Backdoor.Win32.CARBANAK.A
Win32:Crypt-SHO [Trj] (AVAST); PWS:Win32/Sekur.A (MICROSOFT)
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
「Carbanak」は、サイバー犯罪者集団「FIN7」が銀行や金融機関を対象に標的型サイバー攻撃を実行するために利用したバックドア型マルウェアです。このマルウェアのソースコードが、2017年、オンラインスキャンサービス「VirusTotal」上に漏えいしていることがセキュリティ企業「FireEye」のリサーチャによって確認され、その後、2019年4月に解析結果が公開されました。トレンドマイクロでは、「Carbanak」のうちの一つを「Backdoor.Win32.CARBANAK.A」として検出します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ポートを開き、不正リモートユーザからのコマンドを待機します。 マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。
マルウェアは、特定の脆弱性を利用した感染活動を実行します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Startup%\{random characters}.exe
(註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {random characters}
マルウェアは、以下のプロセスにコードを組み込みます。
- services.exe - if AVG Product is installed
- iexplore.exe - if Trend Micro Product is installed
- mstsc.exe - if Trend Micro Product is installed and iexplore.exe is not found
- svchost.exe
バックドア活動
マルウェアは、以下のポートを開き、不正リモートユーザからのコマンドを待機します。
- 443
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Execute commands specified in the configuration file
- Set the loaded state of the bot
- Run Ammyy plugin
- Update bot
- Use specified proxy settings
- Create or deletes a user with rights for RDP
- Delete specified service or file
- Download and executes a file in memory
- Retrieve user credentials using the mimikatz library
- Take a screenshot and sends it to the C&C server
- Run VNC plugin
- Uninstall bot
- List all running processes
- Initiate a reverse shell to the server
マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。
その他
マルウェアは、以下のファイルを作成します。
- %All User Profile%\Application Data\Mozilla\{random characters}.bin
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
マルウェアは、以下を実行します。
- マルウェアは、コマンドの送受信に名前付きパイプを使用します。
- マルウェアは、以下の脆弱性により、権限昇格が可能です。
- CVE-2013-3660
- CVE-2013-5065
- CVE-2014-4113
- DLLハイジャックによるUACバイパス
- マルウェアは、以下のパラメータを受け取ります。
- -sd : システム権限による自身の起動
- -ij : explorerに注入するために起動
- -u : 自身を更新
<補足>
インストール
マルウェアは、以下のプロセスにコードを組み込みます。
- services.exe - AVG製品がインストールされている場合
- iexplore.exe - トレンドマイクロ製品がインストールされている場合
- mstsc.exe - トレンドマイクロ製品がインストールされていて、「iexplore.exe」が見つからない場合
- svchost.exe
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 環境設定ファイル内に指定されたコマンドの実行
- ボットの読み込み状態の設定
- Run Ammyyのプラグインの実行
- ボットのアップデート
- 特定のプロキシ設定の使用
- RDPの権限を持つユーザを作成または削除
- 特定のサービスまたはファイルの削除
- メモリ内のファイルのダウンロードおよび実行
- mimikatzライブラリを使用してユーザの認証情報の取得
- スクリーンショットを取得しC&Cサーバへ送信
- VNCプラグインの実行
- ボットのアンインストール
- 実行中のすべてのプロセスの一覧表示
- サーバへのリバースシェルの起動
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %All User Profile%\Application Data\Mozilla\{random characters}.bin
- %User Startup%\{random characters}.exe
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win32.CARBANAK.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください