今回は、Aradamax.exeについてのレポートを書いていきます。
e33af9e602cbb7ac3634c2608150dd18
SHA-256
8c870eec48bc4ea1aca1f0c63c8a82aaadaf837f197708a7f0321238da8b6b75
SHA1
8f6ec9bc137822bc1ddf439c35fedc3b847ce3fe
theZooというオンラインデータベースからダウンロードしてきました。
マルウェアなのでダウンロードする際には、万全の注意を払ってください。
一切の責任は取れません。
こうしてダウンロードしたファイルをunzipコマンドを使ってzipファイルを解凍します。
静的解析
ファイルシグニチャの確認
このようなマルウェアでは、ファイル拡張子が正しいとは限らないためファイルシグニチャを確認します。
ファイルシグニチャをfileコマンドで確認します。
よって、このマルウェアはWindows7で動く32ビットのファイルだと分かりました。
オンラインデータベースでの検索
ログインすると詳細な結果を見ることができます。
こちらはログインしなくても詳細な結果を見ることができます。
文字列の抽出
文字列とはファイル内に埋め込まれたASCII・Unicodeで表現可能な文字列のことです。これらを抽出すると、マルウェアの機能などに関する手がかりがつかめます。
stringsコマンドは、4文字以上のASCII文字列を抽出します。
また、Flossツールを使用した難読化された文字列のデコードも行いました。
難読化とは、アンチウイルスソフトなどにウイルスと認識されないために行う手順の一つです。実際にパターンマッチング形式を用いたアンチウイルスソフトなどには見つかりにくいです。
これらの実行結果でAradamx.exeの特徴が見られた興味深い文字列
GetProcAddress
GetTempFileNameW
GetModuleFileNameW
GetModuleHandleW
GetTempPathW
GetModuleHandleA
GetStartupInfoA
SetFilePointer
__setusermatherr
__set_app_type
ReadFile
WriteFile
DeleteFileW
CreateFileW
LoadLibraryW
invalid block type
??1type_info@@UAE@XZ
__set_app_type
.?AVtype_info@@
MSVCRT.dll
__dllonexit
KERNEL32.dll
USER32.dll
上記コマンドの全ての実行結果がみたい場合
このAPIたちを見てみて分かったこととしては、このマルウェアは自身をスタートアップに登録することで再起動したときに自動的に起動しようとしている。
ファイルを新規作成・削除しようとしている。
ファイルを新しく作成して、そこにタイピングした文字を入力しようとしている?
動的解析
inetsimを使って擬似的な応答を返しながら、wiresharkで監視していきたいと思います。
このAradamax.exeはファイルのダウンロードやアップロードは静的解析での読み通り行っていませんでした。
また、特にGUIに変化は見られませんでした。
メモリフォレンジック
今回のような、
・ダウンロードするWindowsAPIが見当たらない
・Skype.exeのようなドロッパーの機能が見当たらない
・関数をつかってキーロガーしているっぽい
これを踏まえるとこのマルウェアは「キーロガー」だと推定されます。
「キーロガー」とは、タイプされたキーボードを傍受し、記録するように設計されたプログラムのことです。しかし、まだ断定できるほどの情報が集まっていません。
そのため、逆アセンブラしてWindowsAPI・自作関数の行っていることを読み取ることによって、「キーロガー」だろうという推察を確定させていきたいと思います。
「キーロガー」は多くの場合、実行ファイルの
GetAsyncKeyState関数 キーボード上のキーのどれが押されたかを判断する、
SetWindowsHookEx関数 キーストロークをファイルに記録、ネットワーク経由で送信
などが使われます。
しかし、これらのAPIは静的解析では見当たりませんでした。
そのため、このマルウェアでは__set_app_type中でこのAPIと同じ、もしくは
似たような処理をしていると考えられます。
また、静的解析の際にGetTempFileNameWがありましたよね。
このtmpファイルの中に、キーロガーをおこなっている証拠となるAPIが見つけられるのではないかと思いました。
tmpファイルの中に、
GetStringTypeW関数やKeybd_eventなどのキーストロークを監視することができる関数が多数見つかりました。写真内のkeyboard-and-mouseと書かれているAPIがキーロガーするためのAPIです。また、このAPIは、DPBJ.exeによって行われたと考えられます。また、下のアドレスを利用してキーロガーした情報を送信していたのではいかと考えられます。
http://aliahmahhmod.zapto.org/
ちょっと脱線
キーロガー作成ソフト
また、tmpファイルのAPIを探していたときに、
tmpファイルの中にこんな
怪しいstringsを見つけました。
これをgoogle検索にかけると、こんなものが見つかりました。
https://crackintopc.com/ardamax-keylogger-crack-plus-registration-key-latest/
また、こんな文字列もtmpファイルから見つかりました。
どうやらイタリア語で書かれたマルウェア作成ソフトらしいです。
最初は「こんなものもあるのか」ってびっくりしましたが、
そのあともずっとログをたどっていくとこのキーロガーソフトを作成者も使いこなせていないようで、作成時のエラーメッセージと思われる文が多くあり、おかしかったです。
結論
このAradamax.exeは「キーロガー」であると断定することができました。
このAradamax.exeについてまとめてみると、
・Aradamax.exeは、対象のキーストローク情報を傍受・送信をする
「キーロガー」である。
です。