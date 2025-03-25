Sheriff Mainモジュールは、ファイルのダウンロードを試みる前に、被害者のパブリックIPアドレスと、ロードされたモジュールのリストを含むログ・メッセージをアップロードします。このログは、GUID（引数またはランダムに生成されたもの）とシリアル番号で構成される被害者IDを使用してXOR暗号化されます。暗号化されたログは、被害者IDと一致する名前のDropboxフォルダーにアップロードされます。

すべてのファイルは、Dropboxフォルダー/<victim_id> /Dow/から取得され、"/DxyVS1"としてハードコードされているローカルの"ModulsFolder"にダウンロードされます。ダウンロード後、すべてのファイルがDropboxから直ちに削除されます。ここからは、ダウンロードしたファイルをメイン・モジュールがどのように処理するかについて説明します。

アップロード・プロセスではまず、"UploadLocalFolder"内のすべてのローカル・ファイルを列挙します。この例では、このフォルダーは"/gyTufW"とハードコードされています。ファイルは拡張子によって次の3つのカテゴリーに分類されます。

ハードコードされた"_defaultZipExt"である.d7rのファイルは、既に圧縮されています。 拡張子のないファイルは既に暗号化されており、アップロードの準備が整っています。 その他のファイルはすべて平文のままの状態です。

続いて、"PreparingForUpload"関数が、すべての平文ファイルを新しいZIPファイルに圧縮します。その後、ランダムに生成されたAES鍵を使用してすべてのZIPファイルが暗号化され、さらにそのAES鍵が公開RSA鍵を使用して暗号化されて、前者の暗号化ファイルと連結されます。この関数は実行中に、フォルダーに残った余分なファイルをすべて削除し、完全に圧縮および暗号化されたファイルのみを残します。そして、これらのファイルは/<victim_id>/Up/のDropboxフォルダーにアップロードされ、ローカルからは削除されます。

アップロード関数とダウンロード関数はどちらも非同期で実行されます。分析されたサンプルでは、ハードコードされた30秒のタイマーで動作します。

調査時点で、このDropboxアカウントにはファイルが何も保存されていませんでした。これは、次に示すスペース使用量からわかります。