エクスプロイト&脆弱性
8220 Gang、新たな戦略で進化
攻撃グループ「8220 Gang」が、Linuxユーティリティlwp-downloadやOracle WebLogicの脆弱性CVE-2017-3506を悪用した新たな攻撃を展開しています。
「8220 Gang」として知られる攻撃グループは、2017年から活動しており、クラウドやコンテナ環境における脆弱なアプリのスキャンを継続しています。この攻撃グループは、「8220 Mining Group」としても知られ、当名称はコマンド&コントロール(C&C)通信のためにポート8220を使用していることに由来します。これまでの調査によると、このグループは、Oracle WebLogic、Apache Log4j、Atlassian Confluenceの脆弱性、そしてDockerコンテナの設定ミスを標的とし、LinuxまたMicrosoft Windowsのホストにおいて暗号資産マイニングを展開していることが判明しています。さらに記録によると、攻撃時にはTsunamiマルウェア、XMRIGクリプトマイナー、masscan、spirit等のツールを使用していることが確認されています。
また、当攻撃グループの活動に関するその他の調査によると、ここ数カ月で活動が活発化していることが窺えます。本記事では、トレンドマイクロのハニーポットにより明らかになったOracle WebLogicの脆弱性CVE-2017-3506を悪用した攻撃について解説します。この脆弱性(CVSSスコア7.4)は、Oracle WebLogicのWLS Security コンポーネントに影響を及ぼします。また、悪用された場合、攻撃者は専用に作成したXMLデータをHTTPリクエストとして遠隔から送信し、任意のコマンドを実行することが可能となります。これにより、攻撃者は機密データへの不正アクセスが可能となる他、システム全体の侵害も可能となります。
エントリポイント
攻撃者は、以下のHTTP Uniform Resource Identifier(URI) をエントリポイントとして、脆弱性 CVE-2017-3506 を利用し、 Oracle WebLogic サーバを標的とします。
wls-wsat/CoordinatorPortType
侵入に成功すると、8220 Gangは前述の6年前から存在する脆弱性を利用して、他のドロッパーファイルをダウンロードし、作成するPowerShellスクリプトを展開します。また、最近の攻撃では、URLで指定されたファイルをダウンロードするためのLinuxユーティリティであるlwp-downloadを利用しているケースも確認されています。ここでは、Windowsシステムを標的とした不正活動について詳しく解説します。
感染ルーチン
攻撃ペイロードは、Base64を使用してエンコードされたPowerShellコマンドを実行します。復号化すると、プロファイルをロードせずに(-NoP)、PowerShellの隠しウィンドウを開き(-NonI -W Hidden)、実行ポリシーをバイパスする(-Exec Bypass)コマンドを実行します。復号化されたコマンドは、以下からPowerShellスクリプトをダウンロードして実行します。
http[:]//185[.]17[.]0[.]199/bypass.ps1
その際、ユーザから見えるディスプレイ上には、これらのコマンドの出力は何も表示されません。そして、Base64エンコードされた文字列は、PowerShellスクリプト bypass.ps1をダウンロードします。
bypass.ps1の解析
PowerShellスクリプトは、Base64でエンコードされた複数のバイト配列を復号化し、メモリ上に別の難読化されたPowerShellスクリプトを作成します。そして、iex(Invoke-Expression)コマンドレットを用いて実行します。
バイト配列に割り当てられた全ての変数には、Base64エンコードされた文字列(当該ケースでは、$cバイト配列)が含まれています。これらのバイト配列は、スクリプトの後半で難読化を解除する目的で使用されます。$cc変数の計算が完了すると、$cバイト配列の復号化された値が格納されます。これは、ディスク上にスクリプトを書き込まずにメモリ上で実行されるPowerShellスクリプトです。ASCIIで$c変数を復号化すると、その結果が$cc変数として識別されPowerShellスクリプトを実行します。
新しいPowerShellスクリプトは以下のタスクを実行します。
1. AMSIによる検知を無効化します。コードは、以下のフィールド値をTrueに設定し、実行中のプロセスに対してスキャンが実施されないようにAMSIによるフックを解除します。
<System.Management.Automation.AmsiUtils> classのamsiInitFailed
また、バイパスコマンドで観測されたように、amsiInitFaildの値をアップデートするために.NETリフレクションを使用してTrueの値を割り当てます。
2. AMSIによる検知を無効化した後、不正なバイナリファイルをWindowsのtempディレクトリに書き込むため、パスを決定します。
