解析者: Paul Steven Nadera   
 別名:

Trojan:MSIL/Solorigate.B!dha (Microsoft); Trj/Solorigate.A (Panda)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

2020年12月、さまざまな情報筋がサプライチェーンを経由して企業を狙う巧妙な攻撃事例を報じました。この事例では、SolarWinds社製ネットワーク監視アプリケーション「Orion」を侵害したサプライチェーン攻撃が行われました。攻撃者は、このアプリケーションによるアクセスを経由して、バックドア型マルウェア「Sunburst」を標的の端末へ感染させました。

「Sunburst」は巧妙な手口を備えたバックドア型マルウェアであり、端末に感染すると、攻撃者による完全な制御が可能になります。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 1,028,072 bytes
タイプ DLL
メモリ常駐 はい
発見日 2020年12月14日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Delete Registry Value
  • Get Registry Subkey and Value Names
  • Read Registry Value
  • Set Registry Value
  • Delete File
  • Check if File Exists
  • Get File Hash
  • Get File System Entries
  • Write File
  • Get Process By Description
  • Kill Task
  • Run Task
  • Set Time - Set delay time
  • Upload System Description
  • Reboot -> Reboots computer
  • Idle -> no operation
  • Exit -> exits the thread
  • Collect System description (Collects Domain Name, Hostname, Username, OS Version, Total Days since execution, System Directory location, Network Adapter Configuration where Network Adapter Configuration contains the following):
    • Description
    • Mac Address
    • DHCPEnabled
    • DHCPServer
    • DNSHostName
    • DNSDomainSuffixSearchOrder
    • IPAddress
    • DNSServerSearchOrder
    • IPSubnet
    • DefaultIPGateway

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {random characters}.appsync-api.{random string from list}.{BLOCKED}loud.com
  • where {random string from list} can be any of the following:
    • eu-west-1
    • eu-west-2
    • us-east-1
    • us-east-2

情報漏えい

マルウェアは、以下の情報を収集します。

  • Used to generate UserId:
    • Domain Name
    • Network Interfaces
    • MachineGuid
  • For checking blocklisted:
    • List of all running processes
    • List of drivers
    • List of services

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • api.solarwinds.com

マルウェアは、以下を実行します。

  • Uses the following to regex to parse response body:
    • "\"\{[0-9a-f-]{36}\}\"|\"[0-9a-f]{32}\"|\"[0-9a-f]{16}\""
  • Checks the joined domain of the machine for the following patterns: (will terminate if matched):
    • "(?i)([^a-z]|^)(test)([^a-z]|$)"
    • "(?i)(solarwinds)"
  • Checks DGA URLs for the following blocks of IP Addresses, enumerate services found in the malware configuration, changes the start value of those services, and will not proceed to C2 connection if found:
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
    • 224.0.0.0/3
    • fc00:: - fe00::
    • fec0:: - ffc0::
    • ff00:: - ff00::
    • 20.140.0.0/15
    • 96.31.172.0/24
    • 131.228.12.0/22
    • 144.86.226.0/24
  • Checks for the following conditions before proceeding to the backdoor routine:
    • Process name hash should be 17291806236368054941 after hashing function (matches processname businesslayerhost.exe)
    • Installation date should be 12 days or more
    • Checks ReportWatcherRetry key in the config and if value is not 3 (Truncate)
    • Checks if machine is joined in a domain
  • Creates the following named pipe to ensure one instance is only running:
    • 583da945-62af-10e8-4902-a8f205c72b2e
  • Checks the DGA URLs for the following blocks of IP Addresses, and updates the status configuration of the malware:
    • 41.84.159.0/255.255.255.0
    • 71.114.24.0/255.255.248.0
    • 154.118.140.0/255.255.255.0
    • 217.163.7.0/255.255.255.0
  • Checks DGA URLs for the following blocks of IP Addresses, and proceeds to backdoor routine if found:
    • 8.18.144.0/255.255.254.0
    • 18.130.0.0/255.255.0.0
    • 71.152.53.0/255.255.255.0
    • 99.79.0.0/255.255.0.0
    • 87.238.80.0/255.255.248.0
    • 199.201.117.0/255.255.255.0
    • 184.72.0.0/255.254.0.0

<補足>
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • レジストリ値の削除
  • レジストリサブキーと値の名前を取得
  • レジストリ値の読み取り
  • レジストリ値の設定
  • ファイルの削除
  • ファイルが存在するかどうかを確認
  • ファイルハッシュの取得
  • ファイルシステムエントリの取得
  • ファイルの書き込み
  • 説明によるプロセスの取得
  • タスクの強制終了
  • タスクの実行
  • 時間の設定-遅延時間を設定
  • システムの説明をアップロード
  • 再起動→コンピュータの再起動
  • アイドル→操作なし
  • 終了→スレッドの終了
  • システムの説明を収集(ドメイン名、ホスト名、ユーザ名、OSバージョン、実行されてからの合計日数、システムディレクトリの場所、ネットワークアダプタ構成に以下が含まれるものを収集します)。
    • 説明
    • Macアドレス
    • DHCPEnabled
    • DHCPServer
    • DNSHostName
    • DNSDomainSuffixSearchOrder
    • IPアドレス
    • DNSServerSearchOrder
    • IPSubnet
    • DefaultIPGateway

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {ランダムな文字}.appsync-api.{ランダムな文字列一覧にある文字列のいずれか}.{BLOCKED}loud.com
  • ランダムな文字列一覧は以下です。
    • eu-west-1
    • eu-west-2
    • us-east-1
    • us-east-2

情報漏えい

マルウェアは、以下の情報を収集します。

  • UserIdの生成に使用:
    • ドメイン名
    • ネットワーク・インターフェース
    • MachineGuid
  • ブロックリストの確認:
    • 全ての実行中のプロセス一覧
    • ドライバー一覧
    • サービス一覧

その他

マルウェアは、以下を実行します。

  • 以下を利用して、正規表現を使用し、応答本文を解析します。
    • "\"\{[0-9a-f-]{36}\}\"|\"[0-9a-f]{32}\"|\"[0-9a-f]{16}\""
  • コンピュータの参加ドメインで、以下のパターンを確認します:(一致した場合、終了します。):
    • "(?i)([^a-z]|^)(test)([^a-z]|$)"
    • "(?i)(solarwinds)"
  • DGAで生成したドメインURLに以下のIPアドレスのブロックを確認、マルウェアの構成で確認したサービスを列挙、そして対象のサービスの開始値を変更し、これらが確認された場合、C&C接続には進みません。
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
    • 224.0.0.0/3
    • fc00:: - fe00::
    • fec0:: - ffc0::
    • ff00:: - ff00::
    • 20.140.0.0/15
    • 96.31.172.0/24
    • 131.228.12.0/22
    • 144.86.226.0/24
  • バックドアの動作に進む前に、以下の条件を確認します。
    • ハッシュ関数の後、プロセス名のハッシュは「17291806236368054941」である必要があります(プロセス名「businesslayerhost.exe」と一致します。)。
    • インストール日は、12日以上である必要があります。
    • 構成のReportWatcherRetryキーを確認し、値が「3」でない場合(切り捨て)
    • コンピュータがドメインに参加しているかどうかを確認します。
  • 以下の名前付パイプを作成し、1つのインスタンスのみが実行されるようにします。
    • 583da945-62af-10e8-4902-a8f205c72b2e
  • DGAで生成したドメインURLで以下のIPアドレスのブロックを確認し、マルウェアのステータス構成を更新します。
    • 41.84.159.0/255.255.255.0
    • 71.114.24.0/255.255.248.0
    • 154.118.140.0/255.255.255.0
    • 217.163.7.0/255.255.255.0
  • DGAで生成したドメインURLに以下のIPアドレスのブロックを確認した場合、バックドア動作に進みます。
    • 8.18.144.0/255.255.254.0
    • 18.130.0.0/255.255.0.0
    • 71.152.53.0/255.255.255.0
    • 99.79.0.0/255.255.0.0
    • 87.238.80.0/255.255.248.0
    • 199.201.117.0/255.255.255.0
    • 184.72.0.0/255.254.0.0

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.412.04
初回 VSAPI パターンリリース日 2020年12月14日
VSAPI OPR パターンバージョン 16.413.00
VSAPI OPR パターンリリース日 2020年12月15日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「Backdoor.MSIL.SUNBURST.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.MSIL.SUNBURST.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください