マルウェア
BlackCatの侵入経路に不正広告、攻撃者はSpyBoy Terminatorも活用
トレンドマイクロは、WinSCPなど正規組織のクローンWebページを用い、不正広告を通じてマルウェアを拡散する攻撃を発見しました。BlackCat(別称ALPHV)との関連性も明らかになりました。
トレンドマイクロは、WinSCPなど正規組織のクローンWebページを用い、不正広告を通じてマルウェアを拡散する攻撃を発見しました。BlackCat(別称ALPHV)との関連性も明らかになりました。
トレンドマイクロのインシデントレスポンスチームは、TAD(Targeted Attack Detection)サービスにおいて攻撃を示唆する非常に疑わしい挙動を確認しました。その後、標的となった企業と連携を図りました。このケースでは、攻撃者は不正広告(マルバタイジング)を利用し、正規組織のクローンWebページを通じてマルウェアを拡散していました。また、ファイル転送用のWindowsオープンソースアプリケーションであるWinSCPのWebページが悪用されていました。
Google Adsのような広告用プラットフォームは、広告主企業のターゲットとなるオーディエンスに広告を表示することでトラフィックを増加させ、結果として売上を増加させることが可能となります。マルウェアの拡散者は、この機能をマルバタイジングとして知られる手法を用いて悪用します。特定のキーワードをハイジャックして不正な広告を表示することで無防備な検索エンジンの利用者を誘導し、特定の種類のマルウェアをダウンロードさせます。
今回標的となった企業はトレンドマイクロと共同で調査を実施し、攻撃者が同企業のネットワーク内で以下の不正活動を行っていたことを確認しました。
- トップレベルの管理者権限を盗み、その権限を利用して不正な活動を行う
- AnyDesk 等のリモート管理ツールを使用し、顧客環境へのパーシステンス(持続化)の確立とバックドアアクセスを試みる
- パスワードを窃取し、バックアップサーバにアクセスを試みる
介入当時、攻撃者はすでに標的企業のネットワークへの初期侵入に成功し、ドメイン管理者権限を得て、バックドアの作成およびパーシステンスの確立を開始していました。そのため、介入があと少しでも遅ければ、重大な被害を受けていた可能性が高いと推測されます。
以下の図は、感染過程を表しています。
以下の章では、このケースの詳細について、攻撃者がいかにして初期侵入を行ったか、また、どのような攻撃を行ったか、そして、この事例から得られる教訓について解説します。
感染チェーンの詳細
ユーザが検索エンジンBingで「WinSCP Download」を検索すると、感染が始まります。まず、オーガニック検索結果としてWinSCPアプリケーションの不正広告が表示されます。この広告は、WinSCPを使ってファイル転送を自動化する方法の解説するチュートリアルを装った疑わしいWebサイトへと誘導します。
最初のページから、ユーザは、WinSCPのダウンロードWebページに扮した以下のクローンページへリダイレクトされます。
winsccp[.]com
ユーザが「ダウンロード」ボタンを選択すると、以下の不正なWordPressのWebページからISOファイルがダウンロードされます。なお攻撃者は、最終段階のペイロードURLをファイル共有サービス4sharedに最近変更しています。
hxxps://events.drdivyaclinic[.]com
全体的な感染の流れとして、まず、イニシャルローダを配信します。その後、ボットコアをフェッチし、最終的にペイロード(通常はバックドア)を作成します。
不正広告を用いた感染チェーンの概要は以下の通りです。
- ユーザは検索バー(GoogleやBing等)に検索用語を入力してアプリケーションを検索します。この例では、ユーザはWinSCPアプリケーションをダウンロードしたいと考え、Bingの検索バーに「WinSCP Download」という検索語を入力しました。
- オーガニック検索結果に、不正なWebサイトへ誘導するWinSCPアプリケーションの不正広告が表示されます。
- ユーザが 「Download」ボタンを選択すると、ISOファイルのダウンロードがユーザのシステム内で始まります。
Twitterでは、ユーザ@rerednawyergが、AnyDeskアプリケーションを模倣した上記と同様の感染チェーンを最初に発見しました。ユーザがISOをマウントすると、二つのファイルsetup.exeとmsi.dllが入っていることがわかります。これらのファイルの詳細を以下に解説します。
- setup.exe:実行ファイルmsiexec.exeの名前を変更したもの。
