{
	"id": "22b43dcc-30e8-448d-bac5-45cdbb68f95d",
	"created_at": "2026-04-06T00:16:05.005173Z",
	"updated_at": "2026-04-10T03:30:11.943618Z",
	"deleted_at": null,
	"sha1_hash": "d11b6bc14f14ffa97c664bf0b3c34d581d043db4",
	"title": "Cookieヘッダーを用いてC\u0026CサーバとやりとりするマルウエアChChes(2017-01-26) - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1419006,
	"plain_text": "Cookieヘッダーを用いてC\u0026Cサーバとやりとりするマルウエ\r\nアChChes(2017-01-26) - JPCERT/CC Eyes\r\nBy JPCERT/CC\r\nPublished: 2017-01-25 · Archived: 2026-04-05 16:29:24 UTC\r\nChChes\r\nJPCERT/CCでは、2016年10月頃から国内の組織に対して、実行ファイルを含むZIPファイルを添付した\r\n標的型メールが送信されていることを確認しています。標的型メールは、実在の人物を騙り、国内の\r\nフリーメールアドレスから送信されています。また、実行ファイルはWord文書にアイコン偽装されて\r\nおり、これを実行するとChChesと呼ばれるマルウエアに感染します。\r\n今回はChChesの通信内容の特徴などについて紹介します。\r\n標的型メールに添付されているZIPファイル\r\n標的型メールに添付されているZIPファイルには、実行ファイルのみが含まれる場合と、加えてダミー\r\nのWord文書を同梱している場合があります。以下は、後者の例です。\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 1 of 11\n\n図 1：添付されているZIPファイルの例\r\n上記の事例では、類似したファイル名が2つ並び、片方はダミーのWord文書、もう片方はWord文書のア\r\nイコンに偽装した実行ファイルとなっており、この実行ファイルを実行することでChChesに感染しま\r\nす。実行ファイルには特定のコードサイニング証明書により署名されている検体を複数確認していま\r\nす。なお、ダミーのWord文書は無害なもので、ファイル名に関連した実在するオンライン記事の内容\r\nが、Word文書化されています。コードサイニング証明書の詳細はAppendix Aに記載しています。\r\nChChesの通信内容について\r\nChChesは、特定のサイトとHTTPで通信を行い、コマンドおよびモジュールを受信するマルウエアで\r\nす。ChChesは、単体では実行できる機能はほとんどなく、C\u0026Cサーバと通信する中でモジュールを受\r\n信し、メモリ上に展開することで機能を拡張します。\r\n以下はChChesが送信するHTTP GETリクエストの例です。なお、GETではなくHEADが使われる場合も\r\nあります。\r\nGET /X4iBJjp/MtD1xyoJMQ.htm HTTP/1.1\r\nCookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe～省略～\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 2 of 11\n\nAccept: */*\r\nAccept-Encoding: gzip, deflate\r\nUser-Agent: [ユーザエージェント]\r\nHost: [ホスト名]\r\nConnection: Keep-Alive\r\nCache-Control: no-cache\r\n上記のように、HTTPリクエストのパスには/[ランダムな文字列].htmが使われますが、Cookieフィール\r\nドの値はランダムではなく、C\u0026Cサーバとのやりとりに使われるデータが暗号化された状態で含まれ\r\nています。この値は、以下のPythonスクリプトで復号することができます。\r\ndata_list = cookie_data.split(';')\r\ndec = []\r\nfor i in range(len(data_list)):\r\n tmp = data_list[i]\r\n pos = tmp.find(\"=\")\r\n key = tmp[0:pos]\r\n val = tmp[pos:]\r\n md5 = hashlib.md5()\r\n md5.update(key)\r\n rc4key = md5.hexdigest()[8:24]\r\n rc4 = ARC4.new(rc4key)\r\n dec.append(rc4.decrypt(val.decode(\"base64\"))[len(key):])\r\nprint(\"[*] decoded: \" + \"\".join(dec))\r\n以下は、感染後に発生する通信の大まかな流れです。\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 3 of 11\n\n図 2：通信の流れ\r\n最初のリクエスト\r\nChChesが最初に送信するHTTPリクエスト（リクエスト1)のCookieフィールドの値には'A'で始まるデー\r\nタが暗号化された状態で含まれています。以下は、送信されるデータの例です。\r\n図 3：最初に送信されるデータの例\r\n図 3に示すように、送信されるデータにはコンピュータ名などの情報が含まれます。なお、暗号化され\r\nたデータのフォーマットはChChesのバージョンにより異なります。詳細についてはAppendix Bに記載\r\nします。\r\nChChesは、リクエスト1のレスポンスとして、感染端末を識別するIDとなる文字列をC\u0026Cサーバから受\r\n信します（レスポンス1）。このとき、感染端末を識別するIDは以下のようにSet-Cookieフィールドの\r\n値に含まれます。\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 4 of 11\n\n図 4：最初のリクエストに対するレスポンスの例\r\nモジュールおよびコマンドの要求\r\n次に、ChChes は、モジュールおよびコマンドを受信するためのHTTPリクエスト（リクエスト2）を送\r\n信します。