Tag Archives: Infostealer.Nemim

Infostealer.Nemim: ?????? Infostealer ??????

      No Comments on Infostealer.Nemim: ?????? Infostealer ??????

寄稿: Satnam Narang

Backdoor.Egobot に関する先のブログでは、Egobot が目立たないように潜伏しながら特定の業種を標的にする手法について概要をお伝えしました。Egobot の背後にいるサイバー犯罪者は、さらに広く攻撃を拡散するために、Infostealer.Nemim も開発したようです。攻撃範囲こそ異なりますが、どちらも侵入先のコンピュータから情報を盗み出すものであり、2 つとも同じ出どころから発生している節があります。
 

Nemim のコンポーネント

シマンテックが Nemim の活動を初めて検出したのは、2006 年秋のことです。最初期のサンプルの 1 つには、侵入先のコンピュータから自身を削除するタイミングを決めるタイマー機構が組み込まれていました。削除には条件があり、特定の日付に紐付いているか、サンプルが実行された回数に基づいています。タイマー機構は、Egobot のサンプルでも見つかった機能です。

シマンテックが解析した Nemim のサンプルは、盗まれた証明書でデジタル署名されており、時間とともに以下の 3 つのコンポーネントが更新されました。

  1. インフェクタコンポーネント
  2. ダウンローダコンポーネント
  3. 情報窃盗コンポーネント
     

インフェクタコンポーネント

インフェクタコンポーネントは、特定のフォルダにある実行可能ファイルに感染するように設計されています。具体的には、%UserProfile% フォルダとそのサブフォルダすべてを標的として感染します。

感染方法は洗練されたものではありません。Nemim は、感染したファイルの名前の末尾に .rdat を追加した名前で、新しいセクションに自身をコピーします。感染したファイルの元のエントリポイントが、Nemim コードの .rdat セクションをポイントするように変更されます。感染コードは、次のパスで埋め込まれた実行可能ファイルの解読、投下、実行を担います。

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

この実行可能ファイルが、ダウンローダコンポーネントです。
 

ダウンローダコンポーネント

ダウンローダコンポーネントは、暗号化された実行可能ファイルのラッパーのように機能します。解読後、暗号化された実行可能ファイルが動的にロードされます。この暗号化された実行可能ファイルに、実際のダウンローダ機能が含まれていますが、ダウンロードする前に、Nemim は侵入先のコンピュータから以下のシステム情報を収集します。

  • コンピュータ名
  • ユーザー名
  • CPU 名
  • オペレーティングシステムのバージョン
  • USB デバイスの数
  • ローカル IP アドレス
  • MAC アドレス
     

image1_13.png

図 1. Infostealer.Nemim が侵入先のコンピュータから収集するシステム情報
 

収集された情報は暗号化され、Base64 に変換されてからコマンド & コントロール(C&C)サーバーに送信されます。このプロセスは Egobot と同様です。収集された情報は、C&C サーバー上では暗号化されていない形式で見ることができます。たとえば、P2Pdetou 変数にはコンピュータ名とユーザー名が [コンピュータ名]@[ユーザー名] という形で示されます。サーバーは、投下され実行されるペイロードを含めて、基本的なコマンドでこれに応答します。次に、ダウンローダは、サーバーが「minmei」という文字列とそれに続く以下のコマンドで応答するものと想定します。

  • up
  • re
  • no

たとえば up コマンドは、ダウンロードされるデータに実行可能なペイロードが含まれ、それをダウンローダが解読して実行することを示します。
 

情報窃盗コンポーネント

情報窃盗コンポーネントは、以下のアプリケーションから、保存されているアカウント情報を盗み出すことができます。

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

情報窃盗コンポーネントは、盗み出したデータを C&C サーバーに返し、ダウンローダコンポーネントと同様に「minmei」という文字列が返されるものと想定します。
 

地理的な拡散状況

Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
 

image2_3.jpeg

図 2. Infostealer.Nemim の地理的な拡散状況
 

シマンテックは、以下の脅威のコンポーネントをすべて検出し、攻撃から保護します。

Nemim と Egobot の関係

Nemim のバイナリを解析したところ、いくつかの類似点から Backdoor.Egobot との関係が明らかになりました。
 

 

Nemim

Egobot
収集される情報で使われる特定の形式とタグ

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)
情報の暗号化 暗号化して Base64 でエンコード 暗号化して Base64 でエンコード
C&C サーバーとの通信形式

[URL/IP]/[パス]/[ファイル].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[パス]/[ファイル].php?arg1=
%s&arg2=%s&arg3=%s
コードインジェクションの手法 Microsoft Detours の機能
(初期バージョン)		 Microsoft Detours の機能
(すべてのバージョン)

