Digital Arts Security Reports

2021/03/09   
改ざんサイト    サイバー攻撃    標的型攻撃メール    i-FILTER    m-FILTER   

メール経由で感染を狙うDridexキャンペーン 大量の改ざんサイトURLを悪用

Dridex(ドライデックス)は情報窃取型のマルウェアで、バンキングマルウェアの一種です。感染するとオンラインバンキングなどの認証情報が窃取されます。感染に至るまでの侵入経路にはいくつか報告がされていますが、多くがメールから侵入します。

2021年2月現在、デジタルアーツで確認しているメール経由でDridexに感染させる攻撃キャンペーン(※1)では、多くが請求書関連のメールの文面とともにマクロを含むExcelファイルが添付されていました。添付ファイルを開いて不正なマクロを実行すると、改ざんサイトからマルウェアをダウンロードして実行し感染へと繋がります。感染の流れとしては図のようになります。

【図1】メール経由でのDridex感染の流れ
【図1】メール経由でのDridex感染の流れ

弊社Dアラートで検知したメールとその添付ファイルを例に挙げ、紹介していきます。

(※1)「キャンペーン」とは、セキュリティ用語では「一連の活動」のことを指します。元の英語でも「campaign」で、同様の意味で使われます。「作戦活動」や「軍事戦略」という意味での「campaign」からきていると言われています。

実際のメール

件名や本文では請求書関連のメールであるように実在の組織を騙っています。

【図2】攻撃メール
【図2】攻撃メール

送信者アドレスも偽装しています。執筆時点の本キャンペーンでは、偽装しているだけで騙られた組織からは送信されていません。また、英語文章で記述されたメールが主で、日本語は見受けられませんでした。

Dridexダウンローダー

メールの添付ファイルは不正なマクロを含むExcelファイルです。ファイルの拡張子には「xls」または「xlsm」が使われます。これがDridexのダウンローダーです。

ファイルを開くと、「INVOICE」などの記述があるようにこちらも請求書を装っています。ここで、上部の黄色い警告部分の「コンテンツの有効化」をクリックしてマクロを有効化し、ワークシート上の青色の「REVIEW」または「請求書のような画像」をクリックしてしまうと不正なマクロが実行されてしまいます。

【図3】DridexをダウンロードさせるExcelファイルの例
【図3】DridexをダウンロードさせるExcelファイルの例

このダウンローダーには、いくつか細かな手法が使われていました。

ワークシート内には白色で見えにくくした文字がいくつも存在します。非表示のワークシートも存在し、同様に文字がちりばめられていました。すべて抽出したものが【図5】で、これらの文字はマクロで呼び出されて使われます。

【図4】見えにくく記述された文字の例と、非表示のワークシート
【図4】見えにくく記述された文字の例と、非表示のワークシート
【図5】各ワークシート内から抽出した文字
【図5】各ワークシート内から抽出した文字

非表示にされていたワークシートのうち「FEB.」シートは、「Excel 4.0 マクロ シート」で作成されていました。

【図6】非表示にされていたシートのひとつ
【図6】非表示にされていたシートのひとつ

また、一般的なマクロ(VBAマクロ)の方にはロックがかかっており簡単にはコードを確認できません。ファイルを解析するツールやロックを解除するツールを用いるとこのマクロの内容が確認できます。

【図7】VBAマクロにかけられたロック
【図7】VBAマクロにかけられたロック
【図8】VBAマクロコード
【図8】VBAマクロコード

マクロの挙動

マクロは、「VBAマクロ」と「Excel4.0マクロ(※2)」両方を使って実行されます。

(※2)「Excel4.0マクロ」とは、現在ではあまり使われなくなった古いマクロの記述方法で、VBAマクロとは異なった形式です。しかし新しいバージョンのExcelでも使用可能となっており、アンチウイルス回避や解析妨害のため、このマクロを悪用した攻撃が近年増加しています。

