マルウェア
Google PPC(ペイ・パー・クリック)を悪用しマルウェアを拡散するIcedIDボットネット
トレンドマイクロは、GoogleのPPC(ペイ・パー・クリック)広告を悪用したマルバタイジング(不正広告)攻撃により、IcedIDを拡散させるIcedIDボットネットの最新の変化について分析しました。
トレンドマイクロは、GoogleのPPC(ペイ・パー・クリック)広告を悪用したマルバタイジング(不正広告)攻撃により、IcedIDを拡散させるIcedIDボットネットの最新の変化について分析しました。
IcedIDボットネットの行動を追跡した結果、その拡散方法に大きな変化がありました。2022年12月以降、GoogleのPPC(ペイ・パー・クリック)広告を悪用したマルバタイジング攻撃によりマルウェア「IcedID」を拡散していることが判明しました。トレンドマイクロでは、このIcedID亜種を「TrojanSpy.Win64.ICEDID.SMYXCLGZ」として検出しました。
Google Adsのような広告用プラットフォームは、企業がトラフィック(アクセス量)及び売上の増加を目的として、ターゲットとなる視聴者に広告を表示することを可能にします。マルウェアを配信する攻撃者は、マルバタイジングとして認知されている手法を用いて、この機能を悪用することにより無防備なユーザが検索したキーワードをハイジャックします。そして、不正な広告を表示してユーザを誘導し、マルウェアをダウンロードさせます。
攻撃者が、実際の企業・組織及び有名なアプリケーションに偽装したWebページを用意した上でマルバタイジングを用いることにより、マルウェア「IcedID」を拡散していることが調査により判明しました。なお、FBI(米連邦捜査局)は、サイバー犯罪者が検索エンジンの広告サービスを悪用して正規のブランドを模倣することにより、ユーザを不正なサイトへ誘導し「金銭的利益を得る手口」に関する注意勧告を発表しています。
本記事では、IcedID ボットネットの「新たな拡散方法」及び「新たに使用されたローダ」について、技術的な側面から解説を行います。
テクニカル解析
オーガニック検索では、Google PageRankアルゴリズムによって生成された検索結果が表示されます。そして、Google広告はオーガニック検索結果の上、横、下、あるいは検索結果と同じ場所に、目立つように表示されます。これらの広告がマルバタイジングによって攻撃者に利用されると、ユーザを不正なウェブサイトへ誘導する可能性があります。
標的となるブランドやアプリケーション
IcedIDが、以下のブランドやアプリケーションが使用するキーワードをハイジャックして、不正な広告を表示していることが判明しました:
- Adobe – ソフトウェア企業
- AnyDesk – リモートコントロールアプリケーション
- Brave Browser – ウェブブラウザ
- Chase Bank – バンキングアプリケーション
- Discord – インスタントメッセージサービス
- Fortinet – セキュリティ企業
- GoTo – リモートコントロールアプリケーション
- Libre Office – Microsoft Officeの代替となるオープンソースアプリケーション
- OBS Project – ストリーミングアプリケーション
- Ring – 家庭用CCTV(閉回路テレビ)製造企業
- Sandboxie – 仮想化/サンドボックスアプリケーション
- Slack – インスタントメッセージアプリケーション
- Teamviewer – リモートコントロールアプリケーション
- Thunderbird – メールクライアント
- US Internal Revenue Service (IRS) – 米国連邦政府機関
被害者が誘導される不正なWebサイトは、一見正規のWebサイトに見えるように作成されています。図1は、IcedIDを拡散する攻撃者が、被害者を誘導しマルウェアをダウンロードさせるために使用された「Slackを模倣した不正なWebページ」です。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture1.png)
感染チェーン
全体的な感染の流れは、イニシャルローダのデリバリ、IcedID本体をフェッチ、そしてペイロードの作成となります。なお、ペイロードは通常バックドアとなります。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture2.png)
マルバタイジングによる感染
- ユーザは Google 検索において検索用語を入力し、関連するアプリケーションを検索します。以下の例では、ユーザは「AnyDesk」アプリケーションをダウンロードしたいと考え、Googleの検索バーに「AnyDesk」という検索用語を入力しています。
- オーガニック検索の結果に、不正なWebサイトへ誘導する「AnyDesk」アプリケーションの広告が表示されます。
- IcedIDの攻撃者は、正規のKeitaro TDS (Traffic Direction System) を利用し、研究者やサンドボックスのトラフィックをフィルタします。そして、被害者は不正なウェブサイトへ「リダイレクト」されます。
- ユーザが「ダウンロード」ボタンを選択すると、不正なMSI(Microsoft Software Installer)またはWindowsインストーラファイルを含んだZIPファイルをユーザのシステムにダウンロードします。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture3.png)