- msi.dll: 遅れてロードされるDLL(ユーザのコードがDLLに含まれるシンボルを参照しようと試みるまでロードされない)。正規のWinSCPインストーラおよびCobalt Strikeビーコンをダウンロードする不正なPython実行環境のドロッパとして機能する。
setup.exeが実行されると、msi.dllを呼び出します。これは、後にDLLのRCDATAセクションからPythonフォルダを抽出し、正規のWinSCPインストーラをインストールする役割を担います。そして、Python3.10の二つのインストレーションが実行されます。これらは、以下の正規のPythonインストレーションと、
AppDataLocal%Python-3.10.10
以下のトロイの木馬化したpython310.dllを含む以下のインストレーションです。
%Public%\Music\python
最後に、DLLは Python という名称のRunキー、そして以下の値を作成するパーシステンスを作成します。
C:¥Users¥Public¥Music¥Python¥pythonw.exe
実行ファイルpythonw.exeが起動すると、python310.dllが読み込まれます。このDLLは改変されトロイの木馬化されており、また難読化が施されています。このDLLファイルにはCobalt Strikeビーコンが含まれており、以下へ接続されます。
167[.]88[.]164[.]141
以下のコマンド&コントロール(C&C)サーバは、メインビーコンモジュールを取得するために使用されます。
パーシステンスのためにバッチファイルを実行する複数のスケジュールタスクもマシン内に作成されます。これらのバッチファイルは、Pythonスクリプトを実行し、Cobalt Strikeビーコンをメモリ内で実行します。不正なビーコンモジュールをメモリ内にダウンロードし実行するために、Pythonスクリプトがmarshalモジュールを用いて擬似コンパイルされた.pycコードを利用している点は注目に値します。
Trend Vision One™のプラットフォームは、前述のキルチェーンに対して以下のワークベンチを構築しました。
攻撃者は、顧客の環境におけるディスカバリのために、その他複数のツールを使用していました。最初に、アクティブディレクトリ (AD)環境から情報を取得して表示するように設計されたツールAdFindを使用します。攻撃者に悪用された場合、AdFindは、ユーザアカウントの列挙、権限昇格、さらにパスワードハッシュの抽出に利用される可能性があります。
このケースでは、攻撃者はオペレーティングシステムに関する情報をフェッチするために以下のコマンドを使用しました。
adfind.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName
このコマンドは、各コンピュータオブジェクトの名前、コモンネーム (CN)、オペレーティングシステム、以下の属性の値を取得し、その結果をCSV形式で出力します。
dNSHostName
攻撃者は、以下のPowerShellコマンドを使用してユーザ情報を収集し、CSVファイルに保存します。
Get-ADUser -Filter * -Properties * | Select -Property EmailAddress,GivenName,Surname,DisplayName,sAMAccountName,Title,Department,OfficePhone,MobilePhone,Fax,Enabled,LastLogonDate | Export-CSV "C:\users\public\music\ADusers.csv" -NoTypeInformation -Encoding UTF8
また、攻撃者がSysinternals社によって開発されたコマンドラインツールであるAccessChk64を使用していることも判明しました。このツールは、主にWindowsオブジェクトのセキュリティパーミッションおよびアクセス権を確認するために使用されます。攻撃者がこのツールを使用した目的は明確ではありませんが、当ツールはユーザやグループにどのような権限が割り当てられているかを確認するだけではなく、権限昇格やアクセスコントロール設定の弱いファイル、ディレクトリ、またはサービスの特定にも使用することができます。
その他、攻撃者はfindstrを使用していました。これは、ファイル内の文字列や正規表現を検索するために以下のコマンドを使用するWindowsのコマンドラインツールです。
findstr /S /I cpassword \\<REDACTED>\sysvol\<REDACTED>\policies\*.xml.