Dridexダウンローダーのマクロが実行されると、各ワークシートにちりばめられた文字を用いてコードを組み立てリストされたURLからDridexマルウェアがダウンロードされます。マクロを解析した結果、ダウンロードするためのURLは約50個もリストされており、ランダムでその「いずれか1つ」が使われるようになっていました(URLリストについてはDアラートのページをご覧ください)。URLの末尾には「.zip」「.rar」の文字が使われていますが、いずれも実体は「dllファイル」です。

【図9】マクロのデバッグ
【図9】マクロのデバッグ

最終的にダウンロードされたdllファイルは \AppData\Local\Temp にランダムなファイル名で保存され、Regsvr32(Windowsの正規ユーティリティ)を使って実行されます。

【図10】ダウンロード後のコマンド
【図10】ダウンロード後のコマンド
【図11】実行されたDridexマルウェア
【図11】実行されたDridexマルウェア

このようにしてDridex感染へと至ります。

1度に100以上の改ざんサイトURLが使われることも

今回紹介したDridexダウンローダーで特徴的なこととして、マルウェアのダウンロード用URLが多いときには100を超えるということです。そしてこれらのURLはほぼすべて改ざんサイトです。企業サイト、個人ブログ、ニュースサイト、ショッピングサイト、などその他様々な言語のWebサイトのURLが悪用され、Dridexマルウェアが設置されていました。

【図12】悪用されていたWebサイトのキャプチャ
【図12】悪用されていたWebサイトのキャプチャ

URLに改ざんサイトを用いる意図としては、すでに存在している正規のWebサイトにアクセスしていると思わせることにより、URLブラックリストやアンチウイルスの回避・侵入後の発見を遅らせるといったことがあると思われます。改ざんサイトを用いた他の攻撃キャンペーンの例としてはEmotetがありましたが、Emotetダウンローダー(docファイル)で使われるURLは5~8個程度でした。Dridexダウンローダーではいかに多く改ざんサイトが使われているかがわかるでしょう。

Webプロキシでの防御を考えたとき、URLには改ざんサイトを用いているのでドメインレベルでは正常なため、ブラックリストで対応することは難しいです。またブラックリストでは対応が後手になります。サンドボックスを使って動的に通信URLを得ようとしても、ダウンロードURLは多数の中からランダムで1つに通信する仕組みのためすべてを把握できず、これも困難でしょう。

一方で、攻撃メールは送信元アドレスの偽装行為やパスワード無し添付ファイルがマクロを含むなど、システムで比較的判別しやすい手法のためメールゲートウェイである程度は防ぐことが可能かと考えられます。ただし、すり抜けてしまったり攻撃手法がいつ変わるかはわかりませんので警戒が必要です。

2021年2月中旬時点では、Dridexに感染させる攻撃メールキャンペーンは日本をターゲットにはしていないようですが、デジタルアーツのお客様環境でメール受信を多く検知し始めています

【図13】Dアラート2021年2月より
【図13】Dアラート2021年2月より

過去例として、Emotetでは海外圏が主なターゲットだったものがある時期から日本を明確にターゲットとするようになり、メールの送信手法では「窃取した正規メールアカウント」から「パスワード付きzipファイルを添付する」といったシステムで判別が困難な手法も取り入れるようになり、感染を拡げました。

DridexやEmotetに限らず、あらゆる攻撃に対して警戒を怠ってはいけません。自組織の現状を把握し、様々な攻撃に対処が可能な製品を選定し、組織におけるセキュリティ対策を万全なものとしましょう。


◆デジタルアーツでは

「i-FILTER」Ver.10「ダウンロードフィルター」機能により 、改ざんサイトに設置されたDridexマルウェアのダウンロードをブロックすることが可能です(※3)(※4)。

(※3)2021年2月時点(※4)HTTPS通信に対しては、「SSL Adapter」にてSSLデコードが有効にされている必要があります