o
今回は、hack_facebook_pro_v6.9.exeについてのレポートを書いていきます。
syrianmalwareというマルウェアデータベースを利用しました。
マルウェアなのでダウンロードする際には、万全の注意を払ってください。
一切の責任は取れません。
MD5
229af3e4f9dccc0497e7546c09790d50
SHA-256
9d3fac012d1f7a6cf3c7c381e6ef4b2c73d4d8d5a3f6a597d2b2837e115c90a0
SHA1
5a35ec46be8f551ed572ab2fb675f7c09ae7beaf
静的解析
ファイルシグニチャの確認
このようなマルウェアでは、ファイル拡張子が正しいとは限らないためファイルシグニチャを確認します。
ファイルシグニチャをfileコマンドで確認します。
よって、このマルウェアはwindows7で動く32ビットのファイルだと分かりました。
オンラインデータベースでの検索
VirusTotalのリンク
www.virustotal.com
ログインすると詳細な結果を見ることができます。
HybridAnalysisでの検索したリンク
https://www.hybrid-analysis.com/search?query=229af3e4f9dccc0497e7546c09790d50
こちらはログインしなくても詳細な結果を見ることができます。
文字列の抽出
stellaで静的解析
hack_facebook_pro_v6.9.exeの静的解析結果 -------------------------------GET関連 GetCurrentDirectoryW GetLastError GetCurrentProcess GetFileType GetStdHandle GetFileAttributesA GetFileAttributesW GetTickCount GetVersionExW GetFullPathNameA GetFullPathNameW GetModuleFileNameW GetModuleHandleW GetProcessHeap GetLocaleInfoW GetNumberFormatW GetDateFormatW GetTimeFormatW GetExitCodeProcess GetTempPathW GetCommandLineW GetProcAddress GetSystemTime GetCPInfo GetDlgItem GetClientRect GetMessageW GetWindowLongW GetParent GetWindowRect GetWindow GetSystemMetrics GetWindowTextW GetDC GetDlgItemTextW GetClassNameW GetSysColor GetObjectW GetDeviceCaps GetSaveFileNameW GetOpenFileNameW SHGetPathFromIDListW SHGetMalloc SHGetSpecialFolderLocation SHGetFileInfoW -------------------------------DOWNLOAD関連 -------------------------------SET関連 SetDllDirectoryW SetLastError SetFileTime SetFilePointer SetEndOfFile SetFileAttributesA SetFileAttributesW SetEnvironmentVariableW SetCurrentDirectoryW SetWindowLongW SetWindowTextW SetWindowPos SetDlgItemTextW SetFocus SetForegroundWindow SetFileSecurityA SetFileSecurityW RegSetValueExW <asmv3:windowsSettings xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings"> </asmv3:windowsSettings> -------------------------------START関連 RegisterClassExW RegCloseKey RegSetValueExW RegCreateKeyExW RegQueryValueExW RegOpenKeyExW -------------------------------START関連 -------------------------------File関連 SetFileTime MoveFileW SetFilePointer SetEndOfFile GetFileType CreateFileA CreateFileW ReadFile WriteFile GetFileAttributesA GetFileAttributesW SetFileAttributesA SetFileAttributesW DeleteFileW DeleteFileA FindNextFileA FindFirstFileA FindNextFileW FindFirstFileW GetModuleFileNameW DosDateTimeToFileTime FileTimeToSystemTime FileTimeToLocalFileTime MoveFileExW UnmapViewOfFile MapViewOfFile CreateFileMappingW OpenFileMappingW LocalFileTimeToFileTime SystemTimeToFileTime GetSaveFileNameW GetOpenFileNameW SetFileSecurityA SetFileSecurityW SHGetFileInfoW SHFileOperationW -------------------------------RESOURCE関連 FindResourceW -------------------------------computer関連 -------------------------------local関連 GetLocaleInfoW FileTimeToLocalFileTime LocalFileTimeToFileTime -------------------------------device関連 GetDeviceCaps -------------------------------exe関連 ShellExecuteExW <requestedExecutionLevel level="asInvoker" GoogleUp-date.exe -------------------------------sleep関連 Sleep -------------------------------INTERNET関連 -------------------------------dll関連 SetDllDirectoryW COMCTL32.dll SHLWAPI.dll KERNEL32.dll USER32.dll GDI32.dll COMDLG32.dll ADVAPI32.dll SHELL32.dll ole32.dll OLEAUT32.dll -------------------------------その他 AdjustTokenPrivileges OpenProcessToken ShellExecuteExW SHChangeNotify -----------------------------------------------Blacklist検索結果 パス(環境変数)を作成可能性があります。1/2 SHGetSpecialFolderLocation プロセスの作成・削除が行われる可能性があります。1/7 GetExitCodeProcess ファイルの作成、移動、削除が行われる可能性があります。5/7 MoveFileW MoveFileExW WriteFile DeleteFileW DeleteFileA このマルウェアは、ドロッパーの可能性があります。1/7 FindResourceW shellやコマンドプロンプトが使われる可能性があります。3/7 ShellExecuteExW GetCommandLineW SHELL32.dll ユーザーの意図しないスリープをする可能性があります。1/3 Sleep ファイルに何らかの影響を及ぼす可能性があります。5/11 UnmapViewOfFile MapViewOfFile SHChangeNotify AdjustTokenPrivileges OpenProcessToken windowsレジストリに影響を与える可能性があります。1/9 RegCreateKeyExW 実行環境を読み取る可能性があります。1/9 GetLocaleInfoW
マルウェアを導入する前のコンピュータの何らかの設定ファイルの書き換え・削除する可能性があると考えられます。
そして、このマルウェアはFacebookという名前を使っていることから、トロイの木馬と考えられます。
GoogleUp-date.exeというマルウェアは、このhack_facebook_pro_v6.9.exeとハッシュ関数が同じであることから、hack_facebook_pro_v6.9.exeの名前を変えてプログラムがユーザーによって削除されることを防いでいるのだと考えられます。
また、ユーザが消そうとするとスリープするようになります。
動的解析
app.any.run
このサイトと仮想環境を使用して、動的解析を行っていきます。
このように、hack_facebook_pro_v6.9.exeはGoogleUp-date.exeに名前を変更してユーザーに削除されることを防ぐ役割を果たしていると考えられます。
また、GoogleUp-date.exeに名前の変更をするためにレジストリの設定を書き換えていると考えられます。
また、wiresharkを使用してtcpなどで外部と通信しているかを確認すると、
216.6.0.28と通信していました。
ipinfo.io
このサーバーはダマスカスにあるサーバーで、このサーバーとポート885で接続しようとしていました。
メモリフォレンジック
メモリフォレンジックでwindowsAPIを確認すると、
それぞれが見つかりました。
shlwapi.hのSHAutoComplete関数
オートコンプリートを使用してURLまたはファイルシステムパスを完成させるようにシステム編集コントロールに指示するインポート関数
commctrl.hのInitCommonControlsEx関数
Comctl32.dll(共通制御dll)のロードを確認するwindowsAPIがインポートされていました。
このような必要最低限のWindowsAPIしかインポートしない・chrome-Update.exeを生み出す
ということからhack_facebook_pro_v6.9.exeは優良なアプリに見せかけてファイルを不正に削除・書き換えを行うトロイの木馬だと考えられます。
このhack_facebook_pro_v6.9.exeについてまとめてみると、
・
・GoogleUp-date.exeに名前を変えて延命を図る。
・216.6.0.28とTCP通信を試みている。