# 今さら聞けない!情報窃取型マルウェアの内部動作とJSOC の検知傾向 **lac.co.jp/lacwatch/report/20220307_002893.html** サイバー救急センターの脅威分析チームです。 根強い脅威である情報窃取型マルウェア(InfoStealer)に関して、JSOCにおける検知傾向 とマルウェア動作を調査しました。 情報窃取型マルウェアとは、Webブラウザなどのソフトウェアに保存された認証情報やキー ストローク情報の窃取を主目的としたマルウェアのことです。もし感染すると、窃取された ユーザの認証情報が悪用されて被害に遭ってしまう恐れがあります。 なお、広義にはバンキングマルウェアやEmotetについても情報窃取型マルウェアとして分類 されますが、本稿ではこれらを除いた、システムに設定済みの情報の窃取を目的とするマル ウェア(AgentTeslaやFormBookなど)を取り上げます。以降では、このようなマルウェア を総称して「情報窃取型マルウェア」と呼びます。 情報窃取型マルウェアは継続的に日本国内に届いている一方で、既存の製品によって検知さ れることが多く、その背景やマルウェアの動作などを詳細に知る機会がないまま対応してい る方も多いのではないでしょうか。そこで、具体的に情報窃取型マルウェアの種類や動作を 解説し、対策についてもお伝えします。 ## 情報窃取型マルウェアの検知傾向 ----- まずは、JSOCにおける情報窃取型マルウェアの検知傾向についてです。2021年において JSOCで検知したマルウェア感染を目的とした攻撃メール(以下、攻撃メール)の割合を集 計※1すると、図1の通りとなりました。 ※1 検知ルールから判断できなかったマルウェアは集計の対象外としています。 図1 2021年にJSOCで検知した攻撃メールの割合 (左:すべての攻撃メール、右:日本語の件名のみ) 図1の左のグラフは、2021年にJSOCで検知した攻撃メールの割合で、グラフの太字のマル ウェアが情報窃取型マルウェアであることを表しています。このグラフでは、AgentTesla、 FormBook、XLoaderの順で検知割合が多いことがわかります。LokiBotやSnake Keylogger などを含めると、情報窃取型マルウェアは全体で約66%となり、検知の半数以上を占めてい るといえます。また、2020年後半に新たに報告された情報窃取型マルウェアであるSnake Keyloggerも検知率が3%に上っており、今後も攻撃に使用されることが予想されます。 一方、図1の右のグラフは2021年にJSOCで検知した日本語の件名における攻撃メールの割 合です。Emotetが最も多く、続いてQakbot、情報窃取型マルウェアの順で検知していまし た。 最多のEmotetは、感染したPCから窃取したメールを攻撃で使用することで次々と感染が拡 大し、その結果攻撃メールの検知数が急増するという性質があります。一度テイクダウンさ れたEmotetですが、2021年11月から活動を再開しており、その攻撃手口からみても今後も 日本語のメールでの検知数は多い状況が続くとみられます。Emotetに関してはラックでも注 意喚起を行いました。 関連記事 [【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に](https://www.lac.co.jp/lacwatch/alert/20211119_002801.html) 二番目に多いQakbotは、Emotetと同様の手法を用いて取引先や同僚を装ったメールを送り つけることで感染拡大を図るマルウェアです。QakbotにPCが感染した場合、インターネッ トバンキングの認証情報が窃取されたり、メールが窃取されて攻撃に悪用されたりします。 ----- Qakbotの攻撃メールの特徴としては、件名が日本語であるものの、本文で英語が使用され ていることが多く、Emotetと比べると誤って開封してしまう可能性は低いと推測されます。 しかしながら、年間を通して攻撃メールが観測されている点に注意が必要です。 三番目に多くの割合を占めるのは、情報窃取型マルウェアです。検知割合でみれば約21%を 占めており、日本語メールにおいても無視できない存在であることがわかります。攻撃メー ルは、請求書や見積もり依頼などを騙ったものが多く、稚拙な文を使用することもあれば、 攻撃メールとしての体をなしたものもあり、内容によっては受信者が開いてしまう可能性も 十分考えられます。 以上のように、情報窃取型マルウェアは軽視できない割合で検知しており、根強い存在であ ることがわかります。