Suckfly(Winnti) のライフサイクル
出典: https://www.symantec.com/connect/blogs/suckfly-2
【概要】
■ドロッパー
dllhost.exe | .dll ファイルのメインホスト |
---|---|
iviewers.dll | 暗号化されたペイロードを読み込み、復号するファイル |
msfled | 暗号化されたペイロード |
- マルウェアが正常に動作するには、3 つのファイルがすべて必要
- 実行されたマルウェアは、動作を開始する前にインターネットへの接続をテスト
- 接続テストに成功すると動作を開始し、ポート 443 と 8443 で C&C ドメインとの通信を試みる
- ポートと C&C の情報は暗号化されており、Nidiran マルウェア自体にハードコード
■Cookie による通信
- [Cookie 名]=[RC4 暗号化 + B64 エンコードされた被害者からのデータ]
- RC4 暗号化のキーは、ハードコードされた "h0le" という文字列 (本サンプル)
- ネットワーク名、ホスト名、IP アドレス、被害者のオペレーティングシステム情報を入手
【公開情報】
◆インドの組織を狙う Suckfly (Symantec, 2016/05/18)
Suckfly が、インドの政府機関と営利企業を標的にして、長期にわたるスパイ活動を展開しています。
【関連まとめ記事】
◆Winnti (まとめ)
http://malware-log.hatenablog.com/entry/winnti
【インディケータ情報】
■FQDN
aux.robertstockdill[.]com
ssl.2upgrades[.]com
bss.pvtcdn[.]com
ssl.microsoft-security-center[.]com
usv0503.iqservs-jp[.]com
fli.fedora-dns-update[.]com