Tag Archives: Backdoor.Egobot

Infostealer.Nemim: ?????? Infostealer ??????

寄稿: Satnam Narang

Backdoor.Egobot に関する先のブログでは、Egobot が目立たないように潜伏しながら特定の業種を標的にする手法について概要をお伝えしました。Egobot の背後にいるサイバー犯罪者は、さらに広く攻撃を拡散するために、Infostealer.Nemim も開発したようです。攻撃範囲こそ異なりますが、どちらも侵入先のコンピュータから情報を盗み出すものであり、2 つとも同じ出どころから発生している節があります。
 

Nemim のコンポーネント

シマンテックが Nemim の活動を初めて検出したのは、2006 年秋のことです。最初期のサンプルの 1 つには、侵入先のコンピュータから自身を削除するタイミングを決めるタイマー機構が組み込まれていました。削除には条件があり、特定の日付に紐付いているか、サンプルが実行された回数に基づいています。タイマー機構は、Egobot のサンプルでも見つかった機能です。

シマンテックが解析した Nemim のサンプルは、盗まれた証明書でデジタル署名されており、時間とともに以下の 3 つのコンポーネントが更新されました。

  1. インフェクタコンポーネント
  2. ダウンローダコンポーネント
  3. 情報窃盗コンポーネント
     

インフェクタコンポーネント

インフェクタコンポーネントは、特定のフォルダにある実行可能ファイルに感染するように設計されています。具体的には、%UserProfile% フォルダとそのサブフォルダすべてを標的として感染します。

感染方法は洗練されたものではありません。Nemim は、感染したファイルの名前の末尾に .rdat を追加した名前で、新しいセクションに自身をコピーします。感染したファイルの元のエントリポイントが、Nemim コードの .rdat セクションをポイントするように変更されます。感染コードは、次のパスで埋め込まれた実行可能ファイルの解読、投下、実行を担います。

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

この実行可能ファイルが、ダウンローダコンポーネントです。
 

ダウンローダコンポーネント

ダウンローダコンポーネントは、暗号化された実行可能ファイルのラッパーのように機能します。解読後、暗号化された実行可能ファイルが動的にロードされます。この暗号化された実行可能ファイルに、実際のダウンローダ機能が含まれていますが、ダウンロードする前に、Nemim は侵入先のコンピュータから以下のシステム情報を収集します。

  • コンピュータ名
  • ユーザー名
  • CPU 名
  • オペレーティングシステムのバージョン
  • USB デバイスの数
  • ローカル IP アドレス
  • MAC アドレス
     

image1_13.png

図 1. Infostealer.Nemim が侵入先のコンピュータから収集するシステム情報
 

収集された情報は暗号化され、Base64 に変換されてからコマンド & コントロール(C&C)サーバーに送信されます。このプロセスは Egobot と同様です。収集された情報は、C&C サーバー上では暗号化されていない形式で見ることができます。たとえば、P2Pdetou 変数にはコンピュータ名とユーザー名が [コンピュータ名]@[ユーザー名] という形で示されます。サーバーは、投下され実行されるペイロードを含めて、基本的なコマンドでこれに応答します。次に、ダウンローダは、サーバーが「minmei」という文字列とそれに続く以下のコマンドで応答するものと想定します。

  • up
  • re
  • no

たとえば up コマンドは、ダウンロードされるデータに実行可能なペイロードが含まれ、それをダウンローダが解読して実行することを示します。
 

情報窃盗コンポーネント

情報窃盗コンポーネントは、以下のアプリケーションから、保存されているアカウント情報を盗み出すことができます。

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

情報窃盗コンポーネントは、盗み出したデータを C&C サーバーに返し、ダウンローダコンポーネントと同様に「minmei」という文字列が返されるものと想定します。
 

地理的な拡散状況

Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
 

image2_3.jpeg

図 2. Infostealer.Nemim の地理的な拡散状況
 

シマンテックは、以下の脅威のコンポーネントをすべて検出し、攻撃から保護します。

Nemim と Egobot の関係

Nemim のバイナリを解析したところ、いくつかの類似点から Backdoor.Egobot との関係が明らかになりました。
 

 