また、感染までの流れが複雑であるため、対策を講じる上で一度全体 像を理解しておくことが望ましいです。 ## 感染までの流れ 情報窃取型マルウェアに感染する経路のひとつとしてメールがあります。図2に実際に攻撃 に使用されたメールの例を示します。メールの文面は英語であることが多いものの、図2の ように日本語が使われることもあります。いずれの言語の場合でもメールの文面は請求書や 支払いの確認、見積もりの依頼などの内容を装っており、受信者に添付ファイルや本文に記 載のURLリンクを開かせようと誘導します。 図2 攻撃に使用されたメールの例 添付ファイルの場合は不正なファイルが展開・実行すると感染を引き起こします。また、 URLリンクを開いた場合は添付ファイルの場合と同様の不正なファイルがダウンロードされ ます。不正なファイルの形式としては、実行ファイル(exe)、ドキュメント(docx、xlsx など)、その他のファイル(js、lnkなど)と、これらのファイルを内包した圧縮ファイル (zip、7-zip、rarなど)やISOイメージなど、様々な種類の形式を確認しています。 ----- 現在までに多く観測している感染までの流れを整理したものが次の図3です。やや複雑です が、URLリンクや圧縮ファイル等の場合でも、最終的に実行ファイルもしくはドキュメント を起点として情報窃取型マルウェアに感染することがわかります。 図3 情報窃取型マルウェアに感染するまでの流れ 実行ファイルが使用されるケースでは、実行ファイル自体が情報窃取型マルウェア本体であ る場合と、実行ファイルがGuLoader(別名:CloudEyE)と呼ばれるダウンローダである場 合があります。前者は実行すると直接感染を引き起こす一方で、後者はGuLoaderが情報窃 取型マルウェアをダウンロードして感染を引き起こします。 他方、ドキュメントが使用されるケースでは、マクロ付きのドキュメントとOffice製品の脆 弱性(CVE-2017-11822やCVE-2017-0199など)を悪用したドキュメントの2種類が存在し ます。これらのドキュメントの不正なコードが動作すると、情報窃取型マルウェアがダウン ロードされて感染する、または、GuLoaderを経由して多段階で情報窃取型マルウェアがダ ウンロードされて感染します。 情報窃取型マルウェアをダウンロードする通信先は、GoogleドライブやOneDrive、Discord が使われるケースを確認しています。このように正規サービスを悪用することは、検知や遮 断を回避する狙いがあるものとみられ、攻撃者たちの手口は巧妙化していることが窺えま す。 ----- なお、JSOCによる検知としては明確に確認できなかったものの、海外のサンドボックスサ ービスにおいてGuLoaderの代わりにModiLoaderと呼ばれるダウンローダが使用されるケー スがあることを確認しています。脅威分析チームの調査では、ModiLoaderの観測数は GuLoaderと比べると少なく、現在はGuLoaderが主流であるものと考えられます。 ## 情報窃取型マルウェアの種類 情報窃取型マルウェアにはさまざまな種類があります。ここではJSOCの検知において多く 確認している情報窃取型マルウェアである、AgentTesla、FormBook/XLoader、LokiBotの特 徴について解説します。これらのマルウェアは、ハッキングフォーラムなどで安価で販売、 または、無料でビルダー等をダウンロードできるため攻撃に使用されやすい傾向がありま す。 ### AgentTesla AgentTeslaは、2014年に発見された情報窃取を主目的とするマルウェアです。このマルウ ェアに感染すると、Webブラウザやメールクライアント、FTPクライアントなどの認証情 報、クリップボードやスクリーンショット、キーストロークなどの情報が攻撃者に窃取され る可能性があります。ただし、AgentTeslaは、一般的なRATにあるような高度なコマンド& コントロール機能を有していないため、通常は感染PCからサーバへの窃取情報の送信のみ を行います。 AgentTeslaの特徴として、通信方式の多様性が挙げられます。AgentTeslaは、HTTPを使用 する方法のほかに、SMTPやFTP、Telegramチャット、Torプロキシを使用して感染PC内の 情報を攻撃者のもとへ送ることができます。例えば、FTPを使用してファイルをFTPサーバ にアップロードしたり、TelegramボットAPIを使用してチャットにデータを送信したりする ことが可能です。