IcedIDに感染させるWordファイル調査
Emotetに代わり11/3あたりから届き始めている #IcedID のこんな感じ。
— さとっぺ (@satontonton) 2020年11月5日
■件名
Re:●●
FW:●●
(●●は実際の件名)
■本文
下図参照
(返信を装ってますが、実際の過去本文があるものは見ていません)
■添付ファイルhttps://t.co/vL5vQnDQzMhttps://t.co/dvfPzmKMNc
いずれもパスワード付きzip pic.twitter.com/IVH9YnO34R
最近Emotetがおとなしい代わりに、IcedIDと呼ばれるマルウェアの感染を狙ったメールが頻繁に届いているようです。添付のWordファイルを開いてマクロを有効化すると感染するとのことで、簡単にWordファイルを調査してみたのでメモを残します。
- Wordファイルを開く
Wordファイルを開くとこのような画面が表示され、日本語文で「コンテンツの有効化」をクリックするように誘導してきます。 - 「コンテンツの有効化」をクリック
「コンテンツの有効化」をクリックするとマクロが実行され、in.comなるプログラムが動いていることを確認できます。 - 作成されたファイルを確認
Tempフォルダにin.comとin.htmlという2つのファイルが作成されています。確認すると、in.comは、Windowsに標準で存在するmshta.exeのコピーでした。
また、in.htmlはHTML Application(HTA)で、外部からIcedIDと呼ばれるマルウェアをダウンロードして実行するコードが書かれています。
- 変更されたレジストリを確認
3.のHTML Application(HTA)が実行されると、HKEY_CURRENT_USER\\Software\\mysoftware1\\key1
のレジストリに書き込みが行われます。key1はすぐに削除されますが、mysoftware1は残ったままでした。 - ダウンロードされたファイルと実行方法を確認
3.のHTML Application(HTA)のコードを少し綺麗にすると画像のようになります。ダウンロードしたファイルは、Tempフォルダにtemp.tmpとして保存され、Windowsに標準で存在するregsvr32.exeを使って実行されることがわかります。
上記で簡単に挙動を記載してみました。いつまで同じ動作かは分かりませんが、
- Tempフォルダにin.com、in.html、temp.tmpといった名前のファイルが存在しないか
- Tempフォルダにmshta.exeのコピーが存在しないか
- HKEY_CURRENT_USER\\Software\\mysoftware1のレジストリが存在しないか
等々を調べてみると、感染有無を調べる際に役立つかもしれません。