Trend Micro Security

Backdoor.Win32.SPACECOLON.B

2023年9月21日
 解析者: John Rainier Navato   

 別名:

HEUR:Trojan-Banker.Win32.Delf.gen (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。


  詳細

ファイルサイズ 10,403,792 bytes
タイプ EXE
メモリ常駐 はい
発見日 2023年9月11日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {Malware Path}\cdn.pfx → encrypted certificate
  • {Malware Path}\{Malware File Name}.ini → collected information

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • CONNECT → used to connect to a C&C server
  • TUNNEL → used to establish tunnel connections between compromise machines
  • TUNNELCLOSE → used to disconnect the connection set up by the TUNNEL command
  • DOWNEXEC → used to download a file from a url that needs to be specified
  • USERADD → used to add a new administrator account with given username and password

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • https://www.{BLOCKED}ate.net/update.php
  • https://ss.{BLOCKED}8.org/update.php
  • https://update.{BLOCKED}u.net
  • https://update.{BLOCKED}2.org/update.php
  • https://{BLOCKED}cdnup.com/update.php
  • http://{BLOCKED}st/login/update.php

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\StorageDataServ

マルウェアは、以下を実行します。

  • It must be executed with a specific execution parameter in order to continue to its behavior.
  • It creates the following service:
    • Service name = StorageDataServ
    • ImagePath = {Malware Path}\{Malware File Name}.exe /startedbyscm:00D244E7-B5119CE0-StorageDataServ
    • Description = Facilitates the running of interactive applications with additional administrative privileges. If this service is stopped, users will be unable to launch applications with the additional administrative privileges they may require to perform desired user tasks.
    • DisplayName = Data Share Service
  • It gathers the following information:
    • Computer Name
    • User Domain
    • OS information
    • Local IP Address
  • It creates the following scheduled task:
    • Name: Monitor Service Health
    • Trigger: Daily (After triggered, repeat every 1 hour indefinitely)
    • Action: cmd.exe /c net start "StorageDataServ"

マルウェアは、以下のパラメータを受け取ります。

  • /install - create a service named "StorageDataServ"
  • /reinstall - recreate a service named "StorageDataServ"
  • /uninstall - stops and deletes a service named "StorageDataServ" if it exists.

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

マルウェアは、以下のファイルを作成します。

  • {マルウェアのファイルパス}\cdn.pfx → 暗号化された証明書
  • {マルウェアのファイルパス}\{マルウェアのファイル名}.ini → 収集された情報

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • CONNECT → C&Cサーバに接続するために使用される
  • TUNNEL → 侵害されたコンピュータ間のトンネル接続を確立するために使用される
  • TUNNELCLOSE → TUNNELコマンドにより設定された接続を切断するために使用される
  • DOWNEXEC → 指定されたURLからファイルをダウンロードするために使用される
  • USERADD → 指定されたユーザ名とパスワードを使って新たな管理者アカウントを追加するために使用される

その他

マルウェアは、以下を実行します。

  • マルウェアが自身の不正活動を継続するためには、特定の実行パラメータを使って実行される必要があります。
  • 以下のサービスを作成します。
    • サービス名 = StorageDataServ
    • 画像のパス = {マルウェアのファイルパス}\{マルウェアのファイル名}.exe /startedbyscm:00D244E7-B5119CE0-StorageDataServ
    • 説明 = 追加された管理者権限を用いて、対話型アプリケーションの実行を容易にします。このサービスが停止されると、ユーザは必要なユーザタスクを実行するために要する追加された管理者権限でアプリケーションを起動できなくなります。
    • 表示名 = Data Share Service
  • 以下の情報を収集します。
    • コンピュータ名
    • ユーザドメイン
    • オペレーティングシステム(OS)情報
    • ローカルIPアドレス
  • 以下のスケジュールされたタスクを作成します。
    • タスク名: Monitor Service Health
    • トリガ: 毎日(トリガ後、1 時間毎に無期限に繰り返す)
    • アクション: cmd.exe /c net start "StorageDataServ"

マルウェアは、以下のパラメータを受け取ります。

  • /install - 「StorageDataServ」という名前のサービスを作成する
  • /reinstall - 「StorageDataServ」という名前のサービスを再作成する
  • /uninstall - 「StorageDataServ」という名前のサービスが存在する場合は、停止して削除する


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.701.00
初回 VSAPI パターンリリース日 2023年9月16日
VSAPI OPR パターンバージョン 18.701.00
VSAPI OPR パターンリリース日 2023年9月17日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\StorageDataServ

手順 5

セーフモード時のスケジュールタスクの削除方法

  1. セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
    • Task Name: Monitor Service Health
    • Task to be run: cmd.exe /c net start StorageDataServ
  2. Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
    • Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
  3. PCの検索欄に、次のように入力します。
    • System%\Tasks\{タスク名}
  4. ファイルを選択し、SHIFT+DELETEキーを押して削除します。
  5. レジストリエディタを開き、以下を実行してください。
    • Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
    • Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
  6. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  7. 作成されたエントリを探し、レジストリ値のデータをメモする。
    • ID={タスクデータ}
  8. データを記録した後、レジストリキーを削除します。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  9. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
  10. 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
    • ={タスクデータ}
  11. レジストリエディタを閉じます。

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • {Malware Path}\cdn.pfx
  • {Malware Path}\{Malware File Name}.ini

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win32.SPACECOLON.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください