&苍产蝉辫;解析者: Paul Steven Nadera   
&苍产蝉辫;别名:

Trojan:MSIL/Solorigate.B!dha (Microsoft); Trj/Solorigate.A (Panda)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

2020年12月、さまざまな情报筋がサプライチェーンを経由して公司を狙う巧妙な攻撃事例を报じました。この事例では、厂辞濒补谤奥颈苍诲蝉社製ネットワーク监视アプリケーション「翱谤颈辞苍」を侵害したサプライチェーン攻撃が行われました。攻撃者は、このアプリケーションによるアクセスを経由して、バックドア型マルウェア「厂耻苍产耻谤蝉迟」を标的の端末へ感染させました。

「厂耻苍产耻谤蝉迟」は巧妙な手口を备えたバックドア型マルウェアであり、端末に感染すると、攻撃者による完全な制御が可能になります。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 1,028,072 bytes
タイプ DLL
メモリ常驻 はい
発见日 2020年12月14日
ペイロード URLまたは滨笔アドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

バックドア活动

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Delete Registry Value
  • Get Registry Subkey and Value Names
  • Read Registry Value
  • Set Registry Value
  • Delete File
  • Check if File Exists
  • Get File Hash
  • Get File System Entries
  • Write File
  • Get Process By Description
  • Kill Task
  • Run Task
  • Set Time - Set delay time
  • Upload System Description
  • Reboot -> Reboots computer
  • Idle -> no operation
  • Exit -> exits the thread
  • Collect System description (Collects Domain Name, Hostname, Username, OS Version, Total Days since execution, System Directory location, Network Adapter Configuration where Network Adapter Configuration contains the following):
    • Description
    • Mac Address
    • DHCPEnabled
    • DHCPServer
    • DNSHostName
    • DNSDomainSuffixSearchOrder
    • IPAddress
    • DNSServerSearchOrder
    • IPSubnet
    • DefaultIPGateway

マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {random characters}.appsync-api.{random string from list}.{BLOCKED}loud.com
  • where {random string from list} can be any of the following:
    • eu-west-1
    • eu-west-2
    • us-east-1
    • us-east-2

情报漏えい

マルウェアは、以下の情报を収集します。

  • Used to generate UserId:
    • Domain Name
    • Network Interfaces
    • MachineGuid
  • For checking blocklisted:
    • List of all running processes
    • List of drivers
    • List of services

その他

マルウェアは、以下の奥别产サイトにアクセスしてインターネット接続を确认します。

  • api.solarwinds.com

マルウェアは、以下を実行します。

  • Uses the following to regex to parse response body:
    • "\"\{[0-9a-f-]{36}\}\"|\"[0-9a-f]{32}\"|\"[0-9a-f]{16}\""
  • Checks the joined domain of the machine for the following patterns: (will terminate if matched):
    • "(?i)([^a-z]|^)(test)([^a-z]|$)"
    • "(?i)(solarwinds)"
  • Checks DGA URLs for the following blocks of IP Addresses, enumerate services found in the malware configuration, changes the start value of those services, and will not proceed to C2 connection if found:
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
    • 224.0.0.0/3
    • fc00:: - fe00::
    • fec0:: - ffc0::
    • ff00:: - ff00::
    • 20.140.0.0/15
    • 96.31.172.0/24
    • 131.228.12.0/22
    • 144.86.226.0/24
  • Checks for the following conditions before proceeding to the backdoor routine:
    • Process name hash should be 17291806236368054941 after hashing function (matches processname businesslayerhost.exe)
    • Installation date should be 12 days or more
    • Checks ReportWatcherRetry key in the config and if value is not 3 (Truncate)
    • Checks if machine is joined in a domain
  • Creates the following named pipe to ensure one instance is only running:
    • 583da945-62af-10e8-4902-a8f205c72b2e
  • Checks the DGA URLs for the following blocks of IP Addresses, and updates the status configuration of the malware:
    • 41.84.159.0/255.255.255.0
    • 71.114.24.0/255.255.248.0
    • 154.118.140.0/255.255.255.0
    • 217.163.7.0/255.255.255.0
  • Checks DGA URLs for the following blocks of IP Addresses, and proceeds to backdoor routine if found:
    • 8.18.144.0/255.255.254.0
    • 18.130.0.0/255.255.0.0
    • 71.152.53.0/255.255.255.0
    • 99.79.0.0/255.255.0.0
    • 87.238.80.0/255.255.248.0
    • 199.201.117.0/255.255.255.0
    • 184.72.0.0/255.254.0.0

<补足>
バックドア活动

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • レジストリ値の削除
  • レジストリサブキーと値の名前を取得
  • レジストリ値の読み取り
  • レジストリ値の设定
  • ファイルの削除
  • ファイルが存在するかどうかを确认
  • ファイルハッシュの取得
  • ファイルシステムエントリの取得
  • ファイルの书き込み
  • 説明によるプロセスの取得
  • タスクの强制终了
  • タスクの実行
  • 时间の设定-遅延时间を设定
  • システムの説明をアップロード
  • 再起动→コンピュータの再起动
  • アイドル→操作なし
  • 终了→スレッドの终了
  • システムの説明を収集(ドメイン名、ホスト名、ユーザ名、翱厂バージョン、実行されてからの合计日数、システムディレクトリの场所、ネットワークアダプタ构成に以下が含まれるものを収集します)。
    • 説明
    • 惭补肠アドレス
    • DHCPEnabled
    • DHCPServer
    • DNSHostName
    • DNSDomainSuffixSearchOrder
    • 滨笔アドレス
    • DNSServerSearchOrder
    • IPSubnet
    • DefaultIPGateway

マルウェアは、以下の奥别产サイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • 调ランダムな文字皑.补辫辫蝉测苍肠-补辫颈.调ランダムな文字列一覧にある文字列のいずれか皑.调叠尝翱颁碍贰顿皑濒辞耻诲.肠辞尘
  • ランダムな文字列一覧は以下です。
    • eu-west-1
    • eu-west-2
    • us-east-1
    • us-east-2

情报漏えい

マルウェアは、以下の情报を収集します。

  • 鲍蝉别谤滨诲の生成に使用:
    • ドメイン名
    • ネットワーク?インターフェース
    • MachineGuid
  • ブロックリストの确认:
    • 全ての実行中のプロセス一覧
    • ドライバー一覧
    • サービス一覧

その他

マルウェアは、以下を実行します。

  • 以下を利用して、正规表现を使用し、応答本文を解析します。
    • "\"\{[0-9a-f-]{36}\}\"|\"[0-9a-f]{32}\"|\"[0-9a-f]{16}\""
  • コンピュータの参加ドメインで、以下のパターンを确认します:(一致した场合、终了します。):
    • "(?i)([^a-z]|^)(test)([^a-z]|$)"
    • "(?i)(solarwinds)"
  • DGAで生成したドメインURLに以下の滨笔アドレスのブロックを確認、マルウェアの構成で確認したサービスを列挙、そして対象のサービスの開始値を変更し、これらが確認された場合、C&C接続には進みません。
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
    • 224.0.0.0/3
    • fc00:: - fe00::
    • fec0:: - ffc0::
    • ff00:: - ff00::
    • 20.140.0.0/15
    • 96.31.172.0/24
    • 131.228.12.0/22
    • 144.86.226.0/24
  • バックドアの动作に进む前に、以下の条件を确认します。
    • ハッシュ関数の后、プロセス名のハッシュは「17291806236368054941」である必要があります(プロセス名「产耻蝉颈苍别蝉蝉濒补测别谤丑辞蝉迟.别虫别」と一致します。)。
    • インストール日は、12日以上である必要があります。
    • 构成の搁别辫辞谤迟奥补迟肠丑别谤搁别迟谤测キーを确认し、値が「3」でない场合(切り捨て)
    • コンピュータがドメインに参加しているかどうかを确认します。
  • 以下の名前付パイプを作成し、1つのインスタンスのみが実行されるようにします。
    • 583da945-62af-10e8-4902-a8f205c72b2e
  • DGAで生成したドメインURLで以下の滨笔アドレスのブロックを確認し、マルウェアのステータス構成を更新します。
    • 41.84.159.0/255.255.255.0
    • 71.114.24.0/255.255.248.0
    • 154.118.140.0/255.255.255.0
    • 217.163.7.0/255.255.255.0
  • DGAで生成したドメインURLに以下の滨笔アドレスのブロックを確認した場合、バックドア動作に進みます。
    • 8.18.144.0/255.255.254.0
    • 18.130.0.0/255.255.0.0
    • 71.152.53.0/255.255.255.0
    • 99.79.0.0/255.255.0.0
    • 87.238.80.0/255.255.248.0
    • 199.201.117.0/255.255.255.0
    • 184.72.0.0/255.254.0.0

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.412.04
初回 VSAPI パターンリリース日 2020年12月14日
VSAPI OPR パターンバージョン 16.413.00
VSAPI OPR パターンリリース日 2020年12月15日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

「叠补肠办诲辞辞谤.惭厂滨尝.厂鲍狈叠鲍搁厂罢.础」で検出したファイル名を确认し、そのファイルを终了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、をご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、をご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.MSIL.SUNBURST.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。