3. $eXE_PaTh 変数において、指定された箇所にバイナリファイルを書き込みます。このコードセクションは、Base64文字列をバイナリコードであるバイト配列に復号化し、.Net class System.IOを使用してバイナリファイルをディスクに書き込みます。
4. スクリプトの最後に、PowerShellはコマンドの「-WindowStyle Hidden」パラメータを使用し、Windowsのtempディレクトリに新たに書き込んだバイナリファイルを実行します。ここではユーザインターフェイスは表示されません。
Winscp-setup-1867.exeファイルは、以下のサーバにGETリクエストを継続的に送信し、Ebvjmbaファイルをダウンロードする役割を担っています。
http[:]//79[.]137[.]203[.]156/Ebvjmba.dat
Winscp-setup-1867.exeを実行した後、DLLファイルがファイルサーバに通信し、以下のIPアドレスからDATファイルドロッパーをダウンロードします。このIPアドレスは、C&C サーバであることが確認できています。
79[.]137[.]203[.]156
DLLファイルは、.NETフレームワークのHttpClient クラスを使用し、指定されたアセットURLにHTTP GETリクエストを送信します。
このドロッパーは、検知を回避するために、Base64エンコードした文字列のバイナリコードを逆にしています。
新しく作成された .dll ファイルは、MS Build プロセスにインジェクトされる暗号化されたリソースファイルです。このファイルは、細部にわたり難読化されており、解析がより一層困難となります。プロセスのメモリを調査した結果、組み込まれたペイロードの構成情報にはBase64エンコードが施されていました。また、新しいプロセスはTCPポート9090、9091、もしくは9092を使用し、3つのC&Cのうちの1つと通信することにより、暗号資産マイナーをダウンロードしていることが明らかになりました。
- 179[.]43[.]155[.]202
- work[.]letmaker[.]top
- su-94[.]letmaker[.]top
まとめ
lwp-downloadは、複数のプラットフォームにデフォルトとして存在するLinuxユーティリティです。8220 Gangはこれをマルウェアの不正活動に組み込んでおり、複数のサービスに影響を与える可能性があります。様々な攻撃でツールを再利用し、正規のツールを悪用する当グループの傾向を考慮すると、組織や企業のセキュリティチームはこのような手口までも検知し防御できるような手段をもって立ち向かわねばならないといえるでしょう。
lwp-downloadの悪用は、短期的には他のプラットフォームへの侵害及びターゲティングのために利用されると考えられます。この攻撃グループは、旧式のツールやC&Cサーバも再利用していますが、同時にWindowsシステムを標的とし始めています。さらに、検知を回避するために新しいファイルやC&Cサーバの使用も開始しています。また、6年前から存在する脆弱性を攻撃に利用しているのは一見疑問に思えますが、当攻撃グループがユーザのシステムをスキャニングした結果として利用された可能性もあり、ユーザの防御の弱みを突くものといえます。
研究者によっては、8220 Gangは大した技術力もないスクリプトキディだと評しています。しかし、本記事で扱った内容を考慮すると、8220 Gangは決して無視することのできない脅威です。企業や組織は、脆弱性の修正など、セキュリティシステムを常に最新の状態を保つことが求められます。本攻撃グループは、以前の攻撃ではスクリプトはシンプルであり、検知を回避することもありませんでした。また、解析も容易でした。時を経て、Tsunamiのような甚大な被害をもたらすマルウェアを攻撃に利用するなど、進化を遂げています。トレンドマイクロは、当攻撃グループ及び攻撃手法について監視を継続し、解析、検知、ブロッキングを行っていきます。
トレンドマイクロのソリューション
Trend Micro Cloud One™ - Endpoint Security及びWorkload Securityは、一元化された可視性、管理、役割ベースのアクセス制御を通じて、エンドポイント、サーバ、クラウドワークロードを保護します。また、それぞれのお客様の多様なエンドポイントやクラウド環境に対応した専門的なセキュリティを提供し、複数のセキュリティ対策にかかるコストや複雑さを解消します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡はこちらで確認してください。
MITRE ATT&CK Tactics and Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
参考記事
8220 Gang Evolves With New Strategies
By: Sunil Bharti
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)