Nemim

Egobot

収集される情報で使われる特定の形式とタグ

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

情報の暗号化 暗号化して Base64 でエンコード 暗号化して Base64 でエンコード
C&C サーバーとの通信形式

[URL/IP]/[パス]/[ファイル].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[パス]/[ファイル].php?arg1=
%s&arg2=%s&arg3=%s

コードインジェクションの手法 Microsoft Detours の機能
(初期バージョン)
Microsoft Detours の機能
(すべてのバージョン)

表 1. Nemim と Egobot の類似点
 

こうした類似点と、双方の活動時期が重なっていることを考えれば、Nemim と Egobot の出どころが同じであることは明らかです。
 

新たな攻撃の可能性

Nemim は現在も活動を続けており、時間を掛けて着実に進化しています。たとえば、文字列の暗号化が重要になり、盗まれたデジタル証明書が新しいものでアップグレードされ、共通の仮想マシンを検出するチェックが実装されました。実際、過去 7 年間というもの攻撃者はイノベーションに揺るぎないこだわりを示し続け、2 種類の攻撃活動の必要性に応じてマルウェアを進化させてきたのです。このような積極的な姿勢は今後も変わることがなく、新しい攻撃の可能性も高いと言えるでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Egobot: ????????????????

      No Comments on Backdoor.Egobot: ????????????????

寄稿: Satnam Narang

Backdoor.Egobot は、韓国の産業界を標的とした攻撃で使われているトロイの木馬です。この攻撃の実行は直接的であり、しかも効果的です。シマンテックのデータによると、この攻撃活動が始まったのは 2009 年のことで、それ以来 Egobot は新しい機能を追加しながら進化し続けています。攻撃者は、標的型攻撃の 4 つの基本原則に則っています。

  1. 標的を特定する
  2. 標的を悪用する(ペイロードを投下するため)
  3. 悪質な活動を実行する(この場合は、情報を盗み出す)
  4. 検出されないように潜伏する

シマンテックはこれと並行した攻撃も発見していますが、こちらはもっと古く 2006 年には活動を開始しています。これについては、次のブログで取り上げます。
 

Egobot の標的

Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。以下のような業種が Egobot の標的となっています。

  • 金融および投資
  • 社会インフラおよび開発
  • 政府機関
  • 軍需産業

韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
 

image1_12.png

図 1. Backdoor.Egobot の標的となった国
 

Egobot による攻撃の目的は、侵入したコンピュータから機密情報を盗み出すことです。
 

悪用

攻撃者は、標的を罠に掛ける前に、ソーシャルエンジニアリングの手法を用いて標的に関する情報を収集します。標的に宛ててスピア型フィッシングの電子メールが送信されますが、多くの場合これは知人から送信されたかのように偽装されています。この電子メールには標的に関係のある内容や気を引くようなメッセージが書かれており、悪質な添付ファイルを開かせようとします。悪質な添付ファイルはショートカット(.lnk)ファイルの場合もあり、その場合のリンク先は日本のジオシティーズ上でホストされているファイルです。
 

image2_7.png

図 2. Egobot のスピア型フィッシングメールと悪質なショートカットの添付ファイル
 

この攻撃で使われている悪質な添付ファイルの種類は多岐にわたります。

添付ファイルを開くと、以下のような 3 段階のダウンロードプロセスが実行されます。

第 1 段階: 不明瞭化された HTML ファイルのダウンロード

各添付ファイルによって、ジオシティーズ上にホストされているサイトからマルウェアがダウンロードされます。ファイルは同じではありませんが、通常は update[YYYYMM].xml という名前の不明瞭化された HTML ファイルです。これがシステムに実行可能ファイルを投下します。

第 2 段階: RAR アーカイブのダウンロード

第 1 段階で投下された実行可能ファイルが、ジオシティーズから別のファイルを取得します。これは hotfix[YYYYMM].xml という名前で、実行可能な RAR ファイルです。第 1 段階と第 2 段階でダウンロードされる 2 つのファイルは、正常なファイルに見せかけるために XML 文書に偽装されています。

第 3 段階: バックドアコンポーネントのダウンロード

実行可能な RAR ファイルがシステムを準備します。ファイルを移動し、プロセスにコンポーネントをインジェクトして、以下のシステム情報を盗み出す機能を持つ一連のファイルが投下されます。

  • Windows のバージョン
  • インストールされているサービスパックのバージョン
  • インストール言語
  • ユーザー名
     

image3_7.png

図 3. 盗み出されたシステム情報は Egobot の文字列で確認できる
 

盗み出された情報は、Egobot のコマンド & コントロール(C&C)サーバーに以下の形式で送信されます。

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 でエンコードされた文字列]
  • /micro/advice.php?arg1=1irst&arg2=[ハッシュ]&arg3=[BASE64 でエンコードされた文字列]
     

image4_3.png

図 4. C&C サーバーに返される通信内容。赤い囲みが arg1 の値
 

C&C サーバーに返されるデータは、マルウェアに組み込まれた循環鍵を使って暗号化されます。具体的には、以下の 2 つの鍵が確認されています。

  • youareveryverygoodthing
  • allmyshitisveryverymuch

最後に、実行可能な RAR ファイルがジオシティーズから最後のコンポーネントをダウンロードします。ここでダウンロードされるファイルには、C&C に送信される GET コマンドの arg1 の値を使って名前が付けられます。上の例で言うと、Egobot は 1irst.tmp というファイルをダウンロードします。これがメインのペイロードです。
 

情報の窃盗

メインのペイロードには、標的となる企業の経営幹部にとって致命的となる恐れのある機能があります。たとえば、次のような機能です。

  • ビデオを録画する
  • 音声を録音する
  • スクリーンショットを取得する
  • リモートサーバーにファイルをアップロードする
  • 最新使った文書のリストを取得する
  • ファイルにおける文字列やパターンを検索する
  • 復元ポイントを削除して設定する

盗み出された情報は、マレーシア、香港、カナダでホストされているリモートサーバーにアップロードされます。攻撃者は、64 ビットプラットフォームでもシームレスに動作するように、64 ビット版を追加してコードを更新しています。
 

検出をすり抜けて潜伏

Egobot は、商用パッカーの exe32pack と UPX を使って各種コンポーネントとともに圧縮された RAR バンドルアーカイブとしてシステムにダウンロードされます。マルウェアの存在を隠蔽するために、以下のコンポーネントが使われています。

  1. Detours コンポーネント: Backdoor.Egobot は、以前のバージョンの Microsoft Detours ソフトウェアパッケージの機能を使ってコンパイルされているため、detoured.dll ファイルが含まれています。このファイルは、悪質な .dll ファイルを正規の Win32 バイナリにアタッチするために使われます。Egobot はこのファイルを使って、正規プロセスのメモリ内で正常なプロセスに偽装して自身を実行できます。
  2. コーディネータコンポーネント: ファイルを適切なフォルダに移動し、正規のプロセスにインジェクトすることによってファイルを準備します。Backdoor.Egobot は、explorer.exe、subst.exe、alg.exe の各プロセスにインジェクトされるのが普通です。
  3. タイマー機能: バックドアコンポーネントの一部のバージョンには、一定日数の経過後にトロイの木馬が自身を削除できるように、タイマー機能が組み込まれています。この機能によって、Backdoor.Egobot の痕跡はすべて削除されます。
     

image5_3.png

図 5. Backdoor.Egobot のコンポーネント
 

シマンテック製品をお使いのお客様は、Symantec Email Security.cloud によって保護されています。この攻撃の悪質なサンプルは、Trojan HorseTrojan.DropperTrojan.MdropperBackdoor.Egobot として検出されます。

残念ながら、悪い話はこれだけではありません。シマンテックによる Egobot の研究から、Egobot に関連して並行した攻撃も確認されており、これは Egobot より 3 年近く早い 2006 年から活動を続けているのです。(Egobot 攻撃との関連も含めて)Nemim 攻撃について詳しくは、別のブログ「Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯」を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve

Contributor: Satnam Narang

Previously we blogged about Backdoor.Egobot and outlined how it targets specific industries while maintaining a low profile. The cybercriminals behind Egobot may also have developed Infostealer.Nemim for a more widespread and prevalent campaign. Despite a difference in scope, both threats steal information from compromised computers and there are indications these two threats originate from the same source.
 

Nemim components

Symantec detected Nemim in the wild as early as the fall of 2006. One of the earliest samples contained a timer mechanism to determine when to remove itself from the compromised computer. Removal was conditional and tied to a fixed date or based on the number of times the sample was executed. The timer mechanism feature was also found in samples of Egobot.

The Nemim samples we analyzed were digitally signed with stolen certificates and, over time, the malware was updated with three components:

  1. Infector component
  2. Downloader component
  3. Information stealer component
     

Infector component

The infector component is designed to infect executables in specific folders. In particular, the infector targets the %UserProfile% folder and all of its subfolders.

Infection is not sophisticated. Nemim copies itself into a new section named .rdat added at the bottom of the infected file. The original entry point of the infected file is altered in order to point to the Nemim code in the .rdat section. The infection code is responsible for decrypting, dropping, and running an embedded executable file in the following path:

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

This executed file is the downloader component.
 

Downloader component

The downloader component acts as a wrapper for an encrypted executable. After decryption, the encrypted executable is loaded dynamically. This encrypted executable file contains the actual downloader functionality. However, before downloading, the malware harvests the following system information from the compromised computer:

  • Computer name
  • User name
  • CPU name
  • Operating system version
  • Number of USB devices
  • Local IP address
  • MAC address
     

image1_13.png

Figure 1. System information harvested by Infostealer.Nemim from compromised computers
 

This harvested information is encrypted, converted to Base64, and sent to the command-and-control (C&C) server, just like Egobot. The harvested information is viewable on the C&C server in an unencrypted format. For instance, the P2Pdetou variable shows computer name and user name: [COMPUTER NAME]@[USER NAME]. The server then responds with basic commands, including a payload that is dropped and executed. The downloader then expects the server to respond with a “minmei” string accompanied by the following commands:

  • up
  • re
  • no

The up command, for instance, indicates that the downloaded data contains an executable payload that the downloader will decrypt and run.
 

Information stealer component

The Information stealer component can steal stored account credentials from the following applications:

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

The information stealer sends stolen data back to the C&C server and, like the downloader, expects a “minmei” string in response.
 

Geographical distribution and protection

Japan and the United States are the main targets of Nemim, followed by India and the United Kingdom.
 

image2_3.jpeg

Figure 2. Infostealer.Nemim geographical distribution
 

Symantec detects all the components of these threats to protect customers from attacks:

Nemim and Egobot connection

Analysis of the Nemim binaries revealed a connection to Backdoor.Egobot due to several similarities found in both threats.
 

 

Nemim

Egobot

Information gathered in specific formats using specific tags

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Information encryption

Encrypted and Base64 encoded

Encrypted and Base64 encoded

C&C communication format

[URL/IP]/[PATH]/[FILE].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[PATH]/[FILE].php?arg1=
%s&arg2=%s&arg3=%s

Code injection technique

Microsoft Detours functionality
(early versions)

Microsoft Detours functionality
(all versions)

Table 1. Similarities between Nemim and Egobot
 

Based on these similarities and the overlapping timelines of both the campaigns it is apparent that Nemim and Egobot come from the same source.
 

Potential for a new campaign

Nemim continues to operate today and has effectively evolved over time. For instance, the string encryption has become non-trivial, stolen digital certificates have been upgraded with newer ones, and there are now checks in place to detect common virtual machines. Indeed, for the last seven years the attackers have shown an unwavering commitment to innovation and have developed malware that is adaptable to fit the needs of two different attack campaigns. We expect this innovate trend will continue with a high potential for new campaigns.

Backdoor.Egobot: How to Effectively Execute a Targeted Campaign

Contributor: Satnam Narang

Backdoor.Egobot is a Trojan used in campaigns targeting Korean interests. The execution of the campaigns is straightforward and effective. Symantec data indicates the campaigns have been in operation since 2009. Egobot has continuously evolved by adding newer functionalities. The attackers use the four golden rules of a targeted campaign:

  1. Identify targets
  2. Exploit targets (in order to drop the payload)
  3. Perform malicious activity (in this case, stealing information)
  4. Remain undetected

We have also uncovered a parallel campaign that has been in operation as early as 2006, which we will cover in another blog.
 

