Capture The Frog

かえるぴょこぴょこw

MENU

Aradamax.exeの解析

マルウェア解析

今回は、Aradamax.exeについてのレポートを書いていきます。

f:id:QWERTYtan:20210817100856p:plain

MD5

e33af9e602cbb7ac3634c2608150dd18
SHA-256

8c870eec48bc4ea1aca1f0c63c8a82aaadaf837f197708a7f0321238da8b6b75
SHA1

8f6ec9bc137822bc1ddf439c35fedc3b847ce3fe



theZooというオンラインデータベースからダウンロードしてきました。

github.com


マルウェアなのでダウンロードする際には、万全の注意を払ってください。
一切の責任は取れません。

 

 

 

f:id:QWERTYtan:20210817101456p:plainf:id:QWERTYtan:20210817101531p:plain

こうしてダウンロードしたファイルをunzipコマンドを使ってzipファイルを解凍します。

静的解析

ファイルシグニチャの確認

このようなマルウェアでは、ファイル拡張子が正しいとは限らないためファイルシグニチャを確認します。
ファイルシグニチャをfileコマンドで確認します。

f:id:QWERTYtan:20210817100537p:plain

よって、このマルウェアWindows7で動く32ビットのファイルだと分かりました。

 

オンラインデータベースでの検索

www.virustotal.com


ログインすると詳細な結果を見ることができます。

 

https://www.hybrid-analysis.com/sample/8c870eec48bc4ea1aca1f0c63c8a82aaadaf837f197708a7f0321238da8b6b75/5742c1f5aac2ed007be6d8da


こちらはログインしなくても詳細な結果を見ることができます。

 

文字列の抽出

文字列とはファイル内に埋め込まれたASCII・Unicodeで表現可能な文字列のことです。これらを抽出すると、マルウェアの機能などに関する手がかりがつかめます。
stringsコマンドは、4文字以上のASCII文字列を抽出します。
また、Flossツールを使用した難読化された文字列のデコードも行いました。
難読化とは、アンチウイルスソフトなどにウイルスと認識されないために行う手順の一つです。実際にパターンマッチング形式を用いたアンチウイルスソフトなどには見つかりにくいです。


これらの実行結果でAradamx.exeの特徴が見られた興味深い文字列

GetProcAddress
GetTempFileNameW
GetModuleFileNameW
GetModuleHandleW
GetTempPathW
GetModuleHandleA
GetStartupInfoA

SetFilePointer

__setusermatherr
__set_app_type

ReadFile
WriteFile
DeleteFileW

CreateFileW

LoadLibraryW
invalid block type
??1type_info@@UAE@XZ
__set_app_type
.?AVtype_info@@

MSVCRT.dll
__dllonexit
KERNEL32.dll
USER32.dll

上記コマンドの全ての実行結果がみたい場合

github.com

このAPIたちを見てみて分かったこととしては、このマルウェアは自身をスタートアップに登録することで再起動したときに自動的に起動しようとしている。

ファイルを新規作成・削除しようとしている。

ファイルを新しく作成して、そこにタイピングした文字を入力しようとしている?

 

動的解析

inetsimを使って擬似的な応答を返しながら、wiresharkで監視していきたいと思います。

f:id:QWERTYtan:20210817165924p:plain

このAradamax.exeはファイルのダウンロードやアップロードは静的解析での読み通り行っていませんでした。

また、特にGUIに変化は見られませんでした。

メモリフォレンジック

今回のような、

・ダウンロードするWindowsAPIが見当たらない
Skype.exeのようなドロッパーの機能が見当たらない
・関数をつかってキーロガーしているっぽい

これを踏まえるとこのマルウェアは「キーロガー」だと推定されます。

キーロガー」とは、タイプされたキーボードを傍受し、記録するように設計されたプログラムのことです。しかし、まだ断定できるほどの情報が集まっていません。

そのため、逆アセンブラしてWindowsAPI・自作関数の行っていることを読み取ることによって、「キーロガー」だろうという推察を確定させていきたいと思います。

キーロガー」は多くの場合、実行ファイルの

 

GetAsyncKeyState関数 キーボード上のキーのどれが押されたかを判断する、

SetWindowsHookEx関数 キーストロークをファイルに記録、ネットワーク経由で送信

 

www.tokovalue.jp

docs.microsoft.com

などが使われます。

しかし、これらのAPIは静的解析では見当たりませんでした。

f:id:QWERTYtan:20210817121254p:plain

f:id:QWERTYtan:20210817121350p:plain

そのため、このマルウェアでは__set_app_type中でこのAPIと同じ、もしくは

似たような処理をしていると考えられます。

また、静的解析の際にGetTempFileNameWがありましたよね。

このtmpファイルの中に、キーロガーをおこなっている証拠となるAPIが見つけられるのではないかと思いました。

 

tmpファイルの中に、

f:id:QWERTYtan:20210817154134p:plain

GetStringTypeW関数やKeybd_eventなどのキーストロークを監視することができる関数が多数見つかりました。写真内のkeyboard-and-mouseと書かれているAPIキーロガーするためのAPIです。また、このAPIは、DPBJ.exeによって行われたと考えられます。また、下のアドレスを利用してキーロガーした情報を送信していたのではいかと考えられます。

www.ardamax.com

techsupp@ardamax.com

http://aliahmahhmod.zapto.org/

 

 

ちょっと脱線

キーロガー作成ソフト

また、tmpファイルのAPIを探していたときに、

tmpファイルの中にこんな

f:id:QWERTYtan:20210817151322p:plain

怪しいstringsを見つけました。

これをgoogle検索にかけると、こんなものが見つかりました。

https://crackintopc.com/ardamax-keylogger-crack-plus-registration-key-latest/

また、こんな文字列もtmpファイルから見つかりました。

どうやらイタリア語で書かれたマルウェア作成ソフトらしいです。

f:id:QWERTYtan:20210817152042p:plain

最初は「こんなものもあるのか」ってびっくりしましたが、

そのあともずっとログをたどっていくとこのキーロガーソフトを作成者も使いこなせていないようで、作成時のエラーメッセージと思われる文が多くあり、おかしかったです。

 

 

結論

このAradamax.exeは「キーロガー」であると断定することができました。

 

このAradamax.exeについてまとめてみると、

・Aradamax.exeは、対象のキーストローク情報を傍受・送信をする

 「キーロガー」である。

です。