マルウェア 「Dridex」 の新たな流布方式を確認 (WMIC を利用して XSL を実行)

本内容は、アンラボコリアより発表された内容を翻訳したものです。

--------------------------------------------------------------------------------------------

ASEC 分析チームは6月、金融情報を搾取するマルウェアとして知られている 「Dridex」 の新たな流布方式を確認した。

今回確認された流布方式 (※図 1) は、悪性マクロが含まれた文書ファイルを実行すると、正常な Windows ユーティリティ(WMIC.exe) を利用して悪性 XSL (Extensible Stylesheet Language) 文書スクリプトファイルが実行される方式である。この XSL フォーマットファイルにより感染 PC で Dridex が実行される。 

※ XSL フォーマットは XML 形式であり、javascript、vbscript などのスクリプティングをサポートする文書フォーマットである。

[図 1] Dridex の流布および動作の流れ

Dridex 流布の過程は、大きく以下の３段階に分けられる。 

[1] XSL (Extensible Stylesheet Language) フォーマットファイルを生成

悪性マクロは notepad.exe プロセスを生成し、%appdata% 経路に .txt ファイルを生成する。

- notepad.exe %appdata%\after_seeing_how.txt

その後マクロは notepad.exe プロセスを対象に PostMessageA を呼び出して after_seeing_how.txt ファイル内部に XSL データ (悪性 JavaScript) を保存する。

[図 2] XSL ファイル書き込みのための PostMessageA 呼び出し

[図 3] 生成された XSL ファイルの内部

データ保存が完了したら、マクロは XSL ファイルの拡張子を .txt から .xsl に変更する。

[2] WMIC プロセスを利用して XLS フォーマットファイル (JavaScript) を実行

生成した XLS ファイルを実行するために、以下のコマンドを WMIC プロセスに PostMessageA APIを通じて送信する。

- process list /format: "%appdata%\after_seeing_how.txt"

[図 4] XSL 実行のための PostMessageA 呼び出し

MITRE ATT&CK T1220 (XSL Script Processing) にも該当するこの手法により、攻撃者は正常な Windows ユーティリティ (WMIC.exe) を利用してローカルの悪性スクリプトファイルを実行することができる。正常な Windows ユーティリティを利用して悪性行為を行う目的は、セキュリティ製品を回避するためであると推定される。

[3] 実行されたスクリプトにより Dridex をダウンロード・実行

XSL ファイル内部には悪性 JavaScript が存在し、実行後、Dridex の配布元アドレスから DLL をダウンロードし rundll32.exe で DLL を実行する。

- rundll32.exe c:\Windows\Temp\[５桁(ランダム)].dll DllRegisterServer

現在 V3 製品では、これらのマルウェアを以下の診断名で検知できる。

- W97M/Agent (2020.06.24.04)

- Trojan/Win32.Agent.R341628 (2020.06.25.04)

- Downloader/XSL.Agent (2020.07.07.00)