※この記事は、昨日(2017/11/15)書いたTA17-318Aの内容の”後編”として、TA17-318Bの内容をまとめていきます。

関連: US-CERTが北朝鮮HIDDEN COBRAのマルウェア”Volgmer”に関する注意喚起(TA17-318A)を発表。(前編)

TA17-318Bの概要

TA17-318Bは、HIDDEN COBRAが使用したマルウェア・「Volgmer」に関するIOC、関連IPアドレス、マルウェアの説明、シグネチャに関する記述がされている。

また、TA17-318Bには、Volgmerへの対策方法や、インシデントのレポート方法も記述してある。

もし万が一、Volgmerの被害に遭った場合、直ちにDHSかFBI Cyber Watch(CyWatch)に報告してほしい旨が書かれている。

TA17-318Aの概要欄には、IOC、並びにマルウェア分析レポート(MAR)に関する文書が記載されているので、興味のある人は参照するといいだろう。

直リンクを貼るのはセキュリティ的に問題があるので、ダウンロードリンクのある場所を、実際のページのスクリーンショット画像として示しておく。

(TA17-318Bの”Overview”配下にIOCのリンクがある。)

Volgmerについての説明

調査によれば、HIDDEN COBRAはVolgmerを2013年から使用していたとされる。

Volgmerのターゲットは、主に以下の業界。

• 政府機関
• 金融機関
• 自動車
• マスメディア

Volgmerは、backdoor Trojan(バックドアとしてターゲット端末に潜伏するトロイの木馬)で、攻撃者とターゲット端末間で通信を行う為に潜伏する。

HIDDEN COBRAは、主に標的型メール攻撃を使ってVolgmerを拡散するようだ。

ただ、HIDDEN COBRAは、ターゲットをエクスプロイトするために必要な様々ななツールを使用する事が確認されている。

その為、Volgmerをターゲット端末に潜伏させる為に、標的型メール以外の攻撃手法を使用する可能性もある。

言い換えると、Volgmerに感染した端末には、Volgmer以外のマルウェアが潜伏しているケースもある事になる。

アメリカ政府の調査によれば、Volgmerには静的・動的IPアドレスの2種類が設定されているようだ。

静的IPアドレスに関して言えば、最低でも94の静的IPアドレスが指定されている。

動的IPアドレスは、様々な国のドメインサービスから取得されており、主に以下の国々に集中しているという。

• インド…25.40%
• イラン…12.30%
• パキスタン…11.30%
• サウジアラビア…6%
• 台湾…5.60%
• タイ…4.60%
• スリランカ…4%
• 中国(香港含む)…2.70%
• ベトナム…2.60%
• インドネシア…2.20%
• ロシア…2.20%
• その他…21.10%

以上のリストだけではイメージが掴みにくいので、以下に円グラフを掲載しておく。

Technical Details

Volgmerの持つ機能について

Volgmerは、backdoor Trojan(バックドア・トロイの木馬)として以下の機能を持つ。

• システム情報の収集
• サービスレジストリキーの更新
• ファイルのダウンロード/アップロード
• コマンドの実行
• プロセスの終了
• リスト
• ボットネットのコントロール

ペイロード

Volgmerのペイロードは、32bitの*.exeファイルか、*.dllファイルと言われている。

Volgmerは、TCPポート8080番か8088番を使って、カスタムされたバイナリ転送プロトコルでC&Cサーバーとの通信を行う。

尚、通信はSSLで暗号化されているようだ。

参考: バイナリ転送プロトコル(Wikipedia)

検知とレスポンス

TA17-318Bに記載されているIOCには、HIDDEN COBRAを検知する為に必要な情報を記載している。

DHSとFBIは、ネットワーク管理者は、IOCを参照し、そこに記載されているIPアドレスが自身の管理するIPアドレスに該当するかどうかチェックすることをお薦めしている。

ネットワークシグネチャとHost-Basedルール

TA17-318Bには、ネットワークシグネチャも記載されている。

ネットワークシグネチャを使うにあたって、誤検知アラート(False Positive)が上がる可能性は拭いきれないので、「あくまで参考として使用してもらいたい」と述べている。

ネットワークシグネチャ

※最大限注意を払ってコピペして掲載しているが、誤記入している可能性もあるので、念のためシグネチャは元ページから参照頂きたい。

以下は参考としてコピペしたものを掲載しておく。

alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)

YARA Rule

rule volgmer
{
meta:
    description = "Malformed User Agent"
strings:
    $s = "Mozillar/"
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s
}

Volgmerによる感染の影響

Volgmerがネットワークに侵入できた場合、機密情報漏洩など、深刻な影響を及ぼす可能性がある。

• 一時的、又は永続的な重要/機密情報の喪失
• 通常オペレーションの妨害
• 損なわれたシステムやファイル復元に関する金銭的損失
• 被害にあった組織の社会的信用の損失

対策方法 

• アプリケーションのホワイトリストを設定し、組織で認証されていないアプリケーションによって通信が行われるのを防ぐ
• OSとソフトウェアを最新の状態にアップデートする
• アンチウイルスソフトと定義データベースを最新の状態にアップデートする
• 組織内のユーザーのアクセスコントロールを行い、アプリケーションのインストール制限を行う。
• Eメールに添付されていた文書のマクロの実行を制限する
• Eメールに書かれている行き先不明のリンクを踏まない 

Volgmerによる感染被害を確認した場合

直ちにDHSかFBIオフィスに連絡する事。

• DHS NCCIC(NCCICCustomerService[at]hq.dhs.gov)又は+1-888-282-0870
• FBI’s Cyber Division(CyWatch[at]fbi.gov)又は+1-855-292-3937

合わせて読みたい: US-CERTが北朝鮮HIDDEN COBRAのマルウェア”Volgmer”に関する注意喚起(TA17-318A)を発表。(前編)