なお、AgentTeslaがどの通信方式を用いるかはAgentTeslaの設定値によっ て変わり、一度に複数の通信方式を使用することはありません。このため、通信方式は検体 ごとに確認する必要があります。なお、AgentTeslaの設定値は、HTTPの場合は"0"、SMTP の場合は"1"、FTPの場合は"2"、Telegramの場合は"3"です。 ----- 図4 AgentTeslaの全体像 また、特筆すべき点として、AgentTeslaがv2とv3の2種類に大別できるという点が挙げられ ます※2。AgentTeslaはバージョンによって内部データの保持方法や有する機能が異なりま す。例えば、v2が通信先情報やデータ送信時に使用する文字列をAESで暗号化した状態で保 持しているのに対し、v3ではXORで文字列を暗号化した状態で保持しています(図5)。ま た、上述したTelegramやTorプロキシを使用した通信方式はv3でのみ実装されている機能で す。 ※2 [Agent Tesla amps up information stealing attacks](https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/) 図5 AgentTeslaのv2とv3の暗号化処理の違い (上:AgentTesla v2、下:AgentTesla v3) ----- 以上の観点から、JSOCにおいて検知したAgentTeslaに関して分析すると、v3の使用が多く みられ、通信方式としてはSMTPが多い傾向にあるということがわかりました。その一方 で、Telegramなどの他の通信方式が設定されているケースも少なからず存在しており、実際 の攻撃においても通信に多様性があるといえます。また、AgentTeslaに関する攻撃メールの 検知数は、2021年6月から増加傾向にあり、2022年においても根強く検知している状況で す。 最後に、最も使用頻度の多い通信方式であるSMTPについて解説します。通信方式がSMTP の場合は、AgentTesla内の暗号化データに含まれるメールアカウント情報(メールアドレ ス、パスワード、SMTPサーバのドメイン名)を用いて、図6のコードで窃取した情報をメ ールで送信します。 図6 窃 取データを送信するコード(AgentTesla v3) また、メール送信時の通信例は図7の通りです。このように送信時の通信では587番ポート を介してSMTP認証を行い、窃取情報をHTML形式のメールで送信します。なお、メールの 宛先は、認証したメールアカウントのメールアドレスがそのまま使用されるケースや、認証 したメールアカウントとは別に設定された宛先用のメールアドレスが使用されるケースがあ ることを確認しています。このようにして窃取されたデータが一方向にメールで送信されま す。 ----- 図7 窃取データを送信する通信 例(AgentTesla v3) ### FormBook/XLoader FormBookは、2016年に発見された情報窃取を主目的とするマルウェアです。このマルウェ アは、Webブラウザやメールクライアント、FTPクライアントの認証情報をはじめ、クリッ プボード情報やキーストロークの窃取、画面キャプチャ、コマンド&コントロールの機能を 備えています。そのため、感染すると機微な情報が窃取されたり、攻撃者によってPCをリ モートコントロールされたりします。 図8 FormBook/XLoaderの全体像 2016年から蔓延するFormBookですが、2020年になって後継のマルウェアと考えられる 「XLoader」が登場しました※3。XLoaderは、フォーラム上で販売の宣伝が行われ、既に日 本組織への攻撃に使用されています。機能面でみれば、コードはFormBookと類似してお り、大きな相違はみられません。その一方で、C2通信時に使用する特徴的な文字列やバー ジョン体系などが異なるという特徴があります(図9)。また、XLoaderはクロスプラット フォームへのサポートを謳っており、macOSでの動作を可能とする種別が存在します。 ※3 [Top prevalent malware with a thousand campaigns migrates to macOS](https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/) ----- 図9 FormBookとXLoaderの識別箇所 (左:FormBook 4.1、右:XLoader 2.3) FormBookとXLoaderは、いずれも通信をHTTPで行い、GETメソッドとPOSTメソッドを使 用します。