Egobot targets

Egobot is targeted at executives working for Korean companies and also at executives doing business with Korea. Industries targeted with Egobot include:

  • Finance and investment
  • Infrastructure and development
  • Government agencies
  • Defense contractors

Targets are located around the globe and include Korea, Australia, Russia, Brazil, and the United States.
 

image1_12.png

Figure 1. Countries targeted with Backdoor.Egobot
 

The aim of the Egobot campaign is to steal confidential information from compromised computers.
 

Exploitation

The attackers gather information about their targets using social engineering techniques prior to luring them into the trap. The targets are sent a spear phishing email, often pretending to be sent from a person they already know. The spear phishing email contains a relevant or enticing message to the target, prompting them to open the malicious attachment. The malicious attachment may be a shortcut .lnk file that points to a file hosted on GeoCities Japan.
 

image2_7.png

Figure 2. Egobot spear phishing email with malicious shortcut attachment
 

Various malicious attachments have been used in this campaign:

When attachments are opened it triggers the following three-stage download process:

Stage 1: Download obfuscated HTML file

Each of the attachments downloads malware from sites hosted on GeoCities Japan. The files vary, but are usually named update[YYYYMM].xml which is  an obfuscated HTML file that drops an executable on the system.

Stage 2: Download RAR archive

The dropped executable from Stage 1 then retrieves another file from GeoCities Japan. This file is hotfix[YYYYMM].xml, which is an executable RAR file. Both downloaded files in the first two stages are disguised as XML documents in an attempt to pass as a clean file.

Stage 3: Download back door component

The executable RAR file is responsible for preparing the system. It drops a set of files which are responsible for moving files around, injecting a component into processes, and stealing the following system information:

  • Windows version
  • Installed service pack version
  • Install language
  • User name
     

image3_7.png

Figure 3. Stolen system information found in Egobot strings
 

Stolen information is sent to Egobot’s command-and-control (C&C) server in the following format:

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 ENCODED STRING]
  • /micro/advice.php?arg1=1irst&arg2=[HASH]&arg3=[BASE64 ENCODED STRING]
     

image4_3.png

Figure 4. Communication back to C&C server, arg1 value highlighted
 

Data that is sent back to the C&C is encrypted using a rotating key embedded within the malware. We observed the following two specific keys:

  • youareveryverygoodthing
  • allmyshitisveryverymuch

Finally, the executable RAR file downloads one last component from GeoCities Japan. This downloaded file is named using the value of arg1 in the GET command sent to the C&C. In this case, Egobot attempts to download a file called 1irst.tmp, which is the main payload.
 

Stealing information

The main payload has specific functions that are potentially disastrous for targeted business executives. These functions include:

  • Recording video
  • Recording audio
  • Taking screenshots
  • Uploading files to a remote server
  • Obtaining a recent document list
  • Searching for a string or pattern in a file
  • Deleting and setting restore points

The stolen information is uploaded to remote servers hosted in Malaysia, Hong Kong, and Canada. The attackers have also updated their code to include 64-bit versions to work seamlessly across 64-bit platforms.
 

Staying under the radar

Egobot is downloaded onto a system as a bundled RAR archive with various components packed using commercial packers exe32pack and UPX. These following components are used to mask the presence of the malware:

  1. Detoured component: Backdoor.Egobot is compiled using an older version of Microsoft’s Detours software package functionality, which includes the detoured.dll file. This file is used to attach malicious .dll files to legitimate Win32 binaries. Egobot can use this file to run itself in the memory of a legitimate process, masquerading as a clean process.
  2. Coordinator component: Prepares files by moving them into the appropriate folders and injecting them into legitimate processes. Backdoor.Egobot is typically injected into the explorer.exe, subst.exe, and alg.exe processes.
  3. Timer functionality: Some versions of the back door component include a timer functionality so the Trojan can delete itself after a certain date. This feature removes any traces of Backdoor.Egobot.
     

image5_3.png

Figure 5. Backdoor.Egobot components
 

Symantec customers are protected by Symantec Email Security.cloud. Malicious samples from this campaign are detected as Trojan Horse, Trojan.Dropper, Trojan.Mdropper, and Backdoor.Egobot.

And, unfortunately, there is more to this story. Through our research into Egobot, Symantec has identified a parallel operation related to Egobot that has been active since 2006, about three years before Egobot. Further details on the Nemim campaign—including its relation to the Egobot campaign—are explained in a separate blog, Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve.