• Details
• playbook
  • Define Threat Indicator
  • Check if the malware is quarantined/cleaned
    • EndpointManagement - KatharinePRD
  • Analyze Malware
    • OliwciaPrivInstaller.exe - 436fa243bbfed63a99b8e9f866cd80e5
      • cmd.exe
    • 接続先まとめ
      • 208.95.112.1 (ip-api[.]com)
      • 193.161.193.99 (jebacdisaskurwysyna-33409.portmap[.]io)
  • Check If Someone Requested the C2
  • Add Artifacts
• End

Details

EventID: 61
Event Time: Feb. 14, 2021, 6:40 p.m.
Rule: SOC126 - Suspicious New Autorun Value Detected
Level: Security Analyst
Source Address 172.16.15.78
Source Hostname KatharinePRD
File Name OliwciaPrivInstaller.exe
File Hash 436fa243bbfed63a99b8e9f866cd80e5
File Size 348.00 Kb
Device Action Cleaned
Download (Password:infected): 436fa243bbfed63a99b8e9f866cd80e5.zip

playbook

Define Threat Indicator

Answer: Unknown or unexpected services and applications configured to launch automatically on system boot

Check if the malware is quarantined/cleaned

EndpointManagement - KatharinePRD

Process History

xfce4-terminal
MD5:b015ecd030da9a979e6d1a3d25f8fd86
Path:/usr/bin/xfce4-terminal
Cmdline:xfce4-terminal -e /home/katharine/Documents/creditcard
Start Time:2020-09-22 15:11
Username:katharine

creditcard
MD5:7299c49dd85069e47d6514ab5e10c264
Path:/home/katharine/Documents/creditcard
Cmdline:/home/katharine/Documents/creditcard
Size:17KB
Start Time:2020-09-22 15:12
Username:root

Chrome.exe
MD5:e3a2ad05e24105b35e986cf9cb38ec47
Path:/usr/bin/chrome

creditcard?
VIrusTotal: https://www.virustotal.com/gui/file/27e56f0f4bbb933a9ef25e0e0c2a4aaae578bdc2623e6bcdf664834e4ce60c9d
Malicious!!!!しかし、実行されたのが2020-09-22 15:12ということなので関連性は低いかもしれない。

Device Action Cleaned

Answer: Quarantined

Analyze Malware

OliwciaPrivInstaller.exe - 436fa243bbfed63a99b8e9f866cd80e5

VirusTotal: https://www.virustotal.com/gui/file/7a1ad31508f2ea1d7abc2907977eaf32537f09994d1622b3e2e733649905c861
これほど真っ赤ということは有名なマルウェアなのだろうか。
AnyRun: https://app.any.run/tasks/efff3fb8-1641-41ba-b58e-f9d78cfd8f02/
anyrunでの検索の結果、Quaserというマルウェアファミリーとのこと。
Quasar Familyによる攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
Quasar RAT Malware Analysis, Overview by ANY.RUN
Quasar RAT (Malware Family)
まだバリバリ現役のRATです。

今回のアラートのきっかけとなった自動起動の設定を行っていた。

WRITE
Key:    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name:   Windows
Value:  "C:\Users\admin\AppData\Local\Temp\OliwciaPrivInstaller.exe"

その他以下のレジストリの値の書き換えが行われた。

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   EnableFileTracing
Value:  0

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   EnableConsoleTracing
Value:  0

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   FileTracingMask
Value:  4294901760

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   ConsoleTracingMask
Value:  4294901760

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   MaxFileSize
Value:  1048576

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASAPI32
Name:   FileDirectory
Value:  %windir%\tracing

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   EnableFileTracing
Value:  0

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   EnableConsoleTracing
Value:  0

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   FileTracingMask
Value:  4294901760

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   ConsoleTracingMask
Value:  4294901760

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   MaxFileSize
Value:  1048576

Key:    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\OliwciaPrivInstaller_RASMANCS
Name:   FileDirectory
Value:  %windir%\tracing

派生した MSPs のデバッグトレース/ログ記録を有効にする方法 - Win32 apps | Microsoft Docs
マルウェアがHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing{Malware Filename}_RASAPI32のように上記の値を設定するのは、常套手段らしい。操作ログが残らないようにしているのだろうか。
208.95.112.1 (ip-api[.]com)へのアクセスが確認された。また、OliwciaPrivInstaller.exeはC:\Users\admin\AppData\Roaming\Microsoft\cmd.exeとして同じハッシュのコピーを作成している。これは、自身が削除された場合の保険だろうか。

cmd.exe

レジストリの書き換え等、名前がcmd.exeになるだけで動作はほとんど同じである。

WRITE
Key:    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name:   Windows
Value:  "C:\Users\admin\AppData\Roaming\Microsoft\cmd.exe"

ただ、こちらはhttp[:]//ip-api[.]com/json/へのhttpアクセスがある。このjsonは例えば次のような中身になっている。

{"status":"success","country":"Belgium","countryCode":"BE","region":"BRU","regionName":"Brussels Capital","city":"Brussels","zip":"1000","lat":50.8336,"lon":4.3337,"timezone":"Europe/Brussels","isp":"M247 Ltd","org":"Express","as":"AS9009 M247 Ltd","query":"157.97.122.3"}

これはアクセス元の情報を表示するもので、インターネットへの接続情報を取得している。またこれとは別に、193.161.193.99 (jebacdisaskurwysyna-33409.portmap[.]io)へのアクセスも確認された。

接続先まとめ

208.95.112.1 (ip-api[.]com)

VirusTotal: https://www.virustotal.com/gui/ip-address/208.95.112.1/community
AbuseIPDB: https://www.abuseipdb.com/check/208.95.112.1
ip-sc: https://ip-sc.net/ja/r/208.95.112.1
ただの接続情報確認サービスかと思っていたが、サーバは乗っ取られボットネットの一部として働かされているようだ。

193.161.193.99 (jebacdisaskurwysyna-33409.portmap[.]io)

Virustotal: https://www.virustotal.com/gui/ip-address/193.161.193.99/community
AbuseIPDB: https://www.abuseipdb.com/check/193.161.193.99
ip-sc: https://ip-sc.net/ja/r/193.161.193.99
こちらはQuaserが今も動いているだけあってLog4shellを使ったり現役C2サーバのようだ。


Answer: Malicious

Check If Someone Requested the C2

先ほど挙げたサーバへのアクセスはあったか。
無し!
Answer: Not Accessed

Add Artifacts

Value	Type	Comment
436fa243bbfed63a99b8e9f866cd80e5	MD5 Hash	Quaser RAT
208.95.112.1	IP Address	Server that the Quaser RAT checks for ip information
193.161.193.99	IP Address	C2 server

End

いつになく、マルウェア解析っぽいことをするとマルウェア解析欲が湧いてくる。