのプロファイリングを組み合わせることで、特定のアプリケーションのバージョンや被害者のシステムを標的にするのは一般的です。ファイア・アイの観察によると、悪意あるJavaScriptプロファイリング・フレームワークのBACKSWINGは、早ければ2016年9月から、少なくとも54件の正規サイトに展開されました。こうしたサイトのうち、その後実際にBADRABBITの配布URLにリダイレクトされたものは、ほんの一握りでした。

FireEye iSIGHTインテリジェンスは、BACKSWINGについて2つの明確に異なるバージョンを追跡しており、これらは機能性こそ同じですが、コードのスタイルが異なります。ファイア・アイはBACKSWINGについて、最新のブラウジング・セッション(ユーザーエージェント、HTTPリファラ、クッキー、最新のドメイン)の属性を選択するのに使われる汎用コンテナだと考えています。この情報はその後、「レシーバー」と称されることの多い「C2」に中継されます。レシーバーがオンラインの場合、サーバーは一意のJSON blobを呼び出し元に返し、これは次にBACKSWINGコードによって解析されます(図1)。

図1:BACKSWINGの応答

BACKSWINGは、JSON blobには2つのフィールド、すなわち、「InjectionType」(整数型と予想される)と「InjectionString」(HTMLコンテンツを含む文字列と予想される)があると推定します。BACKSWINGバージョン1(図2)は、「InjectionType」の値を、以下の2つのコードパス対して明示的に処理します。

•           If InjectionType == 1 (Redirect browser to URL)

•           If InjectionType != 1 (render HTML into the DOM)

図2:BACKSWINGバージョン1

バージョン2(図3)の場合、BACKSWINGは同様のロジックを持ってはいるものの、厳格に処理して応答をDOMに送れるよう、「InjectionString」を一般化します。

図3:BACKSWINGバージョン2

バージョン1:

  • ファイア・アイがBACKSWINGのバージョン1を観察したのは2016年後半のことで、モンテネグロの政府機関のWebサイトに加えて、チェコ共和国の医療機関のWebサイトが標的となりました。トルコの旅行関係のWebサイトも、同じプロファイラーのインジェクションを受けました。
  • BACKSWINGバージョン1は、一般的にはクリアテキストの形式で、感染したWebサイトにインジェクションされましたが、時間の経過に伴い、アクターはオープンソースのDean-Edwards Packerを用いてコードを難読化するようになり、感染したWebサイトの正規のJavaScriptリソースへとインジェクションを行いました。図4は、インジェクションの内容です。
  • 2017年5月には、ファイア・アイはBACKSWINGバージョン1の不正アクセスを受けたウクライナのWebサイトを多数観察しており、2017年6月には、BACKSWINGのレシーバーから返されたコンテンツが見受けられました。
  • 2017年6月下旬には、BACKSWINGサーバーは2つの明白な識別子を持つHTML divエレメントを返しました。デコードが行われると、BACKSWINGバージョン1は、「07a06a96-3345-43f2-afe1-2a70d951f50a」と「9b142ec2-1fdb-4790-b48c-ffdf22911104」の値で、DOM内に2つのdivエレメントを組み込みました。これらの応答で、それ以外の内容は確認されませんでした。

図4:BACKSWINGのインジェクション内容

バージョン2:

  • ファイア・アイがBACKSWINGのバージョン2を初めて観察したのは2017年10月5日のことで、対象となったのは、これまではBACKSWINGのバージョン1をホストしていた複数のWebサイトでした。
  • BACKSWINGバージョン2の大半は、感染したWebサイトにホストされた、正規のJavaScriptリソースに対してインジェクションされました。しかし、サイトのメインページにインジェクションが行われた例もありました。
  • 本バージョンをホストするWebサイトの観察例は限られており、これらはBADRABBITと疑われる感染チェーンにも関連していました(詳細は表1を参照)。

悪意あるプロファイラーにより、攻撃者は潜在的な被害者についてより詳細な情報を得てから、ペイロードを展開できます(この場合、BADRABBITの「flash update」ドロッパー)。ファイア・アイでは、BACKSWINGがBADRABBITを提供するのを直接観察してはいませんが、BACKSWINGは複数のWebサイトで観察されており、その際、BADRABBITドロッパーをホストする1dnscontrol[.]comに対し、ファイア・アイの顧客がアクセスしているのを観測しています。

表1は、BADRABBITのペイロード・ディストリビューション用のHTTPリファラとしても使用された、BACKSWINGをホストする正規のサイトです。

不正アクセスを受けたWebサイト

BACKSWINGのレシーバー

BACKSWINGのバージョン

観察されたBADRABBITのリダイレクト

blog.fontanka[.]ru

Not Available

Not Available

1dnscontrol[.]com

www.aica.co[.]jp

http://185.149.120[.]3/scholargoogle/

v2

1dnscontrol[.]com

www.fontanka[.]ru

http://185.149.120[.]3/scholargoogle/

v2

1dnscontrol[.]com

www.mediaport[.]ua

http://172.97.69[.]79/i/

v1

1dnscontrol[.]com

www.mediaport[.]ua

http://185.149.120[.]3/scholargoogle/

v2

1dnscontrol[.]com

www.smetkoplan[.]com

http://172.97.69[.]79/i/

v1

1dnscontrol[.]com

www.smetkoplan[.]com

http://38.84.134[.]15/Core/Engine/Index/default

v1

1dnscontrol[.]com

www.smetkoplan[.]com

http://185.149.120[.]3/scholargoogle/

v2

1dnscontrol[.]com

表1:BACKSWINGプロファイラーをホストするサイトと、
BADRABBITのダウンロードサイトにリダイレクトされたユーザー

不正アクセスを受けたWebサイトの一覧(表1)からは、ファイア・アイがBACKSWINGの潜在的な武器化をいち早く観察したことが明らかとなっています。ファイア・アイの追跡では、BACKSWINGもホストする正規のWebサイトが増加しており、アクターが今後の攻撃で悪用できるであろう基盤が相当規模であることが明確になっています。表2は、BACKSWINGの不正アクセスも受けたサイトの一覧です。

