ビットコイン泥棒 Dyreza のコアコードと技術分析

この記事では、連携して動作する 2 つのペイロードを分析します。1 つは Upatre (他のマルウェアをダウンロードする) と呼ばれ、もう 1 つは Dyreza (ユーザーの ID 情報を盗む) と呼ばれます。これまで、私たちは Dyreza のコアコードとそれが使用するテクノロジーを分析してきました。次に、段階的に分析していきます。

Dyrezaとは何ですか?

Dyreza の目的は銀行口座とビットコインを盗むことでした。全体のプロセスでは、まず Upatre を通じて Dyreza をダウンロードします。調査によると、現在 Dyreza のダウンロードを提供しているサーバーはすべてルーター (主に AirOS と MicroTik) です。攻撃者は、さまざまな暗号化されたリソースパッケージを含む侵入されたルーターを利用しました。感染したマシンは、Upatre を通じてルーターに保存されている暗号化された悪意のあるコードプログラムをダウンロードし、ユーザーのシステムでそれを復号化して Dyreza トロイの木馬を取得します。

私たちの分析の重要性は、悪意のあるプログラムの Dyreza ファミリーには多くの亜種が存在するものの、それらの主な動作の軌跡には依然として共通点があるということです。それぞれの特徴や共通点を分析することで、より効果的に身を守ることができます。

0×00 サンプル分析

－－－－－

サンプル: ff3d706015b7b142ee0a8f0ad7ea2911

ボットネットクライアントである Dyreza の実行可能ファイルは、主な悪意のある操作を実行する役割を担っています。

－－－－－

サンプル：

5a0e393031eb2accc914c1c832993d0b – Dyreza DLL (32ビット)

91b62d1380b73baea53a50d02c88a5c6 – Dyreza DLL (64 ビット)

－－－－－

0×01行動分析

Dyreza がコンピュータに感染し始めると、急速に広がります。プロセス管理で確認できます。最も直感的な点は、explorer、svchost、taskeng などのプロセスなど、多くの新しいプロセスが作成され、終了することです。この段階では、実行プロセスを混乱させ、セキュリティ担当者の調査と分析を妨害します。

次に、正規表現 [a-zA-Z]{15}.exe を使用して疑似ランダムコードで名前が付けられた 2 つの悪意のあるプログラムファイル (つまり、vfHNLkMCYaxBGFy.exe) を C:\Windows および %APPDATA% ディレクトリにコピーし、タスクスケジューラに新しいタスクを追加して、悪意のあるプログラムのサンプルを 1 分ごとに継続的に実行し、悪意のあるプログラムが継続的に実行されるようにします。

次に、他のプロセス (svchost、エクスプローラーなど) に悪意のあるコードを挿入し、外部の C&C サーバーと通信します。

上記の観察から、VirusTotal では、svchost および explorer プロセスと通信するサービスアドレスがすでに悪意のあるアドレスとしてマークされていることがわかります。主な結果は次のとおりです。

• 141.8.226.14 -> ウイルストータル/141.8.226.14/情報

• 83.241.176.230 -> ウイルストータル/83.241.176.230/情報

• 197.231.198.234 -> ウイルストータル/197.231.198.234/情報/

ウェブブラウザがインストールされると、悪意のあるコードがブラウザプロセスに直接挿入され、不正な外部接続が行われます。このようにして、マルウェアは外部の C&C サーバーとの接続を維持しながら、ユーザーアクティビティを監視し、さまざまな ID 認証情報を盗む機能も実行します。

調査により、Dyreza は取得した情報を C&C サーバーに送信する前に、TEMP というフォルダーに小さなデータベースとして保存することも判明しました。

0×02 コード分析

環境試験

1. 実行前検出 - マシン上の CPU 数が 2 未満であることを検出すると、Dyreza は実行されません。このテクノロジは、プログラム自体が仮想マシン環境で実行されていないことを確認するための自己保護に使用されます。というのも、現在の市場や機器構成の状況から、シングルコアCPUを採用することが多い仮想マシンを除き、物理マシンはデュアルコア以上が一般的であり、Dyrezaでもこれを判断基準としているからです。 Dyrezaはプロセス環境ブロック下のスレッド情報ブロック内のFS:[0x30]領域の情報を検出して判断します。悪意のあるプログラムは、CPU の数が 2 より大きい (2 を含む) ことを確認した後にのみ実行を続行します。

2. 実行の開始時に、マルウェアは新しく割り当てられたメモリページに追加のフォームを読み込みます。実行中に、モジュール名と関数の暗号化解除が始まります。

3. 実行環境の検出 - LookupPrivilegeValue 関数の SeDebugPrivilege パラメータを使用して、インストールがデバッガーの下にあるかどうかを判断します。戻り値がゼロ以外の場合、悪意のあるプログラムの実行は終了します。

4. 以下の検出方法により効果的な実行が行われます。最初に、初期環境に基づいて、プログラム実行時の実行可能パスやパラメータなどのパスが追跡され、検出されます。最初にインストールされると、自身をコピーし、コピーしたファイルを C:\Windows および %APPDATA% ディレクトリに配置し、コピーしたプログラムを新しいプロセスとしてインストールします。有効なパスと初期パラメータにデプロイされ、検証に合格した場合、次のステップでは、初めてのインストールであるかどうかを確認します。この手順は、特定のグローバルミューテックスを作成することによって実現されます (名前は、GetComputerName 関数と RtlGetVersion 関数を通じて取得されたコンピューター名とシステムバージョンのハッシュ値です)。

5. この条件が満たされ、ミューテックスがすでに存在する場合は、最も重要なステップに進み、悪意のあるコードを実行します。最初に、暗号化されたデータとキーが実行可能リソースバンドルから読み込まれます。

上記のように、T1RY615NR は暗号化された 32 ビットコード、YS45H26GT は暗号化された 64 ビットコード、UZGN53WMY はキーです。

次のステップは、コードを解凍して取り出すことです。

解凍アルゴリズムも非常にシンプルです。 key_data には値とデータ (key_data 内の値のインデックスリスト) が含まれます。対応するインデックスリストを通じて対応する値を読み取ります。対応するコードは次のとおりです。

デコード(データ、キーデータ):
デコード = bytearray()
iが範囲(0, len(データ))内にある場合:
val_index = データ[i]
デコードされた.append(key_data[val_index])
デコードされた戻り値

復号実行コードは次のとおりです。

 argparseをインポートする
ハッシュライブラリをインポートする
Crypto.CipherからAESをインポート
BS = 16
パッド = ラムダ s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
アンパディング = ラムダ s : s[:-ord(s[len(s)-1:])]
aes_decrypt(enc, iv, キー)を定義します。
暗号 = AES.new(キー、AES.MODE_CBC、iv)
unpad(cipher.decrypt(enc)) を返す

詳細な実行コードについては、dyrezadll_decoder.pyを参照してください。

復号化されたファイルには、インジェクション用のシェルコードと、悪意のあるプログラムの機能を呼び出すための DLL (32/64 ビットと互換性あり) が含まれています。