# チームC マルウェア解析 ## 攻撃の流れ ### 初期プログラム - RLOを利用して「index.txt」と誤認させている - 「 http://172.17.20.13:8000/Akagi64.exe 」をダウンロードし、「 $home\\AppData\\Local\\Microsoft\\GameDVR\\Akagi64.exe 」に保存 - 「 http://172.17.20.13:8000/spy.dll 」をダウンロードし、「 $home\\AppData\\Local\\Microsoft\\GameDVR\\spy.dll 」へ保存 - spy.dllをnotepad.exeにDLLインジェクション ### Akagi64.exe - https://github.com/hfiref0x/UACME - UAC回避に利用 ### spy.dll - 「 C:\Users\testuser\AppData\Local\Microsoft\GameDVR\tasklist.ps1 」にスクリプトを書き出す - Akagi64.exe経由で書き出したスクリプトを実行 #### tasklist.ps1 - 各種スクリプトや実行ファイルをダウンロード&実行 - タスクスケジュール登録して実行しており、 - キーロガースクリプトを呼び出す - http://172.17.20.13:8000/keylogger.ps1 - Mimikatzをダウンロード - http://172.17.20.13:8000/mimikatz.exe - Mimikatz本体 (ハッシュ値：df6a740b0589dbd058227d3fcab1f1a847b4aa73feab9a2c157af31d95e0356f) - dumpファイルは「C:\Users\testuser\Documents\mimikatz\dump.txt」に置かれる - 遠隔操作 -  - http://172.17.20.13:8000/operate_infected_pc.ps1 - http://172.17.20.13:8000/operate_infected_pc_ver2.ps1 - indtxt.exe - http://172.17.20.13:8000/indtxt.exe - 横感染 - 「 http://172.17.20.13:8000/indtxt.exe 」をダウンロードしてネットワークドライブ(ホストのIP)に配置 ### indtxt.exe - 中身は「index.txt (RLO)」とほぼ同じ ### keylogger.ps1 - キーフックをして、「$env:temp\wct1228.tmp」(C:\Users\testuser\AppData\Local\Temp\wct1228.tmp)に書き込んでいる。 ### 遠隔操作 1 (operate_infected_pc.ps1) - 遠隔操作の流れ - 「C:\Users\testuser\Documents\id」を取得 - 取得したidを「 http://172.17.20.13:8080/${id}/port 」として送信、するとサーバからID(ポート番号)が割り当てられる。 - 「 IP=172.17.20.13/Port={割り当てポート番号} 」へ接続し、以降は接続したコネクションを介してC2と通信する。 ### C2からの操作内容 C2からのレスポンスで処理内容が変化 - d1 - キーロガーファイルを送信 - 送信後、収集したデータは削除 - d2 - Mimikatzで収集したデータを送信 - 送信後、収集したデータは削除 - d3 - コマンドをC2から受信し、実行結果をC2へ返信する - その後、再度C2からコマンド受信を行う処理を繰り返す - 文字列"fin"を受信すると終了 - u1 - 次のスクリプト(operate_infected_pc_ver2.ps1)をダウンロード - Oneドライブに偽装してスクリプトを実行するタスクに登録し、ダウンロードしたスクリプトを１分後に実行 ### 遠隔操作 2 (operate_infected_pc_ver2.ps1) C2と再接続して通信する - d1 - キーロガーファイルを送信 - 送信後、収集したデータは削除 - d2 - Mimikatzで収集したデータを送信 - 送信後、収集したデータは削除 - d3 - コマンドをC2から受信し、実行結果をC2へ返信する - その後、再度C2からコマンド受信を行う処理を繰り返す - 文字列"fin"を受信すると終了 - d4 - C2へ「NEW_version_SUCCESS!」と送信