RTMをきっかけに。 銀行のトロイの木馬に感染したコンピューターの法医学調査

Group-IBの専門家を含む会計士や財務部長に対するRTMバンキングトロイの木馬の攻撃については、かなり多く書かれていますが、これまでのところ、公共の場でRTMに感染したデバイスの単一のケーススタディはありません。 この不正を修正するために、コンピュータフォレンジックGroup-IBの主要な専門家の1人であるOleg Skulkinが、インシデント対応/調査の一環として、銀行のトロイの木馬に感染したコンピュータのフォレンジック調査を実施する方法について詳しく話しました。

それがすべて始まった方法

研究者は、2015年12月にRTM犯罪グループの活動について学びました。 それ以来、このトロイの木馬を配布するフィッシングメールは、potential望の恒常性を備えた潜在的な被害者のメール受信ボックスに送信されています。



ご存知のように、9月から12月にかけて、RTMグループは11,000以上の悪意のあるメールを送信しました。 サイバー犯罪者は、お客様を保護するセンサーと現在の脅威に関するデータを収集するフレームワークの両方に記録されているすべての新しいメールで証明されているように、達成されたものにとどまりません。



この記事では、銀行のトロイの木馬RTMに感染したコンピュータードライブのイメージのフォレンジック調査、または単にフォレンジックを行う方法を説明します。



必要な入門



RTMコンピューターの感染については知らないが、妥協の事実のみが知られていると想像してください。その結果はお金の窃盗でした。これにより、研究プロセスをより興味深い方法で構築し、他のケースにも適用できるようになります。 また、この記事のフレームワークでは、トロイの木馬のリバースエンジニアリングにこだわらないという事実にも注意を喚起したいと思います。第一に、これは法医学者の能力ではありません。



そのため、「E01」形式（Encase Image File Format）のコンピュータードライブイメージだけがあります。 そもそも、何が入っているかを知っておくといいでしょう。 少なくとも、オペレーティングシステムは、それとそのバージョンからのものであるため、調査する必要がある特定のフォレンジックアーティファクトの存在が依存するのはもちろんです。



1. Brian CarrierのSleuth Kitのパックからmmlsユーティリティを使用します。







何がありますか？ Windowsに類似したいくつかのNTFSパーティション。 確認する必要があります。たとえば、ソフトウェアなどのレジストリファイルを見つけようとします。



2.ユーティリティfls（Sleuth Kit）およびfindstrを使用して、メインファイルテーブル（MFT）の対応するレコード番号を見つけます。







さて、これでicat（Sleuth Kit）を使用してさらに分析するために必要なファイルをコピーできます。



icat -o 718848 E：\ RTM.E01 234782>ソフトウェア



したがって、ソフトウェアレジストリファイルがあり、たとえばRegRipper Harlan Carveyを使用して、最も重要な情報を抽出できます。 現在、Microsoft \ Windows NT \ CurrentVersionセクションの内容に関心があります。







これで、調査中のコンピューターがWindows 7 Professional Service Pack SP1を実行していることがわかりました。つまり、どの法医学アーティファクトに遭遇し、どのフォレンジックアーティファクトが必要かがわかります。



どこで検索を開始しますか？ Jesse Kornblumのパラドックスを思い出してください。「マルウェアは隠すことができますが、実行する必要があります。」 良いスタートは、悪意のあるプログラムがコンピューターの再起動後に再起動できるようにするシステム内の潜在的なロックメカニズムの検索です。



簡単なものから始めましょう。NTUSER.DATレジストリファイルをユーザーディレクトリ（C：\ Users \％username％\）から最新の変更日で取得し、同じRegRipperを使用してデータを抽出します。 flsとfindstrを使用して必要なファイルのレコード番号を再度取得する場合は、flsに-pオプションを追加する必要があります。これにより、ユーティリティはファイルへのフルパスを表示できます。 なぜこれが必要なのですか？ 実際、各ユーザーはディレクトリにNTUSER.DATファイルを持ち、ソフトウェアはシステム全体で唯一のものであるため、この場合は特定のファイルのレコード番号を取得することが重要です。 一般に、Sleuth Kitを使用する必要はまったくありません。たとえば、 FTK Imagerなどのより便利なツールがあります。FTKImagerは、フォレンジックコピーを作成するだけでなく、その内容を調べるために使用できる無料のAccessData開発ツールです