不正アクセスを受けたWebサイト

BACKSWINGのレシーバー

BACKSWINGのバージョン

akvadom.kiev[.]ua

http://172.97.69[.]79/i/

v1

bahmut.com[.]ua

http://dfkiueswbgfreiwfsd[.]tk/i/

v1

bitte.net[.]ua

http://172.97.69[.]79/i/

v1

bon-vivasan.com[.]ua

http://172.97.69[.]79/i/

v1

bonitka.com[.]ua

http://172.97.69[.]79/i/

v1

camp.mrt.gov[.]me

http://38.84.134[.]15/Core/Engine/Index/two

v1

Evrosmazki[.]ua

http://172.97.69[.]79/i/

v1

forum.andronova[.]net

http://172.97.69[.]79/i/

v1

forum.andronova[.]net

http://91.236.116[.]50/Core/Engine/Index/two

v1

grandua[.]ua

http://172.97.69[.]79/i/

v1

grupovo[.]bg

http://185.149.120[.]3/scholargoogle/

v2

hr.pensionhotel[.]com

http://38.84.134[.]15/Core/Engine/Index/default

v1

i24.com[.]ua

http://172.97.69[.]79/i/

v1

i24.com[.]ua

http://185.149.120[.]3/scholargoogle/

v2

icase.lg[.]ua

http://172.97.69[.]79/i/

v1

montenegro-today[.]com

http://38.84.134[.]15/Core/Engine/Index/two

v1

montenegro-today[.]ru

http://172.97.69[.]79/i/

v1

most-dnepr[.]info

http://172.97.69[.]79/i/

v1

most-dnepr[.]info

http://185.149.120[.]3/scholargoogle/

v2

obereg-t[.]com

http://172.97.69[.]79/i/

v1

sarktur[.]com

http://104.244.159[.]23:8080/i

v1

sarktur[.]com

http://38.84.134[.]15/Core/Engine/Index/default

v1

school12.cn[.]ua

http://172.97.69[.]79/i/

v1

sinematurk[.]com

http://91.236.116[.]50/Core/Engine/Index/two

v1

vgoru[.]org

http://172.97.69[.]79/i/

v1

www.2000[.]ua

http://172.97.69[.]79/i/

v1

www.444android[.]com

http://172.97.69[.]79/i/

v1

www.444android[.]com

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.aica.co[.]jp

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.alapli.bel[.]tr

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.ambilet[.]ro

http://185.149.120[.]3/scholargoogle/

v2

www.andronova[.]net

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.chnu.edu[.]ua

http://172.97.69[.]79/i/

v1

www.dermavieskin[.]com

https://bodum-online[.]gq/Core/Engine/Index/three

v1

www.evrosmazki[.]ua

http://172.97.69[.]79/i/

v1

www.hercegnovi[.]me

http://38.84.134[.]15/Core/Engine/Index/two

v1

www.len[.]ru

http://185.149.120[.]3/scholasgoogle/

v2

www.montenegro-today[.]com

http://38.84.134[.]15/Core/Engine/Index/two

v1

www.montenegro-today[.]com

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.otbrana[.]com

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]be

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]cz

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]de

http://172.97.69[.]79/i/

v1

www.pensionhotel[.]de

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]dk

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]nl

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]pl

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.pensionhotel[.]ro

http://46.20.1[.]98/scholargoogle/

v1

www.pensionhotel[.]sk

http://38.84.134[.]15/Core/Engine/Index/default

v1

www.sinematurk[.]com

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.t.ks[.]ua

http://172.97.69[.]79/i/

v1

www.teknolojihaber[.]net

http://91.236.116[.]50/Core/Engine/Index/two

v1

www.uscc[.]ua

http://172.97.69[.]79/i/

v1

www.vertizontal[.]ro

http://91.236.116[.]50/Core/Engine/Index/three

v1

www.visa3777[.]com

http://172.97.69[.]79/i/

v1

www.www.pensionhotel[.]de

http://38.84.134[.]15/Core/Engine/Index/default

v1

表2:BACKSWINGのプロファイラーと関連するレシーバーをホストするその他のサイト

BACKSWINGの不正アクセスを受けたサイトの分布状況からは、金銭目的以外の動機が示唆されます。ファイア・アイは昨年、不正アクセスを受けたトルコとモンテネグロのサイト上で、この枠組みを観察しています。ウクライナのサイトでは、BACKSWINGのインスタンスが急増しており、2017年5月には大幅に増加しました。BACKSWINGをホストするサイトの中には、戦略的な関連性が不明確なものもありますが、展開の動向からは、特定の地域に関心のある戦略的なスポンサーの可能性が高くなっています。

BADRABBITのコンポーネント
図5に示す通り、BADRABBITは複数のコンポーネントで構成されます。

図5:BADRABBITのコンポーネント

「Install_flashPlayer.exe」(MD5:FBBDC39AF1139AEBBA4DA004475E8839)
「install_flashplayer.exe」ペイロードは、「infpub.dat」(MD5: C4F26ED277B51EF45FA180BE597D96E8)を「C:\Windows」ディレクトリにドロップし、「C:\Windows\infpub.dat,#1 15」の引数で「rundll32.exe」を用いてこれを実行します。この実行形式は、「EternalPetya」のそれを模倣しています。

「infpub.dat」(MD5:1D724F95C61F1055F0D02C2154BBCCD3)
「infpub.dat」バイナリは、本ランサムウェアの主要コンポーネントであり、この「BADRABBITのコンポーネント」セクションで紹介する追加コンポーネントのドロップと実行を担当しています。組み込みのRSA-2048鍵は暗号化プロセスを進めるもので、AES-128鍵によってファイルを暗号化します。以下の拡張子は、暗号化の対象となります。

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

以下のディレクトリは、暗号化プロセスの間は無視されます。

  • \Windows
  • \Program Files
  • \ProgramData
  • \AppData

マルウェアは、感染した各ドライブのルートディレクトリに、「Readme.txt」のファイル名で脅迫メッセージを書き込みます。

「inpub.dat」は、WMIまたはSMBを通じ、水平展開することができます。組み込みのMimikatz実行ファイルによって提供される、収集されたクレデンシャルは、ネットワーク上の他のシステムの感染に役立てられます。マルウェアには、一般的なユーザー名、パスワード、名前付きパイプの一覧が記載されており、これを悪用し、他のクレデンシャルのブルートフォース攻撃を行うことで水平展開が可能です。

Dr.Webのアンチウィルス・プロセスの4つのうち1つがシステム上に存在する場合、ファイルの暗号化は実行されません。「-f」コマンドライン引数でマルウェアを実行すると、クレデンシャル窃盗と水平展開がバイパスされます。

「dispci.exe」(MD5:B14D8FAF7F0CBCFAD051CEFE5F39645F)
「dispci.exe」バイナリは、DiskCryptorドライバ(「cscc.dat」)と連動し、悪意あるブートローダーをインストールします。McAfeeのアンチウィルス・プロセスの3つのうち1つがシステム上で実行中であれば、「dispci.exe」は「%ALLUSERSPROFILE%」ディレクトリに、そうでなけれ「C:\Windows」に記述されます。本サンプルは、「rhaegal」という名前のスケジュールタスクを使用し、システム起動時に実行されます。

