SporaのChrome font.exeを動かしてみたけど、Decryption Errorでコンソールが表示できなかった話
例の「マルウェア解析に必要な素養」に書きましたが、2017年1月からランサムウェアのSporaが出現しています。 一般的なランサムウェアが壁紙を変えて脅迫文を表示する一方で、SporaはWebコンソール(管理画面)を犯罪者とのやり取りに使う変わったランサムウェアです。 今日はそのコンソールのスクショを取るためだけにSporaに感染してみることをしてみましたが、うまくいかなかった話をします。
Sporaの入手
SporaはChromeユーザーにフォントのインストールをダイアログで指示してきます[1]。 hybrid-analysisでsporaタグが付いたレポートからして、Chrome font.exeというのがそのときのファイルっぽいので、次のレポートに添付されている検体を入手しました。
- 検体1:https://www.hybrid-analysis.com/sample/5a67dbbf83535f21a29adf3e5045da02b115bfce13e790d70f87633cda88c868?environmentId=100
- 検体2:https://www.hybrid-analysis.com/sample/b63d7f75bfc87b73e53acb5259906112f0913efa64e8a7c2f45fb0a12c2b0b89/?environmentId=100
- 検体3:https://www.hybrid-analysis.com/sample/7d5e776ac62c5946fea3a293b1e542049e3e157af1457bfa9780661a1e8e217e?environmentId=100 ※動作せず
わざと感染
感染ステップ:
- 光回線端末とルーターの電源を落として、またつなぐ(=PPPoEセッションの貼り直し=グローバルIPアドレスの変更)
- 感染前のスナップショットに復元してあるVMに暗号化されるファイルと検体を投入
- 検体を実行→Cドライブのファイルが暗号化されるっぽい(VirtualBoxの共有フォルダ内も暗号化されます!)
Windows 8のVMのデスクトップにjpgファイルとxlsxファイルをおいてChrome font.exeを走らせました。
感染後、ファイルが暗号化され、各フォルダにIDに".html"がついたhtmlファイルが生成されました。
IEが立ち上がり、アカウントのログイン画面のようなものが表示されます。
リンク先を開くとファイルを復号できることを確認するステップが始まりますが、1つファイルを送った後にエラーが出て先に進めませんでした。
Wireshark: https://packettotal.com/cgi-bin/view-analysis.cgi?id=5403d67eddb25e570a4b15db7e505588
インテリジェンス的な情報
SporaがWebコンソールを以下のドメインで動かしています・いました(?)
- 検体1→http://spora.li/
- 検体2→http://spora.store/ (※connection timeout)
IDは例えばこんな感じです。国のコードが付記されるのが特徴です。
- JP53B-9ERTZ-TZTZT-FTHYY
- JP7D0-37RTZ-TZTZT-FTHYY
- JPEB6-0DHTZ-TZTZT-XZTHY
- JP182-1EXTZ-TZTZT-FTXYY
参考文献
[1] 2017年第1四半期 セキュリティラウンドアップ | トレンドマイクロ
コードを抜き差ししてたらPPPoE接続後に外に繋がらなくなりがちになった…
