読者です 読者をやめる 読者になる 読者になる

DARK MATTER

CDI Engineer's Technical Blog

SWIFTの件は続いている?

はじめまして情報分析部の大徳です。

私の所属する部署では、インシデント対応やフォレンジック調査などを担当しておりますが、マルウェア感染系のインシデント対応に携わることが多いため、最近では、世の中で話題となっているこれらマルウェアに関連する情報などについてもリサーチする機会も増えてきております。

今回は、少し以前に話題になりましたバングラディシュ中央銀行における不正送金に関連したお話しをしたいと思います。

バングラ中銀事件のおさらい

この事件は、今年の3月にバングラディシュ中央銀行が米ニューヨーク連邦準備銀行に保有する口座から約1億ドルもの金額が何者かによりフィリピンなどの口座に不正送金されたことが明らかになったものですが、この事件では、金額の大きさもですが、この不正送金時に犯人が指定した送金先の名前がスペルミスしており、これがきっかけで発覚したという話がニュースでも取り上げられていたことは記憶に新しいでしょう。その後、英BAEシステムズがこの事件で使われたであろうマルウェアを見つけ、その詳細な解析結果などを同社のブログで明らかにしました。*1

BAE Systems Threat Research Blog: Two bytes to $951m

この中でBAEシステムズは、複数のマルウェアについて触れておりますが、その中の一つは、国際銀行間通信協会(SWIFT)のソフトウェアによるトランザクションを監視し、特定の文字列を見つけたら該当するレコードを削除するといった機能を持っている旨が解説しておりました。

BAEシステムズから公表された別のマルウェア

その後、BAEシステムズのブログでは別のマルウェアについても明らかにしました。

BAE Systems Threat Research Blog: Cyber Heist Attribution

このマルウェアが面白いのは、2014年に起きたSony Picturesへの攻撃に使用されたツールとの関連性を触れていることです。この別のマルウェアは、「msoutc.exe」という名称ですが、このマルウェアにはファイル削除等の機能が実装されており、これが先ほどのSony Picturesへの攻撃に使用されたツール(マルウェア)と同じ特徴を持っているというのです。

SWIFTの件は続いている?

ここまでは、既に様々なところで記事となっており明らかになっている話でしたが、ここからは恐らくは明らかになっていない、若しくは他のセキュリティベンダーさんとかは勿体ぶってる話かもしれません。

セキュリティに関するお仕事をされている方なら、マルウェアなどの不審なファイルやURLを無償でスキャンをしてくれるVirusTotalというオンラインのサイトはご存知かと思います。早速ではありますが以下のハッシュ値*2を同サイトで検索してみて下さい。

 SHA256: 410959e9bfd9fb75e51153dd3b04e24a11d3734d8fb1c11608174946e3aab710

 既にVirusTotalには該当する検体がスキャンされているようです。以下が検索結果ですが、よく見てみるとファイル名に見覚えがありませんか?

f:id:tdaitoku:20160610060610p:plain

そうです先ほどのBAEシステムズが公表した別のマルウェアと同じ名前ですね。もちろん、ファイル名は誰でも変更できますので全く異なるプログラムかもしれません。一応、BAEシステムズのブログに掲載されていたマルウェア検体情報も同様にVirusTotalで調べてみましょう。

 SHA256: 4cf164497c275ae0f86c28d7847b10f5bd302ba12b995646c32cb53d03b7e6b5

 両検体のVTによる情報が揃いましたので以下に両検体を比較した結果を掲載します。

まずは、主要なAVソフトによる検知状況です。

f:id:tdaitoku:20160610062552p:plain

何となく微妙な結果ですが、、、

それでは、次にファイルサイズやコンパイル日時、ssdeep*3、imphash*4などの情報です。

f:id:tdaitoku:20160610063508p:plain

両検体をバイナリで比較した結果は以下の通りですが、1バイトだけ違うだけでした・・・。

f:id:tdaitoku:20160610103830p:plain

ちなみにこの謎の検体は、つい最近Tor経由でVirusTotalにアップされています。いったい誰が何の目的でこの検体をアップしたのでしょうか?

 

<2016/06/10 17:00追記>

その後、引き続き調査を進めていたところ、謎検体がVirusTotalにアップされた10数分後にファイルサイズ、コンパイル日時、imphashが同一のもう一つの謎検体がTor経由でアップされていることが確認できました。

SHA256: 353a71da1c0e39a2ec0a607a6721d77d6bf7eccf4f58cde45b785d88ce01ef44

そこで同検体を入手し、バイナリで比較してみた結果、1バイトだけではなく、それ以外の文字列部分がマスキングされている状態でした。

f:id:tdaitoku:20160610165324p:plain

該当の文字列の一部は、これまで英BAEシステムズのレポートなどにも取り上げられていた検体の特徴的な文字列部分であることから、恐らく各AVにおける検知精度を調べる目的でVirusTotalにアップされたのではないかと推測されます。

 

*1:同社のブログでも記載されていますが、英BAEは"online malware reposiries"にアップされていた検体について触れていることから彼らがバングラ中銀の件の調査に直接関与しているのかは定かでありません。

*2:このハッシュ値はこの記事投稿時点ではGoogle検索しても出てこないと思いますが、オープンソースから得られたハッシュ値以外の情報を元にVirusTotalなどを検索することで見つけることができます。

*3:ssdeepはファジーハッシュの一つでマルウェア分析においては検体ファイルの類似度を比較する際に利用されます。

*4:imphashはWindows系の実行ファイルのPEインポートテーブルから値を算出したもので、検体の類似性比較に用いられます。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.