TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

インドの組織を狙う Suckfly (Winnti)

f:id:tanigawa:20190302043446p:plain
Suckfly(Winnti) のライフサイクル
出典: https://www.symantec.com/connect/blogs/suckfly-2


【概要】

■ドロッパー

dllhost.exe .dll ファイルのメインホスト
iviewers.dll 暗号化されたペイロードを読み込み、復号するファイル
msfled 暗号化されたペイロード
  • マルウェアが正常に動作するには、3 つのファイルがすべて必要
  • 実行されたマルウェアは、動作を開始する前にインターネットへの接続をテスト
  • 接続テストに成功すると動作を開始し、ポート 443 と 8443 で C&C ドメインとの通信を試みる
  • ポートと C&C の情報は暗号化されており、Nidiran マルウェア自体にハードコード

■Cookie による通信

  • [Cookie 名]=[RC4 暗号化 + B64 エンコードされた被害者からのデータ]
  • RC4 暗号化のキーは、ハードコードされた "h0le" という文字列 (本サンプル)
  • ネットワーク名、ホスト名、IP アドレス、被害者のオペレーティングシステム情報を入手


【公開情報】

◆インドの組織を狙う Suckfly (Symantec, 2016/05/18)

Suckfly が、インドの政府機関と営利企業を標的にして、長期にわたるスパイ活動を展開しています。

https://www.symantec.com/connect/blogs/suckfly-2


【関連まとめ記事】

◆Winnti (まとめ)
http://malware-log.hatenablog.com/entry/winnti


【インディケータ情報】

■FQDN

aux.robertstockdill[.]com
ssl.2upgrades[.]com
bss.pvtcdn[.]com
ssl.microsoft-security-center[.]com
usv0503.iqservs-jp[.]com
fli.fedora-dns-update[.]com


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020