BKDR_COBEACON.B

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ランダムなポートを開きます。 マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\_MEI2802\Crypto.Cipher._AES.pyd
• %User Temp%\_MEI2802\MSVCR100.dll
• %User Temp%\_MEI2802\_bz2.pyd
• %User Temp%\_MEI2802\_ctypes.pyd
• %User Temp%\_MEI2802\_hashlib.pyd
• %User Temp%\_MEI2802\_lzma.pyd
• %User Temp%\_MEI2802\_socket.pyd
• %User Temp%\_MEI2802\_ssl.pyd
• %User Temp%\_MEI2802\df_newc2_stageless.exe.manifest
• %User Temp%\_MEI2802\pyexpat.pyd
• %User Temp%\_MEI2802\python34.dll
• %User Temp%\_MEI2802\select.pyd
• %User Temp%\_MEI2802\unicodedata.pyd
• %User Temp%\_MEI2802\Include\pyconfig.h
• %User Temp%\_MEI2802\base_library.zip

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のフォルダを作成します。

• %User Temp%\_MEI2802
• %User Temp%\_MEI2802\Include

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

バックドア活動

マルウェアは、ランダムなポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Set sleep time
• Execute shell command
• Execute PowerShell command using Powershell
• Execute PowerShell cmdlets without powershell.exe
• Execute PowerShell command by injecting to a specific process
• Execute command from a specific directory
• Spawn session for listener
• Spawn specific architecture and full path to a program to spawn
• Inject a session into a specific process
• Inject a 64-bit version of malware to a 64-bit process
• Inject Reflective DLL into a process
• Inject a shellcode from a local file into a specific process
• Inject a shellcode into a spawned process
• Assign alternate parent process
• Execute command with another process as the parent
• Spawn a session with another process as the parent
• Download file/s
• Display files currently being downloaded
• Upload file/s
• List files in current directory
• Create new folder
• Delete file/folder
• Copy file/s
• Move file/s
• Log keystrokes
• Take screenshots
• Display currently executing backdoor command
• Terminate currently executing backdoor command
• Setup SOCKS4a proxy server
• Setup reverse pivot
• Disable reverse port forward
• List privilege escalation exploits
• Perform exploit to elevate privilege
• Execute command using known credentials
• Spawn session using known credentials
• Impersonate a token for the SYSTEM account
• Spawn a session in a process with elevated rights
• Enable privileges assigned to current access token
• Execute Mimikatz to recover user logon passwords
• Scan ports
• Enumerate network and hosts
• Impersonate a token from an existing process
• Inject a Kerberos ticket into the current session
• Execute a payload on a remote host
• Execute a payload on a remote host using PowerShell
• Execute a payload on a remote host using WinRM
• Deliver payload via Windows Management Instrumentation
• Terminate itself
• Terminate a process
• Modify timestamps

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• https://rcb{BLOCKED}pspot.com/___utm.gif?utmac=UA-2202604-2&utmcn=1&utmcs=ISO-8859-1&utmsr=1280x1024&utmsc=32-bit&utmul=en-US

ただし、情報公開日現在、このサーバには接続できません。

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://www.google.com:443
• http://mail.google.com:443
• http://docs.google.com:443