Glupteba マルウェア亜種の分析例

最近、マルウェア「gluteba」によるサイバー攻撃が発見されました。これは、「windigo」と呼ばれる攻撃キャンペーンで発見され、脆弱性を介して Windows ユーザーに拡散した古いマルウェアです。

2018 年、あるセキュリティ会社は、Glupteba が Windigo とは独立して行動し、インストールごとに課金するアドウェア サービスに移行したと報告しました。 Glupteba のアクティビティには、プロキシ サービスの提供、マイニング アクティビティの脆弱性の悪用など、さまざまな目的があります。

最近発見された Glupteba の亜種を調査した結果、Glupteba マルウェアの外部に文書化されていない 2 つのコンポーネントを発見しました:

1. ブラウザから機密データを盗むことができるブラウザ盗用プログラム。閲覧履歴、Web サイトの Cookie、アカウント名、パスワードなどの情報をリモート サーバーに送信します。

2. CVE-2018-14847 脆弱性を利用して、ローカル ネットワーク内の Mikrotik ルーターを攻撃します。盗んだ管理者の資格情報をサーバーにアップロードします。ルーターは代理リレーとして使用されます。

さらに、Glupteba では、ビットコイン トランザクションを使用して最新の C&C ドメイン名を取得できることも発見しました。この機能については次のセクションで詳しく説明します。マルウェア開発者は今もソフトウェアを改良し、プロキシ ネットワークを IoT デバイスに拡張しようと取り組んでいます。

Glupteba ダウンロード分析

この段落は次のように書き換えることができます: カスタム パッケージング プログラムは次のようになります。 Go プログラミング言語で記述され、ダウンロードされたバイナリをパッケージ化するために使用される実行可能ファイルにコンパイルされます。構成情報を初期化するときは、まず現在のアプリケーション情報、操作情報、ハードウェア情報、および一部のハードコーディングされたバイナリ情報を取得する必要があります。レジストリ キー hkey_users\\software\microsoft\testapp を作成し、取得したすべての情報を保存します。初期化関数の実行結果を次の図に示します。

sendparentprocesss 関数は、レジストリから machine_guid を取得し、ファイル名、pid、および親プロセスの名前からディストリビュータ ID とアクティビティ ID を取得します。プログラムは、AES 暗号化アルゴリズムを使用して POST リクエストに情報を埋め込み、C&C サーバーにアップロードします。

次に、プロセスが昇格され、システム ユーザーとして実行されているかどうかを確認します。プロセスが昇格されていない場合、プロセスは fodhelper メソッドを使用して特権を高めようとします。システム ユーザーとして実行していない場合は、「信頼されたインストーラーとして実行」モードを使用して起動されます。

次の主なコマンドがあります:

関数 mainstall は、インストールされているウイルス対策プログラムを確認し、ファイアウォール ルールを追加し、Defender の除外を追加します。

関数 mainpoll は、C&C サーバーに新しいコマンドを定期的にポーリングします。 AES によって暗号化されていない POST パラメータは次のとおりです。

challenge=e94e354daf5f48ca&cloudnet_file=1&cloudnet_process=1&lcommand=0&mrt=1&pgdse=0&sb=1&sc=0&uuid=&version=145&wup_process=1&wupv=0.

最後に、関数 handle コマンドはバックドア関数を実装します。

C&C 更新機能

バックドアには標準機能のほとんどが備わっており、マルウェアは Discoverdomain 経由でブロックチェーン経由で更新できます。機能C&Cサーバーアドレス。

DiscoverDomain 関数は、自動的に実行することも、バックドア コマンドを通じて実行することもできます。 Discoverdomain は、まずパブリック リストを使用して Electrum ビットコイン ウォレット サーバーを列挙し、次にハードコードされたハッシュを使用して履歴のクエリを試みます。

ブラウザが情報を盗むコンポーネント

glupteba 亜種に含まれるコンポーネントは「updateprofile」と呼ばれるもので、ブラウザ設定ファイルと Cookie およびパスワード抽出ツール。情報収集サーバーは、圧縮された Cookie、履歴、その他のプロファイルを収集します。このコンポーネントも Go で書かれ、実行可能にコンパイルされ、upx でパッケージ化されています。

ブラウザ スティーラーの別のバージョンは、「vc.exe」と呼ばれます。ブラウザに保存されているパスワードやCookieデータを抽出し、情報収集サーバーに送信するように設計されています。

ルーター攻撃コンポーネント

私たちが見つけたもう 1 つのコンポーネントは、ルーター攻撃コンポーネントです。これも go 言語で開発されています。 wmi コマンド「selectdefaultipgateway from win32_networkadapterconfiguration where ipenabled=true」を呼び出して、被害ネットワークのデフォルト ゲートウェイを表示し、デフォルト IP ゲートウェイのリストを取得できます。

これらのアドレスに加えて、次の 3 つのデフォルト アドレスが追加されました: 192.168.88.11、192.168.0.1、192.168.1.1。

コンポーネントがポート 8291 でリッスンしているデバイスに正常に接続すると、CVE-2018-14847 脆弱性を悪用してデバイスを攻撃しようとします。これは、Mikrotik ルーターで使用される Routeros システムに影響します。これにより、攻撃者はパッチが適用されていないルーターから管理者の資格情報を取得できます。取得したアカウント名とパスワードはjsonオブジェクトに格納され、暗号化されてc&cサーバーに送信されます。

資格情報の取得に成功すると、ルーターのスケジューラにタスクが追加されます。スケジューラ タスクを追加するには、winbox プロトコルを使用する方法、ssh を使用する方法、または API を使用する方法の 3 つがあります。

ルーター トラフィック リレー

上記の設定後、ルーターは攻撃者がトラフィックを中継するための SOCKS プロキシになります。攻撃者は、サーバーに最初のリモート接続を Socks プロキシ経由でルーティングさせる可能性があります。このサーバー クエリは、現在の SOCKS プロキシ サーバーの IP アドレスを返します。このクエリは、おそらく SOCKS プロキシ サービスを監視するために繰り返し送信されます。

ルーターのステータスを最初に確認した後、プロキシの異なるサーバーに接続する 2 種類のトラフィックが存在します。 1 つ目はスパム トラフィックです。ルーターの Socks プロキシを使用して、リモート サーバーは複数の異なるメール サーバーから smtp に接続します。メール サーバーが接続を受け入れると、リモート サーバーはスパムの送信を開始します。

スパム トラフィックに加えて、Instagram に繰り返し接続する一連のリモート サーバーからの他のトラフィックもあります。トラフィックは HTTPS 暗号化によって保護されているため、これらの接続の正確な目的を判断することはできません。 Instagram に対するパスワード再利用攻撃である可能性があります。

セキュリティに関するアドバイス

マルウェアは、ユーザーや企業に影響を及ぼす広範囲にわたる脅威です。ゲートウェイ、エンドポイント、ネットワーク、サーバーに至るまで、セキュリティに対する多層的なアプローチが重要です。

ほとんどの家庭用およびオフィス用デバイスはルーターに接続されているため、ルーターを設定する際にはセキュリティを優先する必要があります。ユーザーと企業は、脅威から保護するために適切なセキュリティ対策を採用できます。さらに、関連ツールを使用してホーム ネットワークと接続デバイスにセキュリティ層を追加し、セキュリティ防御をさらに強化します。

以上がGlupteba マルウェア亜種の分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。