表 1. Nemim と Egobot の類似点
 

こうした類似点と、双方の活動時期が重なっていることを考えれば、Nemim と Egobot の出どころが同じであることは明らかです。
 

新たな攻撃の可能性

Nemim は現在も活動を続けており、時間を掛けて着実に進化しています。たとえば、文字列の暗号化が重要になり、盗まれたデジタル証明書が新しいものでアップグレードされ、共通の仮想マシンを検出するチェックが実装されました。実際、過去 7 年間というもの攻撃者はイノベーションに揺るぎないこだわりを示し続け、2 種類の攻撃活動の必要性に応じてマルウェアを進化させてきたのです。このような積極的な姿勢は今後も変わることがなく、新しい攻撃の可能性も高いと言えるでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve

      No Comments on Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve

Contributor: Satnam Narang

Previously we blogged about Backdoor.Egobot and outlined how it targets specific industries while maintaining a low profile. The cybercriminals behind Egobot may also have developed Infostealer.Nemim for a more widespread and prevalent campaign. Despite a difference in scope, both threats steal information from compromised computers and there are indications these two threats originate from the same source.
 

Nemim components

Symantec detected Nemim in the wild as early as the fall of 2006. One of the earliest samples contained a timer mechanism to determine when to remove itself from the compromised computer. Removal was conditional and tied to a fixed date or based on the number of times the sample was executed. The timer mechanism feature was also found in samples of Egobot.

The Nemim samples we analyzed were digitally signed with stolen certificates and, over time, the malware was updated with three components:

  1. Infector component
  2. Downloader component
  3. Information stealer component
     

Infector component

The infector component is designed to infect executables in specific folders. In particular, the infector targets the %UserProfile% folder and all of its subfolders.

Infection is not sophisticated. Nemim copies itself into a new section named .rdat added at the bottom of the infected file. The original entry point of the infected file is altered in order to point to the Nemim code in the .rdat section. The infection code is responsible for decrypting, dropping, and running an embedded executable file in the following path:

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

This executed file is the downloader component.
 

Downloader component

The downloader component acts as a wrapper for an encrypted executable. After decryption, the encrypted executable is loaded dynamically. This encrypted executable file contains the actual downloader functionality. However, before downloading, the malware harvests the following system information from the compromised computer:

  • Computer name
  • User name
  • CPU name
  • Operating system version
  • Number of USB devices
  • Local IP address
  • MAC address
     

image1_13.png

Figure 1. System information harvested by Infostealer.Nemim from compromised computers
 

This harvested information is encrypted, converted to Base64, and sent to the command-and-control (C&C) server, just like Egobot. The harvested information is viewable on the C&C server in an unencrypted format. For instance, the P2Pdetou variable shows computer name and user name: [COMPUTER NAME]@[USER NAME]. The server then responds with basic commands, including a payload that is dropped and executed. The downloader then expects the server to respond with a “minmei” string accompanied by the following commands:

  • up
  • re
  • no

The up command, for instance, indicates that the downloaded data contains an executable payload that the downloader will decrypt and run.
 

Information stealer component

The Information stealer component can steal stored account credentials from the following applications:

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

The information stealer sends stolen data back to the C&C server and, like the downloader, expects a “minmei” string in response.
 

Geographical distribution and protection

Japan and the United States are the main targets of Nemim, followed by India and the United Kingdom.
 

image2_3.jpeg

Figure 2. Infostealer.Nemim geographical distribution
 

Symantec detects all the components of these threats to protect customers from attacks:

Nemim and Egobot connection

Analysis of the Nemim binaries revealed a connection to Backdoor.Egobot due to several similarities found in both threats.
 

 

Nemim

Egobot

Information gathered in specific formats using specific tags

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Information encryption

Encrypted and Base64 encoded

Encrypted and Base64 encoded

C&C communication format

[URL/IP]/[PATH]/[FILE].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[PATH]/[FILE].php?arg1=
%s&arg2=%s&arg3=%s

Code injection technique

Microsoft Detours functionality
(early versions)

Microsoft Detours functionality
(all versions)

Table 1. Similarities between Nemim and Egobot
 

Based on these similarities and the overlapping timelines of both the campaigns it is apparent that Nemim and Egobot come from the same source.
 

Potential for a new campaign

Nemim continues to operate today and has effectively evolved over time. For instance, the string encryption has become non-trivial, stolen digital certificates have been upgraded with newer ones, and there are now checks in place to detect common virtual machines. Indeed, for the last seven years the attackers have shown an unwavering commitment to innovation and have developed malware that is adaptable to fit the needs of two different attack campaigns. We expect this innovate trend will continue with a high potential for new campaigns.