本日お客さんから頂いたサンプルはメールに添付されたPDFファイルがあると、メールの文書が英文のメールでXeroxスキャンデータなんとかかんとかって書いてあります。
一応目的が添付されたPDFファイルだろうと、test.pdfに保存して、ファイルを開いたらこんな感じに見える↓
↑見たら分かると思って、PDFのデータが無し、embedの中にjavascriptがあると、そもそも長いscriptなのであやしいと。
このPDFをこのままでvirustotalに投げたら結果がマイナスでした。。。いやいや。。絶対あやしいと思ったらscriptの部分をdeobfuscatedしたら、画像はこんな感じ↓
↑これで全てjavascriptにあるvariableが色々simulationが出来て、eval()バリューの結果を実行してみました。
結果はまた別途javascriptとバイナリーデータでした。そのscript結果を実行して見ればバイナリーファイルをDISKの保存されました、なるほど、保存されたファイル名はtest.pdf-dum.txして、またvirustotalに投げたら、下記の結果が出た↓
↑※クロックしたら結果のページを見えますよ。
↑ウイルスだやっぱり、もう寝れなくなって気になってきました、メールのダウンロードルートを確認しようと!下記からのデータと確認が出来て↓
http://gbckqtkgytn.com/nte/GNH11.py/xH9357cf5bV0100f060xxxx0c329/
↑MDLの最新情報をクロスチェックしたら。。。本日出たPDFマルウェアでした。
マッチ!ミッション完了です。
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
0 件のコメント:
コメントを投稿