2012 年には、イランのハッカー グループと疑われる「正義のカッティング ソード」が、Shamoon または Disttrack として知られるマルウェアを使用しました。 11 月中旬、FireEye の企業である Mandiant は、湾岸諸国にある組織に対する最初の Shamoon 2.0 インシデントに対応しました。それ以来、Mandiant はこの地域の他の組織での複数のインシデントに対応してきました。
Shamoon 2.0 は、2012 年のインシデントで確認されたマルウェアの修正および更新されたバージョンです。分析によると、マルウェアには資格情報が埋め込まれていることが示されています。これは、攻撃者が、次の攻撃を開始する前に、必要な資格情報を収集するために標的を絞った侵入を以前に実行した可能性があることを示唆しています。
FireEye HX と FireEye NX はどちらも Shamoon 2.0 を検出し、当社の Multi-Vector Virtual Execution (MVX) エンジンもこのマルウェアをプロアクティブに検出できます。
以下は、分析したサンプルに基づいて Shamoon 2.0 についてわかっていることの要約です。
- マルウェアは、システム上のすべてのインターフェースに割り当てた IP の C クラス サブネットをスキャンして、ターゲット システムを探します。
- 次にマルウェアは、ターゲット システムの ADMIN$、C$Windows、D$Windows、および E$Windows 共有に現在の権限でアクセスしようとします。
- 現在の権限が前述の共有にアクセスするのに十分でない場合、ハードコーディングされたドメイン固有の資格情報 (特権資格情報、おそらくドメイン管理者またはローカル管理者) を使用して、攻撃の初期段階で同じことを試みます。
- アクセスできるようになると、ターゲット デバイスでリモート レジストリ サービスを有効にし、HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemLocalAccountTokenFilterPolicy を 0 に設定して、共有アクセスを有効にします。
- 以前のアクションを実行すると、ntssrvr32.exe をターゲット システムの %WINDIR%system32 にコピーし、名前のないタスク (At1.job など) をスケジュールしてマルウェアを実行します。
- 特定されたマルウェアには、消去を開始する日付がハードコードされていました。マルウェアに感染したシステムは、その直後にプロセスを開始するようにジョブをスケジュールしました。
- このマルウェアは、システム クロックを 2012 年 8 月のランダムな日付に設定します。分析によると、これは、マスター ブート レコード (MBR) とボリューム ブート レコード (VBR) をワイプするコンポーネント (悪意を持って使用される正当なドライバー) を確実に消去するためである可能性があります。テストライセンスの有効期間内。
- オリジナルの Shamoon マルウェアは、燃える米国旗の画像でオペレーティング システム ファイルを上書きしようとしましたが、最近発見された亜種は Windows オペレーティング システム ファイルを上書きしようとしましたが、別の画像である Alan Kurdi の死を描いた .JPG ファイルを使用していました。地中海を渡ろうとして死亡したシリアの子供移民。
以下は、マルウェアを検出し、その活動に対抗し、環境内での拡散を阻止しようとするためのガイダンスです。これらのアクションのいずれかを実行すると、悪影響が生じる可能性があるため、環境の影響に関する適切なレビューと調査なしに実装しないでください。
- 2012 年 8 月の日付を示す SIEM のイベントを監視します。
- クロックを 2012 年 8 月以降に戻すシステム時刻変更イベントを監視します。
- Remote Registry サービスの開始を監視します。
- 値が現在ゼロ以外の場合は、前述のレジストリ キー値への変更を監視します。
- 前述の共有へのアクセスを防止および制限します。これは、セットアップに基づいて重大な影響を与える可能性があります。
- クライアント間の通信を防止して、マルウェアの拡散を遅らせます。これは、セットアップに基づいて重大な影響を与える可能性もあります。
- 投稿の下部にある侵害の痕跡リストに記載されているファイル名のいずれかが作成されていないか、ファイルシステムを監視します。
- すべての特権アカウントの資格情報を変更し、ローカルの管理者パスワードがシステムごとに一意であることを確認します。
侵害の痕跡
以下は、特定された Shamoon 亜種の侵害の痕跡のセットです。重要なインフラストラクチャ組織と政府機関 (特に湾岸協力会議地域の機関) は、Windows Server およびワークステーション環境内でこれらのファイルの存在または実行を直ちに確認することをお勧めします。さらに、すべてのお客様が、環境内の重要なシステムのディザスター リカバリー計画を定期的に確認し、テストし続けることをお勧めします。
ファイル名:ntssrvr64.exe
パス: %SYSTEMROOT%System32
コンパイル時間: 2009/02/15 12:32:19
ファイルサイズ:717,312
ファイル名:ntssrvr32.exe
パス: %SYSTEMROOT%System32 NA NA
ファイルサイズ: 1,349,632
ファイル名:ntssrvr32.bat
パス: %SYSTEMROOT%System32 NA
MD5: 10de241bb7028788a8f278e27a4e335f
ファイルサイズ:160
ファイル名: gpget.exe
パス: %SYSTEMROOT%System32
PE コンパイル時間: 2009/02/15 12:30:41
MD5: c843046e54b755ec63ccb09d0a689674
ファイルサイズ: 327,680
ファイル名: drdisk.sys
パス: %SYSTEMROOT%System32Drivers
コンパイル時間: 2011/12/28 16:51:29
MD5: 76c643ab29d497317085e5db8c799960
ファイルサイズ: 31,632
ファイル名: key8854321.pub
パス: %SYSTEMROOT%System32
MD5: b5d2a4d8ba015f3e89ade820c5840639 782
ファイル名: netinit.exe
パス: %SYSTEMROOT%System32
MD5: ac4d91e919a3ef210a59acab0dbb9ab5
ファイルサイズ: 183,808
サービス内容
表示名:「Microsoft Network Realtime Inspection Service」
サービス名:「NtsSrv」
説明: 「ネットワーク タイム プロトコルの既知および新たに発見された脆弱性を狙った時刻変更の試みから保護するのに役立ちます」
作成されたファイル:
- %WINDIR%infusbvideo324.pnf
- %WINDIR%system32netinit.exe
動的分析オブザーバブル
RegistryItem HKLMSYSTEMCurrentControlSetServicesNtsSrv
RegistryItem HKLMSYSTEMControlSet001ServicesNtsSrv
RegistryItem HKLMSYSTEMCurrentControlSetServiceswow32
RegistryItem HKLMSYSTEMControlSet001Serviceswow32
RegistryItem HKLMSYSTEMCurrentControlSetServicesdrdisk
RegistryItem HKLMSYSTEMControlSet001Servicesdrdisk
FileItem C:WindowsSystem32caclsrv.exe
FileItem C:WindowsSystem32certutl.exe
FileItem C:WindowsSystem32clean.exe
FileItem C:WindowsSystem32ctrl.exe
FileItem C:WindowsSystem32dfrag.exe
FileItem C:WindowsSystem32dnslookup.exe
FileItem C:WindowsSystem32dvdquery.exe
FileItem C:WindowsSystem32event.exe
FileItem C:WindowsSystem32extract.exe
FileItem C:WindowsSystem32findfile.exe
FileItem C:WindowsSystem32fsutl.exe
FileItem C:WindowsSystem32gpget.exe
FileItem C:WindowsSystem32iissrv.exe
FileItem C:WindowsSystem32ipsecure.exe
FileItem C:WindowsSystem32msinit.exe
FileItem C:WindowsSystem32netx.exe
FileItem C:WindowsSystem32ntdsutl.exe
FileItem C:WindowsSystem32ntfrsutil.exe
FileItem C:WindowsSystem32ntnw.exe
FileItem C:WindowsSystem32power.exe
FileItem C:WindowsSystem32rdsadmin.exe
FileItem C:WindowsSystem32regsys.exe
FileItem C:WindowsSystem32routeman.exe
FileItem C:WindowsSystem32rrasrv.exe
FileItem C:WindowsSystem32sacses.exe
FileItem C:WindowsSystem32sfmsc.exe
FileItem C:WindowsSystem32sigver.exe
FileItem C:WindowsSystem32smbinit.exe
FileItem C:WindowsSystem32wcscript.exe
参照: https://www.mandiant.com/resources/blog/fireeye_responds-wave-destructive
Comments