LilithBot
Eternity groupは、さまざまなEternityブランドのマルウェアモジュールをアンダーグラウンドフォーラムで配布するモデルを展開しています。
いわゆるMalware-as-a-Service(MaaS)を展開しています。
商品ラインナップは、スティーラー、マイナー、ボットネット、ランサムウェア、ワーム+ドロッパー、DDoSボットなどと、とても広いものになっています。
そんななかに、LilithBotが追加されました。
LilithBotは名前の通りボットで、多機能なマルウェアです。
こんな感じです。
- 二重感染防止機構
感染活動を開始する前にすでに侵害済みの環境であるかどうかを確認し、侵害済みでない場合に活動を開始します。 - 永続化
マルウェアの実行を実現するファイルをWindowsのStartupフォルダーに作成します。 - Botの登録
侵害環境でシステム名やユーザ名などの情報を収集し、これを添えてBotをC2に登録します。 - マルウェア設定ファイルの入手
C2からマルウェアの動作内容の記載された設定ファイルを受け取ります。
ボットキラーを使うかどうか、スティーラーを使うかどうか、クリッパーを使うかどうか、マイナーを使うかどうかなどが設定されています。
いろいろな機能が組み込まれていることがわかる設定です。
この設定ファイルは転送中は暗号化された状態になっています。
受信したマルウェアが復号化して解釈します。 - C2通信
現時点のこのマルウェアは固定のIPアドレスで動作するC2と通信します。
そしてポート番号4545/TCPのHTTPを使用します。
このため適切に設定された通信制御機構に守られたネットワークではこのマルウェアは活動できません。
しかし個人や在宅勤務などを考えると、任意のポートで外部へ通信できるような設定の環境が多いかもしれません。
この場合、このマルウェアは活動できてしまうでしょう。 - 偽のデジタル署名
マルウェアにはデジタル署名が付与されています。
付与されているデジタル署名はMicrosoft Windowsが署名したとなっています。
しかしそれが本当である場合にあるはずの連署はありません。
Microsoftではない別の組織がMicrosoftであるとして付与した偽のデジタル署名であることを示します。 - データの持ち出し
スティーラーが有効となっている場合、データを持ち出します。
侵入に成功すると、ボットを通じて収集された情報(ブラウザーの履歴、Cookie、写真、スクリーンショット)がZIPアーカイブ(「report.zip」)にまとめられ、C2に送られます。
このLilithBotは頻繁に更新されています。
サンドボックス検出機能が追加されたり削除されたり、PS/2などの物理接続ポートの存在を確認することで物理マシンであることを確認する機構が追加されたり削除されたりしています。
Eternity groupの展開するマルウェアには実に様々な機構が搭載されています。
アンチデバッグ機能やアンチVMチェックは常に改善が実施されています。
LilithBotについても同じように改善が継続されて配布されていると考えられます。
最近のマルウェアは更新が早いものが多くなっています。
IOCとしてHASHがありますが、HASHの有効な期間は短くなってきている感じがします。
防御側としてはHASHに依存する体制は改善していかないといけないということかもしれません。
参考記事(外部リンク):Analysis of LilithBot Malware and Eternity Threat Group
www.zscaler.com/blogs/security-research/analysis-lilithbot-malware-and-eternity-threat-group
