CCleaner のマルウェアコードを解析してみたその２

2017年9月16日

CCleaner のマルウェアコードを解析してみたその１
というわけで、実際にコード解析してみました。

逆アセンブルしてみたところ、EXEファイルをメモリ上に生成して実行する処理を発見

実行時には暗号化されてるけど、起動するときに、ヒープメモリ上に悪意のあるコードを展開する仕組みになってる。
また、接続先や、リクエストなどの固定文字列なども簡単に暗号化されてる。

抽出してみたところ12Kほどのバイナリが出てきました

; Imports from KERNEL32.dll
    extrn VirtualAlloc
    extrn LocalFree
    extrn LocalAlloc
    extrn lstrcmpiA
    extrn OpenProcess
    extrn GetVersionExA
    extrn VirtualFree
    extrn GetLocalTime
    extrn Sleep
    extrn GetComputerNameExA
    extrn GetComputerNameA
    extrn ExitThread
    extrn GetFileAttributesA
    extrn LoadLibraryA
    extrn GetProcAddress
    extrn GetTickCount
    extrn CreateThread
    extrn GetCurrentProcess
    extrn CloseHandle
;
; Imports from ADVAPI32.dll
    extrn LookupPrivilegeValueA
    extrn AdjustTokenPrivileges
    extrn RegOpenKeyExA
    extrn RegCloseKey
    extrn OpenProcessToken
;
; Imports from SHELL32.dll
    extrn SHELL32.680
;
; Imports from SHLWAPI.dll
    extrn SHEnumKeyExA
    extrn SHGetValueA
    extrn SHSetValueA
;
; Imports from iphlpapi.dll
    extrn IcmpCreateFile
    extrn IcmpSendEcho
    extrn IcmpCloseHandle
    extrn GetAdaptersInfo
;
; Imports from WTSAPI32.dll
    extrn WTSFreeMemory
    extrn WTSEnumerateProcessesA
;
; Imports from PSAPI.DLL
    extrn GetModuleFileNameExA
;
; Imports from WININET.dll
    extrn InternetCloseHandle
    extrn InternetReadFile
    extrn InternetQueryDataAvailable
    extrn HttpSendRequestA
    extrn InternetSetOptionA
    extrn InternetQueryOptionA
    extrn HttpAddRequestHeadersA
    extrn InternetConnectA
    extrn InternetOpenA
    extrn HttpOpenRequestA
;
; Imports from WS2_32.dll
    extrn WS2_32.115
    extrn WS2_32.52
;
; Imports from MSVCRT.dll
    extrn time
    extrn sprintf
    extrn strlen
    extrn strncpy
    extrn memcpy
    extrn srand
    extrn rand

利用関数はこんな感じ

悪意のあるコードが走るのはCCleaner 起動のタイミング

抽出したバイナリは
2017/08/01 08:24:34
VC++6.0でコンパイルされてるっぽい？
https://www.virustotal.com/#/file/96b6824d9272100e4467e94f2eb6ae07abf262070520ea992e45318d67e49b82/detection

ccc4

一方、問題の CCleaner v5.33.0.6162
2017/08/03 09:25:13
VC++2015でコンパイルされてる

https://www.virustotal.com/#/file/6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9/detection

ccc3

コードトレースしてみたら、インストールされてるアプリ一覧や、コンピュータ情報にアクセスした上でそれを POST する仕組みになってるようでした･ω･

ccc
これ見ると、送信先は 216.126.225.148 （ yellow.alskcrs.xyz ）

リクエストヘッダは Host: speccy.piriform.com (たぶん偽装）

HttpSendRequest で Base64っぽくエンコードされた5百数十バイトのデータが送出される

送出されるデータの暗号化前のデータがこちら

ccc2
最近開いたファイルや、インストール済みプログラムのインストール先のフルパスが送信されているようだ

CCleaner のマルウェアコードを解析してみたその２

おすすめ

コメントを残すコメントをキャンセル

重要なお知らせ

Article Search

Recent Articles

Access log

Article Archives

Comments

Google Search

category

Calendar

お知らせ

おすすめリンク

Information

Windows 2000 おすすめ記事

2017年9月
月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

CCleaner の マルウェアコードを解析してみた その２

おすすめ

ランサムウェアにレガシーシステムに感染する仕組みが一般化してるというニュース

KB2533623 対応版のセキュアなインストーラーを作るためのガイドライン

結局ソフトバンク光が全然安くない件

コメントを残す コメントをキャンセル

重要なお知らせ

Article Search

Recent Articles

Access log

Article Archives

Comments

Google Search

category

Calendar

お知らせ

おすすめリンク

Information

Windows 2000 おすすめ記事

CCleaner のマルウェアコードを解析してみたその２

コメントを残すコメントをキャンセル