通常は、最初の通信にGETメソッド、窃取データの送信にPOSTメソッド(図 10)を用います。送信されるデータはBase64エンコードとRC4によって暗号化されてお り、鍵の一部がマルウェア内に保持されています。なお、通信時は、どちらのマルウェアも 偽の通信先を複数ハードコードしているため、C2サーバではない通信先への通信が発生し ます。このためC2通信先が一見分かりづらく、通信先の遮断には注意が必要です。 図10 C2通信の例 (左:FormBook、右:XLoader) 上述の通り、FormBookもXLoaderもコマンド&コントロールの機能を有しています。これ により、通信を行うことでC2サーバからコマンドを受け取るという動作が可能です。マル ウェアがサーバから受け取るコマンドを表1に示します。これらのコマンドは、サーバから ----- の「200 OK」のレスポンスにおいてボディに記載されて受け渡されます。C2コマンドの機 能として、コマンド実行やダウンロード&実行の動作が可能なことから、情報窃取以外の目 的で使われる可能性も考えられます。 表1 C2コマンド一覧 コマンド 動作概要 "1" (0x31) ダウンロードと実行 "2" (0x32) アップデート "3" (0x33) アンインストール "4" (0x34) コマンド実行 "5" (0x35) Cookieの削除 "6" (0x36) OSの再起動 "7" (0x37) OSのシャットダウン "8" (0x38) 窃取データの送信 "9" (0x39) ZIP形式のダウンロードと展開 JSOCにおける最近の検知傾向としては、FormBookとXLoader共に日本国内の組織にも届い ている状況でFormBookの勢いも未だに落ちていません。国内の攻撃で用いられた検体は、 FormBookに関してはバージョン4.1、XLoaderに関しては2021年9月中旬まで2.3が利用さ れ、それ以降は2.5系が利用されている傾向にあります。なお、macOS版のXLoaderは、 JSOCでの検知はありませんでした。 ### LokiBot LokiBotは、2015年に発見された情報窃取を主目的とするマルウェアです。他の情報窃取型 マルウェアと同様に、各種アプリケーションの認証情報の窃取機能や画面キャプチャ機能、 キーロガー機能、コマンド&コントロール機能を有すとされており、感染した場合は機微な 情報の窃取や感染PCが攻撃者にリモートコントロールされる可能性があります。また、他 の情報窃取型マルウェアと比べると窃取対象とするアプリケーションが多いという特徴もあ ります。 ----- 図11 LokiBotの全体像 LokiBotのC2通信は、図12の通りHTTPを使用します。通信の特徴として、パスに 「fre.php」を使用することや、User-Agentに「Mozilla/4.08 (Charon; Inferno)」を使用する ことなどが挙げられ、比較的識別しやすいマルウェアといえます。また、詳細は後述します が、多くの場合はHTTPボディのデータに「ckav[.]ru」が含まれていることも特徴のひとつ です。 図12 通信例 LokiBotが発生させるリクエストには、窃取データの送信とC2コマンド要求の2種類があり ます。後者のC2コマンド要求の通信はデフォルト設定では10分ごとに発生します。このと きC2サーバからの受け取る命令は、表2に示すものがあります。 表2 C2コマンド一覧 コマンド 動作概要 0x00 exeファイルのダウンロードと実行 0x01 dllファイルのダウンロードと実行 ----- コマンド 動作概要 0x02 exeファイルのダウンロードと実行(コマンド0x0と同等) 0x08 HDBファイルの削除 0x09 キーロガーの起動(クラック版のLokiBotは実装なし) 0x0A 情報窃取 0x0E プロセスの終了 0x0F アップデート 0x10 C2通信間隔の変更 0x11 ファイルの削除とプロセスの終了 興味深いことに、世界的に流通するLokiBotの多くはクラック版※4であり、日本においても この傾向は変わりません。JSOCで検知した日本組織に届いたLokiBotも多くがクラック版で した。クラック版とは、開発者らが販売する元のLokiBotを改変したバイナリのことです。 クラック版を用いることで、LokiBotの販売者らに支払う利用料金を支払わずに済むことか ら攻撃者によって多用されているものと考えられます。 ※4 [CVE-2017-11882 Exploited to Deliver a Loki Infostealer](https://www.trendmicro.com/en_us/research/17/l/cve-2017-11882-exploited-deliver-cracked-version-loki-infostealer.html) クラック版LokiBotは、フォーラムで出回っている図13のビルダーを用いると任意のC2通信 先を指定したものが簡単に生成できます。さらに、C2パネルのソースコードも流出してい るため、クラック版でも攻撃を容易に行うことができてしまうのが実情です。 図13 クラック版LokiBotのビルダー (v1.6のビルダーと表示されるが、実際は1.8のビルダーとみられる) クラック版のLokiBotはバージョン1.8(0x12)をベースとして生成されているとみられ、オ リジナルバージョンには存在しない「.x」セクションが含まれています。「.x」セクション には、C2通信先を上書きするコードが含まれており、このセクションの有無を確認するこ とでクラック版であるか否かの判別が可能です。その他にも開発者が配布する元のLokiBot と相違点があります。例えば、キーロガーに関するC2コマンド(表2の0x09)が実装されて おらず、キーロガーの機能を有していないという点や、通信時にバイナリIDとして 「ckav[.]ru」が含まれる点が挙げられます。 ----- ## 被害に遭わないための対策 攻撃の被害に遭うことがないよう、以下のようなセキュリティ対策が実施できているか今一 度ご確認いただくことを推奨します。 Windows OSやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にす る ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する EDR製品を導入し、感染の検知・防御だけでなく、万が一の際の迅速な対応を可能に する 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリ ックしない マクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にす る」「コンテンツの有効化」というボタンはクリックしない ## ラックが提供するサービス 情報窃取型マルウェアに対する有効なサービスと、調査時に役立つツールの一部をご紹介し ます。 ### マネージドEDRサービス 引き続き、新型コロナウイルスの影響で、テレワークが拡大している背景からも、PCのセ キュリティ対策の重要性が増しています。 マネージドサービスを提供しているEDR製品(CrowdStrike Falcon/Microsoft Defender ATP)は、PC内の様々な動作痕跡を元に、未知の脅威を「検知」「初期対応」「調査」 「復旧」することを可能にする新しいセキュリティソリューションです。 [マネージドEDRサービス](https://www.lac.co.jp/operation/medr.html) AgentTeslaなどの情報窃取型マルウェアにおいても検知、防御が可能であることを確認して おり、EDRの導入は有効な対策のひとつとなります。さらにEDRは、感染の検知・防御だ けでなく、万が一の際の迅速な一次対処や原因調査を可能にするため、今回紹介した一般的 なマルウェアへの対策だけではなく、高度な標的型攻撃への対策としても有効です。 ### 情報漏えいチェックサービス 今回紹介した情報窃取型マルウェアなどが、自組織のネットワーク内のPCに感染していな いかを調査できるのが情報漏えいチェックサービスです。 [情報漏えい、マルウェア感染チェック](https://www.lac.co.jp/consulting/forensic-dlp.html) このサービスでは、お客様のネットワーク環境におけるインターネットの出口にトラフィッ ク収集機器を設置して収集したデータや、プロキシサーバのログを、専任のアナリストが情 報漏えいの観点で解析します。 ----- ラックの独自の知見をもとに調査を行うため、情報窃取型マルウェアやバンキングマルウェ アだけでなく、標的型攻撃による不審な通信についても発見・報告した実績がこれまでに多 数あります。自組織内のPCにマルウェアの感染がないかを第三者の視点から定期的にチェ ックするといった「健康診断」としてのご活用をぜひご検討ください。 ### 無料調査ツール「FalconNest」 ラックが無料で提供しているツール「FalconNest」は、不審なファイルを調査する際に役立 ちます。 [無料調査ツール「FalconNest」](https://www.lac.co.jp/solution_product/falconnest.html) メールに添付されているファイルがマルウェアか否かを確認したい場合、「マルウェア自動 分析機能(Malware Analyzer)」にて調査することができます。 図14 FalconNest(Malware Analyzerの検出例) また、解析したいファイルをアップロードする際に、「コードインテリジェンス分析を使用 する」にチェックを入れることにより、Intezer Analyze※5の機能によって、どのマルウェア ファミリーに属しているのか分析できます。以下の図15は、解析結果のJSONファイルで す。「family」の項目を見ると、AgentTeslaに分類されていることが分かります。 ※5 [Intezer - Autonomous Security Operations](https://www.intezer.com/) 図15 コードインテリジェンス分析の解析結果 ## まとめ ----- 今回はJSOCの検知傾向に基づいて数種類の情報窃取型マルウェアを解説しましたが、紹介 したもの以外にもたくさんの種類があります。XLoaderやSnake Keyloggerなど、比較的新 たな情報窃取型マルウェアも登場しており、情報窃取型マルウェアの情勢も変化しつつあり ます。そのため、これらのマルウェアが既存の製品によって簡単に検知すると油断せず、多 層的に対策を行うことが重要です。 脅威分析チームは、今後もマルウェアや攻撃キャンペーンについて継続的に調査し、広く情 報を提供していきたいと考えていますので、その情報をご活用いただければ幸いです。 サイバー救急センター 脅威分析チーム (武田 貴寛、松本 拓馬、髙源 武彦) ## IOC(Indicator Of Compromised) ### AgentTesla(MD5) d4a2487d6ebebfbfdb0768c990963f3f d1b9a474883c8b76248b2a902b0fff3a 480d2cd631b442fcd0ec4dc77076b9b9 b4eab6adcac586a4f8c457f121b6e06e bf51a1e00b087a25ec19d22a7ec1a307 5d9692630fe462721d302a2f2645aa14 a8eff47f0222d50d6c37d6a18ccff543 0a3a1385c70ecec991de3baf9ea504e8 ### FormBook(MD5) c8d7f9160e60b1db486561b007ab7621 14ec4cfb2a55bbd695844c38aec0aabc 419b440432ac6a3b9acb14c94c8e63ba 57bd2d2933d5c64bca855b90f21887a4 9ebbda76067bcea4343c56f37fc8bfc6 ### XLoader(MD5) c4832ce0018f0455b27f1b92d1cb3152 2281240c80b4635c3e0d17a44142b14a 29a2ea2de2e06ff44e764795c83fbba7 a0ce2cc7efe495427eb62c4c4ab2d3d2 bcde42776b0996bd7ec03be666fbd8c3 c9a3d8f7a9dd8083b71ce917f47b3585 ### LokiBot(MD5) ----- e6e8630a4ebb748fbff69def4af87869 24dd4963d365c33435f58adaebb1ef26 ce9243796ed9bb455d7bc29aee7566e9 d983e2e5b77b10131ec146dc026f3986 573ac4bba0681562c1ed9a00d4aee41e 緊急対応窓口: サイバー救急センター セキュリティに係るお客様の緊急事態に際し 迅速にお客様をご支援する緊急対応サービスです。 緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。 [サービスについて](https://www.lac.co.jp/consulting/cyber119.html) -----