このとき、Cookieフィールドの値には'B'で始まる以下のデータが暗号化された状態で含まれ\r\nています。\r\nB[感染端末を識別するID]\r\nリクエスト2のレスポンスとして、暗号化された状態のモジュールおよびコマンド（レスポンス2）を\r\nC\u0026Cサーバから受信します。以下は受信したモジュールおよびコマンドの復号後の例です。\r\n図 5：受信したモジュールおよびコマンドの復号後のデータ\r\n上記のように、コマンドとモジュールが1つのデータとして受信する場合と、コマンドのみを受信する\r\n場合があります。以降、受信したコマンドの実行結果がC\u0026Cサーバに送信され、再びモジュールおよ\r\nびコマンドを受信する処理に戻ります。このようにして、C\u0026Cサーバから繰り返し命令を受信するこ\r\nとで、感染端末は外部からの遠隔操作を受けることになります。\r\nJPCERT/CCの調査では、これまでに、以下の機能を持ったモジュールの存在を確認しており、これが\r\n実質的にはChChesのボット機能であると言えます。\r\n　AESによる通信の暗号化\r\n　シェルコマンドの実行\r\n　ファイルのアップロード\r\n　ファイルのダウンロード\r\n　DLLのロードおよび実行\r\n　ボットコマンドのタスク一覧\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 5 of 11\n\n特に、AESによる通信の暗号化を行うモジュールは、感染後、比較的初期の段階で受信されることを確\r\n認しています。これにより、その後のC\u0026Cサーバとのやりとりは、これまでの通信の暗号化に加え\r\nて、AESで暗号化されることになります。\r\nおわりに\r\nChChesは、2016年10月頃から確認されるようになった比較的新しい種類のマルウエアです。今後も標\r\n的型攻撃で使われる可能性があるため、JPCERT/CCでは引き続き、ChChes とそれを利用した標的型攻\r\n撃に注目していきます。\r\n今回解説した検体のハッシュ値に関しては、Appendix Cに記載しています。また、これまでに\r\nJPCERT/CCで確認しているChChesの通信先Appendix Dに記載していますので、このような通信先にア\r\nクセスしている端末がないかご確認ください。\r\n分析センター 中村 祐\r\n Appendix A コードサイニング証明書\r\n検体に付加されているコードサイニング証明書の情報は以下の通りです。\r\n$ openssl x509 -inform der -text -in mal.cer\r\nCertificate:\r\n Data:\r\n Version: 3 (0x2)\r\n Serial Number:\r\n 3f:fc:eb:a8:3f:e0:0f:ef:97:f6:3c:d9:2e:77:eb:b9\r\n Signature Algorithm: sha1WithRSAEncryption\r\n Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.ve\r\n Validity\r\n Not Before: Aug 5 00:00:00 2011 GMT\r\n Not After : Aug 4 23:59:59 2012 GMT\r\n Subject: C=IT, ST=Italy, L=Milan, O=HT Srl, OU=Digital ID Class 3 - Microsoft Software Valida\r\n Subject Public Key Info:\r\n～省略～\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 6 of 11\n\n図 6：コードサイニング証明書\r\nAppendix B ChChesのバージョン\r\n以下は、これまでに確認しているChChesのバージョン番号と検体のPEヘッダから取得したコンパイル\r\nタイムをプロットしたものです。\r\n図 7：ChChesの各バージョンのコンパイルタイム\r\n以下は、ChChesのバージョン毎の最初のHTTPリクエストに含まれる暗号化されたデータのフォーマッ\r\nトと各値の説明です。\r\n表 1: バージョン毎の送信フォーマット\r\nバージョン 送信フォーマット\r\n1.0.0 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e*\u003cf\u003e\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 7 of 11\n\n1.2.2 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e*\u003cf\u003e\r\n1.3.0 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e*\u003cf\u003e\r\n1.3.2 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e*\u003cg\u003e\r\n1.4.0 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e*\u003cg\u003e\r\n1.4.1 A\u003ca\u003e*\u003cb\u003e?3618468394?\u003cc\u003e?\u003cd\u003e (\u003ce\u003e)*\u003cg\u003e\r\n1.6.4 A\u003ca\u003e*\u003cb\u003e*\u003ch\u003e?3618468394?\u003cc\u003e?\u003cd\u003e (\u003ce\u003e)*\u003cg\u003e\r\n表 2：～の説明\r\n記号 データ サイズ 備考\r\n\u003ca\u003e コンピュータ名 可変 英数大文字\r\n\u003cb\u003e プロセスID 可変  \r\n\u003cc\u003e テンポラリフォルダのパス 可変 %TEMP%の値\r\n\u003cd\u003e マルウエアのバージョン 可変 例：1.4.1\r\n\u003ce\u003e 画面の解像度 可変 例：1024x768\r\n\u003cf\u003e explorer.exeのバージョン 可変 例：6.1.7601.17567\r\n\u003cg\u003e kernel32.dllのバージョン 可変 例：6.1.7601.17514\r\n\u003ch\u003e SIDのMD5値の一部 16バイト 例：0345cb0454ab14d7\r\nAppendix C 検体のSHA-256ハッシュ値\r\nChChes\r\n5961861d2b9f50d05055814e6bfd1c6291b30719f8a4d02d4cf80c2e87753fa1\r\nae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145\r\n2c71eb5c781daa43047fa6e3d85d51a061aa1dfa41feb338e0d4139a6dfd6910\r\n19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b\r\n316e89d866d5c710530c2103f183d86c31e9a90d55e2ebc2dda94f112f3bdb6d\r\nefa0b414a831cbf724d1c67808b7483dec22a981ae670947793d114048f88057\r\ne90064884190b14a6621c18d1f9719a37b9e5f98506e28ff0636438e3282098b\r\n9a6692690c03ec33c758cb5648be1ed886ff039e6b72f1c43b23fbd9c342ce8c\r\nbc2f07066c624663b0a6f71cb965009d4d9b480213de51809cdc454ca55f1a91\r\ne6ecb146f469d243945ad8a5451ba1129c5b190f7d50c64580dbad4b8246f88e\r\ne88f5bf4be37e0dc90ba1a06a2d47faaeea9047fec07c17c2a76f9f7ab98acf0\r\nd26dae0d8e5c23ec35e8b9cf126cded45b8096fc07560ad1c06585357921eeed\r\n2965c1b6ab9d1601752cb4aa26d64a444b0a535b1a190a70d5ce935be3f91699\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 8 of 11\n\n312dc69dd6ea16842d6e58cd7fd98ba4d28eefeb4fd4c4d198fac4eee76f93c3\r\n4ff6a97d06e2e843755be8697f3324be36e1ebeb280bb45724962ce4b6710297\r\n45d804f35266b26bf63e3d616715fc593931e33aa07feba5ad6875609692efa2\r\ncb0c8681a407a76f8c0fd2512197aafad8120aa62e5c871c29d1fd2a102bc628\r\n75ef6ea0265d2629c920a6a1c0d1dd91d3c0eda86445c7d67ebb9b30e35a2a9f\r\n471b7edbd3b344d3e9f18fe61535de6077ea9fd8aa694221529a2ff86b06e856\r\nae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86\r\n646f837a9a5efbbdde474411bb48977bff37abfefaa4d04f9fb2a05a23c6d543\r\n3d5e3648653d74e2274bb531d1724a03c2c9941fdf14b8881143f0e34fe50f03\r\n9fbd69da93fbe0e8f57df3161db0b932d01b6593da86222fabef2be31899156d\r\n723983883fc336cb575875e4e3ff0f19bcf05a2250a44fb7c2395e564ad35d48\r\nf45b183ef9404166173185b75f2f49f26b2e44b8b81c7caf6b1fc430f373b50b\r\nAppendix D通信先一覧\r\narea.wthelpdesk.com\r\ndick.ccfchrist.com\r\nkawasaki.cloud-maste.com\r\nkawasaki.unhamj.com\r\nsakai.unhamj.com\r\nscorpion.poulsenv.com\r\ntrout.belowto.com\r\nzebra.wthelpdesk.com\r\nhamiltion.catholicmmb.com\r\ngavin.ccfchrist.com\r\nJPCERT/CC\r\n記事に関するご意見・ご質問は、お問い合わせフォームにご記入ください。\r\n関連記事\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 9 of 11\n\nJSAC2026 開催レポート～DAY 2～\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 10 of 11\n\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"MISPGALAXY",
		"ETDA",
		"Malpedia"
	],
	"references": [
		"https://www.jpcert.or.jp/magazine/acreport-ChChes.html"
	],
	"report_names": [
		"acreport-ChChes.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434565,
	"ts_updated_at": 1775791811,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d11b6bc14f14ffa97c664bf0b3c34d581d043db4.pdf",
		"text": "https://archive.orkl.eu/d11b6bc14f14ffa97c664bf0b3c34d581d043db4.txt",
		"img": "https://archive.orkl.eu/d11b6bc14f14ffa97c664bf0b3c34d581d043db4.jpg"
	}
}