新たなIcedIDボットネットローダ
この攻撃では、IcedIDとしては異例であるMSIファイルを経由してローダの作成を行っています。
インストーラは、数個のファイルを作成した後、「rundll32.exe」を経由して「init」エクスポート関数を呼び出し、不正なローダルーチンを実行します。
この「ローダ」DLLは、以下の特徴を持っています:
- 正規のDLLを取り出し、序数の最後において「init」というエクスポート関数名を使用し、単一の正規関数と不正なローダ関数とを置き換える
- IcedIDローダにおける各エクスポート関数(正規)の最初の文字が「h」に置き換えられる
- 不正な関数のリファレンスは、パッチが適用された正規の関数となる
その結果、不正なファイルは正規版とほぼ同一となります。また、この過程によりML(機械学習)による検知が困難となります。
表面的には、不正なIcedID及び正規の「sqlite3.dll」ファイルは、ほぼ一致するように見えます。図4は、セキュリティ研究者のKarsten Hahn氏が開発したPortEx Analyzerツールを使用し、これらのファイルを並列し比較したものです。このツールは、PE(Portable Executable)の構造を素早く可視化し、ファイルの類似性を確認することを可能とします。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture4.png)
上記理由から、トレンドマイクロはマルウェア検知技術(2種類)を回避する機能を含んだ攻撃であるという仮説を立てました:
- 機械学習を用いたディテクション(検知)エンジン
- ホワイトリスティングシステム
IcedIDローダとして機能する改ざんされたDLLファイル
IcedIDローダとして動作するように修正されたファイルの中には、有名かつ一般的に使用されているライブラリがあることが判明しています。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/T1v.jpg)
「sqlite3.dll」において、270番目の関数「sqlite3_win32_write_debug」がIcedIDローダ内で不正な「init」関数に置き換えられていることが判明しました。
最後の序数にあるエクスポート関数が不正な「init」関数に置き換えられています。これは、上記の修正されたDLLファイル全体に共通することです。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture5.png)
また、更なる調査によりファイルの構造は同一であることが判明しています。
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture6.png)
実行
- 「MsiExec.exe」が実行される(親プロセス) (MITRE ID T1218.007 - System Binary Proxy Execution: msiexec)
- 「rundll32.exe」が生成される (MITRE ID T1218.011 - System Binary Proxy Execution: rundll32.exe)
- 「rundll32.exe」は「zzzzInvokeManagedCustomActionOutOfProc」を経由してカスタムアクション「Z3z1Z」を実行する (MITRE ID T1218.011 - System Binary Proxy Execution: rundll32.exe)
- カスタムアクションは、IcedID ローダ「MSI3480c3c1.msi」を「init」エクスポート関数を用いて動かすために 、2 つ目の「rundll32.exe」を生成する (MITRE IDs T1027.009 - Embedded Payloads and T1218 011 - System Binary Proxy Execution: rundll32.exe)
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture7.png)
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture8.png)
/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/Picture9.png)
まとめ
IcedID は、Cobalt Strikeやその他のマルウェア等、他のペイロードをデリバリする能力を持つ注目のマルウェアファミリの一種です。IcedIDの攻撃者は、データの盗難や破壊的なランサムウェアの拡散等、システム全体に影響が出る非常にインパクトのある徹底的な攻撃を行います。攻撃にマルバタイジングや検知を回避するためのローダが用いられることは、企業・組織にとって多層的セキュリティソリューションを展開することが重要である理由を再認識する機会となるはずです。これらのソリューションには、カスタム・サンドボックス、予測型機械学習、挙動の監視、探知機能(ファイル及びWebレピュテーション)を含みます。さらに、マルバタイジング攻撃を阻止する対策としては、広告ブロッカーも検討に値するでしょう。
参考記事
IcedID Botnet Distributors Abuse Google PPC to Distribute Malware
By: Ian Kenefick
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)