「cscc.dat」(MD5:B4E6D97DAFD9224ED9A547D52C26CE02またはEDB72F4A46C39452D1A5414F7D26454A)
32/64ビットのDiskCryptorドライバー(「cscc.dat」)は、ディスクの暗号化を進めます。これは、カーネルドライバサービス(「cscc」)として、「\Windows」ディレクトリにインストールされます。

Mimikatzの使用(MD5:37945C44A897AA42A66ADCAB68F560E0または347AC3B6B791054DE3E5720A7144A977)
32/64ビットのMimikatzの亜種は、「C:\Windows」ディレクトリ内に記述された一時ファイル(例:「651D.tmp」)であり、名前付きパイプの文字列(例:\\.\pipe\{8A93FA32-1B7A-4E2F-AAD2-76A095F261DC})を引数として渡すことで実行されます。収集されたクレデンシャルは、「EternalPetya」と同様、名前付きパイプを通じて「infpub.dat」に戻されます。

「BADRABBIT」と「EternalPetya」の比較
「infpub.dat」には、「EternalPetya」と同様のチェックサム・アルゴリズムが含まれています。しかし、最初のチェックサム値は大きく異なり、「infpub.dat」が「0x87654321」なのに対し、「EternalPetya」では「0x12345678」となっています。「infpub.dat」は、「EternalPetya」と同じコマンドライン引数にも対応しており、「-f」引数を追加することで、マルウェアのクレデンシャル窃盗と水平展開の機能をバイパスします。

「EternalPetya」と同様、「infpub.dat」は、システム上に特定のファイルが存在するかを判定し、ファイルが見つかった場合は抜け出します。今回のケースでは、そのファイルは「cscc.dat」です。「infpub.dat」には、「wmic.exe」の水平展開機能が搭載されていますが、「EternalPetya」とは異なり、水平展開の実行で使用される「PSEXEC」バイナリは含まれていません。

いずれのサンプルも、フォレンジック対策として、同じ一連の「wevtutil」と「fsutil」のコマンドを悪用しています。

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %SYSTEMDRIVE%

ファイア・アイの検知内容

製品

検知名

NX,EX,AX,FX,ETP

malware.binary.exe, Trojan.Ransomware.MVX, Exploit.PossibleWaterhole.BACKSWING

HX

BADRABBIT RANSOMWARE (FAMILY), Gen:Heur.Ransom.BadRabbit.1, Gen:Variant.Ransom.BadRabbit.1

TAP

WINDOWS METHODOLOGY [Scheduled Task Created], WINDOWS METHODOLOGY [Service Installation], WINDOWS METHODOLOGY [Audit Log Cleared], WINDOWS METHODOLOGY [Rundll32 Ordinal Arg], WINDOWS METHODOLOGY [Wevtutil Clear-log], WINDOWS METHODOLOGY [Fsutil USN Deletejournal], WINDOWS METHODOLOGY [Multiple Admin Share Failures]

本ブログ記事の調査にご協力いただいた、Edward Fjellskål氏に感謝します。

指標

File: Install_flashPlayer.exe
Hash: FBBDC39AF1139AEBBA4DA004475E8839
Description: install_flashplayer.exe drops infpub.dat

File: infpub.dat
Hash: 1D724F95C61F1055F0D02C2154BBCCD3
Description: Primary ransomware component

File: dispci.exe
Hash: B14D8FAF7F0CBCFAD051CEFE5F39645F
Description: Interacts with the DiskCryptor driver (cscc.dat) to install the malicious bootloader, responsible for file decryption.

File: cscc.dat
Hash: B4E6D97DAFD9224ED9A547D52C26CE02 or EDB72F4A46C39452D1A5414F7D26454A
Description: 32 or 64-bit DiskCryptor driver

File: <rand_4_hex>.tmp
Hash: 37945C44A897AA42A66ADCAB68F560E0 or 347AC3B6B791054DE3E5720A7144A977
Description: 32 or 64-bit Mimikatz variant

File: Readme.txt
Hash: Variable
Description: Ransom note

Command: \system32\rundll32.exe C:\Windows\infpub.dat,#1 15
Description: Runs the primary ransomware component of BADRABBIT. Note that “15” is the default value present in the malware and may be altered by specifying a different value on command line when executing install_flash_player.exe.

Command: %COMSPEC% /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "<%COMSPEC%> /C Start \"\" \"<dispci_exe_path>\" -id
Description: Creates the rhaegal scheduled task

Command: %COMSPEC% /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "%WINDIR%\system32\shutdown.exe /r /t 0 /f" /ST <HH:MM:00>
Description: Creates the drogon scheduled task

Command: %COMSPEC% /c schtasks /Delete /F /TN drogon
Description: Deletes the drogon scheduled task

Command: %COMSPEC% /c wswevtutil cl Setup & wswevtutil cl System & wswevtutil cl Security & wswevtutil cl Application & fsutil usn deletejournal /D <current_drive_letter>:
Description: Anti-forensics

Scheduled Task Name: rhaegal
Scheduled Task Run: "<%COMSPEC%> /C Start \"\" \"<dispci_exe_path>\" -id <rand_task_id> && exit"
Description: Bootloader interaction

Scheduled Task Name: drogon
Scheduled Task Run: "%WINDIR%\system32\shutdown.exe /r /t 0 /f"
Description: Forces a reboot

Service Name: cscc
Service Display Name: Windows Client Side Caching DDriver
Service Binary Path: cscc.dat

「infpub.dat」(1D724F95C61F1055F0D02C2154BBCCD3)からの組み込みユーザー名

Administrator
Admin
Guest
User
User1
user-1
Test
root
buh
boss
ftp
rdp
rdpuser
rdpadmin
manager
support
work
other user
operator
backup
asus
ftpuser
ftpadmin
nas
nasuser
nasadmin
superuser
netguest
alex

「infpub.dat(1D724F95C61F1055F0D02C2154BBCCD3)からの組み込みパスワード

Administrator
administrator
Guest
guest
User
user
Admin
adminTest
test
root
123
1234
12345
123456
1234567
12345678
123456789
1234567890
Administrator123
administrator123
Guest123
guest123
User123
user123
Admin123
admin123Test123
test123
password
111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

「infpub.dat」(1D724F95C61F1055F0D02C2154BBCCD3)からの組み込みパイプ名

atsvc
browser
eventlog
lsarpc
netlogon
ntsvcs
spoolss
samr
srvsvc
scerpc
svcctl
wkssvc

YARAルール

rule FE_Hunting_BADRABBIT {
        meta:version=".2"
        filetype="PE"
        author="ian.ahl @TekDefense & nicholas.carr @itsreallynick"
        date="2017-10-24"
        md5 = "b14d8faf7f0cbcfad051cefe5f39645f"
strings:
        // Messages
        $msg1 = "Incorrect password" nocase ascii wide
        $msg2 = "Oops! Your files have been encrypted." ascii wide
        $msg3 = "If you see this text, your files are no longer accessible." ascii wide
        $msg4 = "You might have been looking for a way to recover your files." ascii wide
        $msg5 = "Don't waste your time. No one will be able to recover them without our" ascii wide
        $msg6 = "Visit our web service at" ascii wide
        $msg7 = "Your personal installation key#1:" ascii wide
        $msg8 = "Run DECRYPT app at your desktop after system boot" ascii wide
        $msg9 = "Password#1" nocase ascii wide
        $msg10 = "caforssztxqzf2nm.onion" nocase ascii wide
        $msg11 = /partition (unbootable|not (found|mounted))/ nocase ascii wide

        // File references
        $fref1 = "C:\\Windows\\cscc.dat" nocase ascii wide
        $fref2 = "\\\\.\\dcrypt" nocase ascii wide
        $fref3 = "Readme.txt" ascii wide
        $fref4 = "\\Desktop\\DECRYPT.lnk" nocase ascii wide
        $fref5 = "dispci.exe" nocase ascii wide
        $fref6 = "C:\\Windows\\infpub.dat" nocase ascii wide
        // META
        $meta1 = "http://diskcryptor.net/" nocase ascii wide
        $meta2 = "dispci.exe" nocase ascii wide
        $meta3 = "GrayWorm" ascii wide
        $meta4 = "viserion" nocase ascii wide
        //commands
        $com1 = "ComSpec" ascii wide
        $com2 = "\\cmd.exe" nocase ascii wide
        $com3 = "schtasks /Create" nocase ascii wide
        $com4 = "schtasks /Delete /F /TN %ws" nocase ascii wide
condition:
        (uint16(0) == 0x5A4D)
        and
        (8 of ($msg*) and 3 of ($fref*) and 2 of ($com*))
        or
        (all of ($meta*) and 8 of ($msg*))