控えめな果物、いわゆる「実行キー」から始めましょう。







では、何がありますか？ セクションは11月7日に最後に変更され、ユーザーがログインすると、apg.exeファイルが標準以外の場所から起動されることがわかります。 b7mg81ディレクトリで他に何が見つかるか見てみましょう：







TeamViewer？ 面白い。 apg.exeを詳しく見てみましょう-PPEEを使用してください ：







TeamViewerのように見えますが、TeamViewerとしてサインアップされていますが、TeamViewerですか？ そのようです。 しかし、それはそれほど単純ではありません。 インポートテーブルを見てみましょう。







だから、msi.dll、私たちはすでにこのファイルを見ました、そしてそれはC：\ Windows \ System32ではなく、同じb7mg81ディレクトリです。 サイズから判断すると、元のmsi.dllとは関係がないため、利用可能です-DLL Search Order Hijacking ：オペレーティングシステムは現在のディレクトリから必要なライブラリの検索を開始します。つまり、正規のmsi.dllの代わりに、見つかったライブラリが読み込まれます。 b7mg81で。



別の興味深いファイルはTeamViewer.iniです：





そして、ここに反フォレンジックがあります。構成ファイルから判断すると、TeamViewerはログを保持せず、明らかにRATとして使用されました。 まあ、悪くない。 それがまったく始まったかどうかを調べる時です。



Windowsには、実行可能ファイルの実行を示すアーティファクトがかなりあります。 今度はSYSTEMファイルを使用して、レジストリの操作を続けましょう。 それからデータを抽出するために、再びRegRipperを使用できます。



ControlSet001 \ Control \ Session Manager \ AppCompatCacheに興味があります。 ここで、ファイルへのパス、最終変更日（$ STANDARD_INFORMATION属性による）、およびファイルが起動されたかどうかを示すフラグを含む実行可能ファイルのリストを見つけます。







素晴らしい、私たちのファイルは少なくとも一度は起動されました。 したがって、「ピボットポイント」があります。11月7日にTeamViewerがコンピューターのドライブに表示され、ログを保持せず、正当なライブラリの代わりにそれと一体化したライブラリをダウンロードしたため、ほとんどの場合ユーザーに表示されませんでしたカタログ。



タイムラインの構築を開始します。 Sleuth Kitを使用して構築できるものはこれで十分だと思います。 すでに知っているflsユーティリティから始めましょう。



fls.exe -m“ C：/” -o 718848 -r -z GMT D：\ RTM.E01> bodyfile.txt



次に、mactimeを使用して、結果のファイルをタイムラインに変換します。



mactime.pl -d -b bodyfile.txt> timeline.csv



タイムラインは、Eric Zimmermanのタイムラインエクスプローラーで分析するのに非常に便利です。 タイムラインには、ファイルシステムイベントのみが含まれます。 レジストリ、雑誌などの変更を含めたい場合は、plasoを使用できます。 個人的には、データ処理に非常に長い時間がかかり、結果がしばしば非常に冗長であるため、私はそれを非常にまれにしか使用しません。



タイムラインに戻ります。 b7mg81カタログは、2018年11月7日13:59:37に作成されました。





そして、この2秒前に、21DA.tmpファイルが作成されます。





VirusTotalでチェックサムを探すと、非常に興味深い結果が得られます。







明らかに、このファイルからRATが解凍されました。 どうぞ





さらに早い段階で、LocalDataNTディレクトリが作成され、内部に非常に興味深いファイルが作成されます。 たとえば、WinPrintSvc.exeを見てください。





リモートユーティリティは、別のリモート管理ツールです。 そして、数秒前に作成された別の不審なファイルは次のとおりです。





チェックサムを確認します。





いくつかのアンチウイルス製品は、すぐに「 RemoteAdmin 」として検出します。 どうやら、彼はリモートユーティリティのソースです。 検出されたRATが起動されたかどうかを確認します。 今回は、C：\ Windows \ AppCompat \ ProgramsのAmCache.hveレジストリファイルを使用します（同じRegRipperにより、消化可能な形式でデータを取得できます）。





図からわかるように、AmCacheを使用すると、最初の起動の日付だけでなく、ファイルのチェックサムも取得できます。



2つのRATがありますが、どこから来たのでしょうか？ いい質問です！ それでもタイムラインをスクロールすると、かなり疑わしいディレクトリとファイルの作成のトレースが表示されます。





奇妙な拡張子にもかかわらず、fnbfdnja.hejにはおなじみの見出しがあります。





VirusTotalチェックサム検索では何が表示されますか？ そして、ここに何があります：





図からわかるように、一部のアンチウイルスソフトウェアはファイルを非常に明確に検出します-RTMを扱っています。 VTは、もう少し役立ちます。 [リレーション]タブを見ると、次のように表示されます。





その機会の主人公を見つけたようです-これは「Documents for October.exe」です。 チェックサムは同じですが、ファイルに関連付けられている名前は異なります。 したがって、再び.exeになります。これは、スタートアップのトレースを再度探す必要があることを意味します。 個人的には、レジストリを操作するのが大好きなので、すでによく知られているNTUSER.DATおよびRegRipperファイルのヘルプを使用します。 今回はUserAssistを見てみましょう -ファイルからの名前とパス、最後の起動の日付、およびこれらの起動の数を取得します。 ファイル「Documents for October.exe」は表示されませんが、別のファイルは表示されます。



C：\ Users \％username％\ Desktop \ Documents environment.exe



まあ、それは私たちが必要なもののようです。 確かに、小さな問題があります-適切な場所にファイルがありません。 タイムラインに戻ります。 fnbfdnja.hejファイルを作成すると、次のようになります。





Tempディレクトリ内のファイルはおそらくRTMに属しますが、私たちはそれらに興味はありません。 ファイル$ R6K21RQ.exeおよび$ I6K21RQ.exeに興味があります。 これは、「ごみ箱」に配置されたファイルの外観です。最初のファイルにはデータが直接含まれ、2番目のファイルにはメタデータが含まれます。 $ I6K21RQ.exeの内容を見ると、探しているファイルのパス「Documents environment.exe」がすぐにわかります。



VTがチェックサムに対して提供するものを見てみましょう。





既におなじみの検出-「RTM」が表示されます。 判明したとおり、ファイルのチェックサムは「Documents for October.exe」チェックサムと一致していました。 さらに、VTは同じチェックサムを持ついくつかのファイルを知っています。





ある種のネットワーク侵害の兆候を入手できたらうれしいです。 メモリダンプ、ネットワークトラフィックダンプもありません、どうすればよいですか？ ファイルを交換してください！ しかし、干し草の山で針を見つける方法は？ そして、ここでVTも少し助けてくれます。今回はBehaviorタブです：





C2のようですね。 スワップファイル（pagefile.sys）にこのようなものがあるかどうかを見てみましょう。 もちろん、次のものがあります。





そのため、ファイルが185.141.61 [。] 246と相互作用することを確認しました。 さらにネットワークインジケータを見つけてみましょう。 RATの1つはTeamViewerでした。IDに似たものを見つけようとします。 これには、たとえば、正規表現を使用できます。





素晴らしい、もう1つのネットワークインジケータがあります-195.123.219 [。] 87。 もちろん、スワップファイルはネットワークインジケーターを見つけるのに適しているだけではありません。 VTの[動作]タブに戻ると、ファイルがスケジューラでタスクを作成していることがわかります。 「fnbfdnja.hej」という行を見ると、次のことがわかります。





作成されたタスクは、rundll32.exeを介してfnbfdnja.hejを起動します。



さて、それは締めくくりの時間です。 ファイル「Documents environment.exe」がどこから来たのかを判断する時が来ました。 これはRTMであることが既にわかっています。RTMであるため、感染の可能性が最も高いのはフィッシングメールです。 この場合、被害者はMicrosoft Outlookを使用していたため、通常の場所に同じメールが入った.ostファイルと同じフィッシングメールが見つかりました。





ただし、これに関する投稿は終了しませんが、別の興味深い成果物については終了します。 NTUSER.DATファイルに戻って、Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogonセクションの「Shell」パラメータの値を見ると、通常の「explorer.exe」の代わりに次のように表示されます。





そして、これは、ユーザーがエクスプローラーを起動する代わりにログインした後、システムがシャットダウンし、それによってこの記事が完了することを意味します。