このコマンドの目的は、文字列cpasswordを含むXMLファイルを特定することであった可能性があります。なお、興味深い点は、文字列cpasswordは、AD内のグループポリシーの基本設定にパスワードを保存する際に推奨されないとされる手段と関連のある文字列であることです。
さらに、トレンドマイクロはPowerShellを用いたスクリプトの実行も確認しました。一例として、以下のコマンドは、
IEX (New-ObjectNet.Webclient).DownloadString ('hxxp://127[.]0[.]0[.]1:40347/'); Invoke-FindLocalAdminAccess -Thread 50
以下のPowerShell関数を呼び出し、パラメータ-Threadに50という値を引き渡します。
Invoke-FindLocalAdminAccess
この関数は、システム内でのローカル管理者アクセスの検索に関連したアクションを実行するスクリプトの一部であると推測されます。
攻撃者によって使用されたもう1つのPowerShellスクリプトは、PowerViewでした。これは、侵入テストやセキュリティオペレーションを支援するために使用されるPowerSploitのスクリプト群の一部です。PowerViewはADの偵察および列挙に重点を置いており、攻撃者がAD環境に関する情報を収集する際によく使用されています。
ZIPファイルの解凍には、PowerShellによるExpand-Archiveコマンドを使用します。
powershell -w hidden -command Expand-Archive C:\users\public\videos\python.zip -DestinationPath C:\users\public\videos\python
WMIは、CoBeaconを環境全体に渡ってリモートで起動するために使用されます。
C:\WINDOWS\system32\cmd.exe /C wmic /NODE:"<REDACTED>" process call create C:\users\public\videos\python\pythonw.exe C:\users\public\videos\python\work2-2.py
特権認証情報を取得し、権限を昇格させるために、攻撃者はmarshalモジュールも含むPythonスクリプトを使用し、LaZagne用の擬似コンパイルされたコードを実行しました。また、Veeamの認証情報を取得する同様の構造を持つ別のスクリプトも環境内で確認されました。
PsExec、BitsAdmin、curlは、追加のツールをダウンロードするため、また横展開するために使用されます。
攻撃者は、KillAV BATの詳細なスクリプトを作成し、トレンドマイクロの保護機能を不正に改ざんしようと試みました。KillAVとは、標的のシステムにインストールされたウイルスやマルウェア対策プログラムを無効化したり、バイパスするために特別に設計された不正なソフトウェアの一種です。幸いにも、エージェントのセルフプロテクション機能やウイルス検索エンジン(VSAPI)により、この試みは失敗に終わりました。なお、攻撃者は、別のKillAV BATスクリプトにより、Windows Defenderの停止も試みています。
最後に、攻撃者は、パーシステンスを維持するためにAnyDeskリモート管理ツール(install.exeに改名したもの)を環境にインストールしました。
プロアクティブかつ入念なインシデントレスポンスの結果、攻撃者が最終的なペイロードを実行する前にネットワークから退去させることができ、攻撃者の目的達成を阻止することができました。また対応にあたったトレンドマイクロのインシデントレスポンスチームは、対応の際に緊急の防御対策や、中長期に導入すべきセキュリティ対策も提案しました。
BlackCatによる同様のTTPsの使用
上記とは別の調査においては、先に解説した攻撃手法と同様のTTPs (テクニック、戦術、手順)がBlackCat(別称 ALPHV)による感染に繋がっていることが判明しました。また、本稿で取り上げた他のマルウェアやツールと同様に、SpyBoy Terminatorの使用も確認されました。これも、ウイルス対策プログラムやEDR(Endpoint Detection and Response)といった、エージェントにより提供された保護機能を改ざんしようとする試みの一つです。
顧客データを流出させるために、攻撃者はPSCP(PuTTY Secure Copy Client)を使用して、収集した情報を転送しました。また、この感染過程において攻撃者が使用したC&Cドメインの一つを調査したところ、ランサムウェアCl0pに関連する可能性のあるファイルも発見されました。
まとめと対策
近年、攻撃者は、被害者自身も気づいていない脆弱性をますます巧妙に悪用するようになり、企業や組織が想定できないような挙動に出るようになりました。こうした現状を踏まえると、不正アクセスを防止するための継続的な努力に加え、ネットワーク内における異常を早期に発見し対処することが重要となります。対応の遅れは深刻な損害を引き起こす恐れがあるため、迅速な修復作業も不可欠です。
攻撃シナリオを詳しく理解することで、企業や組織は侵害や重大な損害につながる脆弱性を特定できるだけでなく、損害の発生を防ぐために必要な対策を講じることができます。
以下のようなセキュリティ対策を講じることで、被害を低減することができます。
- フィッシング攻撃に関する教育:フィッシング攻撃について、その識別方法や回避手段を従業員に教育する。不審なリンクを選択しないこと、また不明なソースからファイルをダウンロードしないことの重要性をしっかりと教育する。
- 監視、活動の記録:さまざまなネットワークデバイスやシステムからログを収集し解析するために、統合ログ管理を導入する。ネットワークトラフィック、ユーザアクティビティ、システムログを監視することで、不自然な挙動や疑わしい挙動を検出する。
- 通常運用時の正常なネットワークトラフィックの定義:正常なネットワークトラフィックを定義することは、不正アクセス等の異常なネットワークトラフィックを特定することを容易にする。
- インシデントに備え、コミュニケーションを含めた組織対応の改善:侵害が発生した際に備えて、対応計画を策定する。また、インシデント自体や対応状況に関する組織内外へのコミュニケーションについて、従業員、顧客、関係当局等、主要な利害関係者に対し確実なコミュニケーションチャネルを策定する。
- サイバーセキュリティの専門家との連携:侵害への対応を効率的に進めるための専門知識やリソースが組織内に不足している場合は、信頼のおけるサイバーセキュリティ企業との契約を検討する。サポート内容には、インシデントレスポンス、フォレンジック解析、セキュリティ環境改善が含まれる。
参考記事
Malvertising Used as Entry Vector for BlackCat, Actors Also Leverage SpyBoy Terminator
By: Lucas Silva, RonJay Caragay, Arianne Dela Cruz, Gabriel Cardoso
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)"