rule FE_Trojan_BADRABBIT_DROPPER
    {
        meta:
            author = "muhammad.umair"
            md5 = "fbbdc39af1139aebba4da004475e8839"
            rev = 1
        strings:
            $api1 = "GetSystemDirectoryW" fullword
            $api2 = "GetModuleFileNameW" fullword
            $dropped_dll = "infpub.dat" ascii fullword wide
            $exec_fmt_str = "%ws C:\\Windows\\%ws,#1 %ws" ascii fullword wide
            $extract_seq = { 68 ?? ?? ?? ?? 8D 95 E4 F9 FF FF 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 C4 00 00 00 8D 85 A8 ED FF FF 50 8D 8D AC ED FF FF E8 ?? ?? ?? ?? 85 C0 0F 84 AA 00 00 00 }
        condition:
            (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 500KB and all of them
    }

rule FE_Worm_BADRABBIT
    {
        meta:
            author = "muhammad.umair"
            md5 = "1d724f95c61f1055f0d02c2154bbccd3"
            rev = 1
        strings:
            $api1 = "WNetAddConnection2W" fullword
            $api2 = "CredEnumerateW" fullword
            $api3 = "DuplicateTokenEx" fullword
            $api4 = "GetIpNetTable"
            $del_tasks = "schtasks /Delete /F /TN drogon" ascii fullword wide
            $dropped_driver = "cscc.dat" ascii fullword wide
            $exec_fmt_str = "%ws C:\\Windows\\%ws,#1 %ws" ascii fullword wide
            $iter_encrypt = { 8D 44 24 3C 50 FF 15 ?? ?? ?? ?? 8D 4C 24 3C 8D 51 02 66 8B 31 83 C1 02 66 3B F7 75 F5 2B CA D1 F9 8D 4C 4C 3C 3B C1 74 07 E8 ?? ?? ?? ?? }
            $share_fmt_str = "\\\\%ws\\admin$\\%ws" ascii fullword wide
        condition:
            (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 500KB and all of them
    }

rule FE_Trojan_BADRABBIT_MIMIKATZ
    {
        meta:
            author = "muhammad.umair"
            md5 = "37945c44a897aa42a66adcab68f560e0"
            rev = 1
        strings:
            $api1 = "WriteProcessMemory" fullword
            $api2 = "SetSecurityDescriptorDacl" fullword
            $api_str1 = "BCryptDecrypt" ascii fullword wide
            $mimi_str = "CredentialKeys" ascii fullword wide
            $wait_pipe_seq = { FF 15 ?? ?? ?? ?? 85 C0 74 63 55 BD B8 0B 00 00 57 57 6A 03 8D 44 24 1C 50 57 68 00 00 00 C0 FF 74 24 38 4B FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 75 3B }
        condition:
            (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 500KB and all of them
    }

rule FE_Trojan_BADRABBIT_DISKENCRYPTOR
    {
        meta:
            author = "muhammad.umair"
            md5 = "b14d8faf7f0cbcfad051cefe5f39645f"
            rev = 1
        strings:
            $api1 = "CryptAcquireContextW" fullword
            $api2 = "CryptEncrypt" fullword
            $api3 = "NetWkstaGetInfo" fullword
            $decrypt_seq = { 89 5D EC 78 10 7F 07 3D 00 00 00 01 76 07 B8 00 00 00 01 EB 07 C7 45 EC 01 00 00 00 53 50 53 6A 04 53 8B F8 56 89 45 FC 89 7D E8 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 5F }
            $msg1 = "Disk decryption progress..." ascii fullword wide
            $task_fmt_str = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" ascii fullword wide
            $tok1 = "\\\\.\\dcrypt" ascii fullword wide
            $tok2 = "C:\\Windows\\cscc.dat" ascii fullword wide
        condition:
            (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 150KB and all of them
    }         

■FireEye(ファイア・アイ)について

FireEye®は、次世代のサイバー攻撃から、世界中の民間企業や官公庁をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを発明した企業です。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、シグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。FireEye®脅威対策プラットフォーム™は、攻撃ライフサイクル全体で、モバイル、Web、電子メール、ファイル・システムといった主要な攻撃経路にわたり、シグネチャを利用しないリアルタイムでダイナミックな脅威防御策を組織へ提供します。FireEyeプラットフォームの核となる仮想実行エンジンは、Dynamic Threat Intelligenceによって補完されており、サイバー攻撃をリアルタイムに検出・防御することができます。FireEyeのソリューションは、世界67か国以上の6,000を超える組織に導入されており、「Forbes Global 2000」企業の650社以上で利用されています。

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 田中
TEL: 03-5159-5750
Email: FireEye_PR@hoffman.com

FireEye, Mandiant, iSIGHTはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。