先週今週と立て続けに職場で spam メールを受けた。
数年前にも同じような事があったと思うが、うちがターゲットになっているのかなぁ。
日本語が怪しいので外国から来ているのだろう。
それにしても、どうやってメールアドレスを入手したのか、To:にはすでに退職した人も付いていた。
受けた6通のうち最初の2通はファイアーウォールで検知され添付ファイルを削除されていたが残り4通はそのまま届いたので spam がどんなカラクリが気になり少し解析してみた。
何れも添付ファイルはBASE64エンコードされたZIPファイルである。
先ず3,4通目のメールのBASE64の部分を取り出してデコードした。
それをダンプしてみると、最初の部分は
0000: 50 4b 03 04 14 00 02 00 08 00 c9 01 32 4a 49 dd *PK..........2JI.*
0010: e4 9d ee 91 00 00 14 13 02 00 14 00 00 00 30 30 *..............00*
0020: 39 36 37 39 39 39 35 34 33 2d 28 30 32 29 2e 73 *967999543-(02).s*
0030: 76 67 ec bd 57 97 eb 4a 96 26 f6 3e bf a2 54 af *vg..W..J.&.>..T.*
などとなっており、ZIPファイルの中身はsvgファイルである。
svgファイルは一見画像ファイルであるが中身にはプログラムが書ける。
ZIPファイルを解凍してsvgを取り出し,覗いてみると、画像データが続いた最後の部分にjavascriptのプログラムが入っていた。
その大部分は断片化したプログラムの一部を返す次のような関数であり、最後にそれらを結合して実行する部分が来る。
function zokfma() {
var uhunh = "ku";
var alwomjozj = "ow.l";
return alwomjozj;
}
関数名や変数名はみんなデタラメであり、また実行されない目くらましの記述も多く含まれ、カムフラージュするためのソフトで作ったのだろう。
起動(表示)1秒後にスクリプトが実行されるようになっている。
その中身は、とある(たぶんハッキングされた)サイトからxfs_extension(dot)exeという実行ファイルを取ってきて実行するようになっている。2通は関数名や断片化の仕方は全く違ったが最後に組み立てて実行されるプログラムは同じだった。
そして本日届いた2通である。
基本的に同じような作りであるが、ZIPファイルに入っているのは jpg偽装されたjavascriptであり、画像データはない。断片化されたものを繋げてみると、Windows Scriptを使ってpowershellを実行し、ドイツのサイトからoutloo(dot)exeを取ってきてWebClientとして常駐させるようである。
さすがにexeファイルを取ってきて解析する気はないが、ここまで見ても対策ソフトに引っかからないように努力している様子は面白い。これをパターンで検知するのは難しいだろうなぁ。牢獄(砂箱)の中で実行させるようなチェック方法をとらないと。
これまでにも自宅にも多くの同じような spam メールがきており、その後も続いている。全て某機関に報告しているが、いったい誰が何のためにやっているのか。
0 件のコメント:
コメントを投稿