サイバー犯罪
正規ソフト「AutoHotkey」を悪用した攻撃を確認
トレンドマイクロでは、正規のWindows向けソフトウェア「AutoHotkey」や「Team Viewer」 を悪用した攻撃を新たに確認しました。 2019年4月2日、「VirusTotal」に「Military Financing.xlsm」というファイル名のマクロ形式のエクセルファイルがアップロードされました。当該ファイルは内部に正規のスクリプトエンジンAutoHotkey、および、それに…
トレンドマイクロでは、正規のWindows向けソフトウェアである「AutoHotkey」や「Team Viewer」 を悪用した攻撃を新たに確認しましたので、本稿でご報告します。 2019年4月2日、無料オンラインスキャンサービスである「VirusTotal」に「Military Financing.xlsm」というファイル名のマクロ形式のエクセルファイルがアップロードされました。当該ファイルは内部に正規のスクリプトエンジンAutoHotkey、および、それに読み込ませるための不正なスクリプトファイルをバイナリ形式でデータを内包し、マクロを実行するとそれらをドロップして実行します。攻撃者は検出回避を目的としてAutoHotkeyを利用していたと考えられます。当該スクリプトファイルの実行によりC&Cサーバと通信が実施され、さらなるスクリプトファイルのダウンロード・実行や、Team Viewerを用いた遠隔操作が確認されました。
図1:「Military Financing.xlsm」を発端とする攻撃の概要図
マクロ形式のエクセルファイルおよびそこからドロップされる検体
エクセルファイルでは、米国務省のプログラムの一つである「Foreign Military Financing (FMF) 」関連のドキュメントであることを謳っており、機密情報を隠してあるためコンテンツを有効化するボタンを押すように促しています。なお、トレンドマイクロの次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」でも同一ハッシュを持つファイルが添付されたメールが観測されており、既に攻撃が発生しています。
図2:発見したエクセルファイルの内容
当該エクセルファイルは一見1つのシートのみ含まれるように見えますが、実際には「 」(半角スペース)というシート名を持つ2つ目のシートがあります。マクロの実行により、2つ目のシートに記載されているHEX文字列がバイナリとして、それぞれ以下に書き出され、②を引数として①が実行されます。
- X列の内容→「C:\ProgramData\AutoHotkeyU32.exe」(正規なAutoHotkeyの実行ファイル)
- Y列の内容→「C:\ProgramData\AutoHotkeyU32.ahk」(攻撃者が作成したAutoHotkey用の不正なスクリプトファイル)
図3:2つ目のシートに書かれたHEX文字列 (実際には白文字で書かれているが画像では黒に変換済)
AutoHotkeyではスクリプトファイルを用いることで、ホットキーを設定することも、キー操作に関係なく通常のスクリプトファイル内に書かれた何等かの処理をさせることも可能です。②のスクリプトファイルはホットキーの作成は行わず、以下の動作を行います。
- スタートアップフォルダにAutoHotkeyU32.exeへのリンクファイルを作成し、再起動後も動作するように設定
- 約10秒ごとにC&Cサーバに通信し、指令に応じて追加のスクリプトファイルをダウンロード・保存し、実行
- C&C通信時は、Cドライブのボリュームシリアル番号の整数値をHEXで送信し、被害者を識別
図4:AutoHotkeyU32.ahkの内容(一部抜粋)
例えば、攻撃者から以下のレスポンスを受け取った場合、スクリプトファイルではHEX文字列部分を平文に変換し「001::hxxp://185.70.186.145/7773/plug/hscreen.ahk」(httpをhxxpに変換)を得て、そのURLからahkファイルをダウンロードし、%temp%にランダムなファイル名で保存し、AutoHotkeyU32.exeに読み込ませて実行します。
C&C通信のレスポンス例
C&Cサーバに存在した追加の検体
前述のURL (現在はアクセス不可)に、追加のファイルが蔵置されていました。
図5:攻撃者のサーバの内容
サーバ上に存在した.ahkファイルは、それぞれ以下の機能を持ちます。
- hinfo.ahk ・・・・・ コンピュータ名を送信
- hscreen.ahk ・・・・・ デスクトップのスクリーンショットをjpg形式で送信
- htv.ahk ・・・・・ TeamViewerをダウンロード・実行
攻撃の背景
これまでの調査では、この攻撃の目的や帰属等の確認には至っていません。現時点では、この攻撃が機密情報を得るためのサイバー諜報活動であった可能性も、ランサムウェアやコインマイナーを送り込むことを最終目的にした攻撃であった可能性も否定できないと考えています。この点については、弊社で引き続き調査を続けていくとともに、リサーチャーコミュニティ内でも積極的かつ慎重な議論があることを期待します。
リスクの低減
サイバー攻撃への対策では多層防御を実施し、侵入を前提とした攻撃に気付く仕組みを複数用意することが重要です。特にマクロウイルスを添付したメールについては、以下のように予め既存のセキュリティ対策製品やネットワーク製品の設定を強化しておくことにより、添付ファイルがウイルスパターンに対応していなくても侵入をブロックできる可能性があります。
- メールゲートウェイ製品とサンドボックス製品を連携させ、添付のドキュメントファイルを動的に検査する
- メールゲートウェイ製品で docmやxlsm 拡張子を持つファイルについて、ブロックや受信者に注意喚起を表示する設定を実施する
また、組織の一人一人が以下のような点に常に注意する必要があります。
- メールの添付ファイルを開く際にはメール送信元や件名、本文に不審な点が無いかを確認する
- 添付ファイルの拡張子を確認し、意図したファイル形式であることを確認する
- 添付ファイルがマクロを含むMicrosoft Officeファイルの場合、それを不用意に有効化しない※特に本文内にてマクロの有効化を促す記載のあるもの、本文が画像になっているもの、本文が無いものには注意が必要
- メール内のリンクをクリックする際は、ドメイン名の微妙な違いにより詐称されていないかを確認する (例:trendmicro.com → trendmicr0.com)
- 個人のメールについても攻撃のターゲットになる可能性があるため、前述と同様の点について注意をする
本記事内で扱った攻撃に関する侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
調査:Trend Micro Research( 加唐 寛征(Cyber Threat Research Team)、藤澤 一樹(Cyber Threat Research Team))
記事構成:岡本勝之(セキュリティエバンジェリスト)