マイクロソフトのコードサインチェックを回避するマルウェア「Zloader」が登場

Laptop virus alert. Malware trojan notification on computer screen. Hacker attack and insecure internet connection vector concept. Illustration of internet virus malware

新しいZloader攻撃は、マイクロソフトのデジタル署名検証チェックを回避して、マルウェアのペイロードを展開、111カ国の数千人の被害者からユーザー認証情報を盗んでいることが判明しました。

https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

2021年8月に登場した、ユーザーの認証情報や個人情報を盗むことを目的としたバンキングマルウェア「Zloader」が、シンプルかつ洗練された感染経路で復活しました。2020年に確認されたこれまでのZloader攻撃では、悪意のある文書、アダルトサイト、Google広告などを利用してシステムに感染していました。

新しい攻撃の証拠は、2021年11月初旬頃に初めて確認され、感染経路には正規のリモート管理ソフトウェア(RMM)を使用してシステムに侵入する手法が含まれています。管理ソフトウェア(RMM)を使用してターゲットマシンへの初期アクセスを行います。

「MalSmoke」と呼ばれる脅威グループが編成したこの攻撃は、2021年11月に開始され発見したチェック・ポイントの研究者によると、現在も続いているようです。

Zloader(別名:Terdot、DELoader)は、2015年に初めて発見されたバンキング・マルウェアで、侵入したシステムからアカウント認証情報やさまざまな種類の機密個人情報を盗むことができます。

最近では、ZloaderはRyukやEgregorなどのランサムウェアのペイロードを含む、感染したデバイスにさらなるペイロードを投下するために使用されています。

MalSmokeは、情報を盗むマルウェアを配布する方法として、スパムメールやマルバタイジング、アダルトコンテンツを使ったルアーなど、様々な方法で展開されています。

Atera社のリモート管理ソフトウェアを悪用

チェック・ポイントが追跡・分析した最新の攻撃では、Ateraのインストーラーを改造した「Java.msi」ファイルを配信することから感染が始まります。

Ateraは、IT業界で広く使用されている正規の企業向け遠隔監視・管理ソフトウェアです。そのため、インストーラーが多少変更されていても、AVツールが被害者に警告を発する可能性は低いと考えられます。

脅威の行為者がどのようにして被害者を騙して悪意のあるファイルをダウンロードさせたのかは不明ですが、海賊版ソフトウェアのリソースにあるクラックやスピアフィッシングメールを利用している可能性があります。

実行すると、Atera はエージェントを起動し、脅威グループの管理下にある電子メール・アドレスを設定します。

その後、攻撃者はシステムへの完全なリモート・アクセス権を獲得し、スクリプトの実行や、Zloaderマルウェアのペイロードを中心としたファイルのアップロードまたはダウンロードが可能になります。

Atera社のリモートモニタリングソリューションには30日間の無料トライアルがついていますが、この期間は攻撃を実行するのに十分な期間です。

Zloaderの投下

悪意のあるインストーラーに含まれるバッチスクリプトは、管理者権限を持っていることを確認するためのいくつかのユーザーレベルのチェックを行い、Windows Defenderにフォルダの除外項目を追加し、「cmd.exe」やタスクマネージャーなどのツールを無効にします。

次に、以下の追加ファイルが%AppData%フォルダにダウンロードされます。

  • 9092.dll – メインのペイロードであるZloader
  • adminpriv.exe – 昇格した特権でプログラムを実行することを可能にするNsudo.exe
  • appContast.dll – 9092.dllとnew2.batの実行に使用されます
  • reboot.dll – 9092.dllを実行するためにも使用されます
  • new2.bat – 「管理者承認モード」を無効にし、コンピューターをシャットダウンします
  • auto.bat – ブートの持続性のためにスタートアップフォルダーに置かれる

Zloaderは「regsvr32.exe」で実行され、「msiexec.exe」プロセスに注入され、C2サーバー(lkjhgfgsdshja[.]com)と通信します。

最後に、”new2.bat “スクリプトがレジストリを編集し、すべてのアプリケーションの権限を管理者レベルに設定します。

この変更を有効にするためには再起動が必要となるため、マルウェアはこの時点で感染したシステムを強制的に再起動させます。

マイクロソフト社のコード・サイニング・チェックが回避される

チェック・ポイントは、Zloader ペイロードとレジストリ編集スクリプトを実行する appContast.dll が有効なコード署名を保持していることを確認しているため、OS は基本的にこれを信頼しています。

DLL(Atera社製)と比較したところ、チェックサムとシグネチャ・サイズにわずかな変更があることを発見しました。

これらの微妙な変更は、電子署名の有効性を失効させるほどではありませんが、同時に、何者かがファイルの署名セクションにデータを追加することを可能にします。

マイクロソフトは、2012年からこのセキュリティ・ギャップを知っており(CVE-2020-1599、CVE-2013-3900、CVE-2012-0151)、ますます厳しくなるファイル検証ポリシーをリリースすることで修正を試みてきました。しかし、何らかの理由で、これらのポリシーがデフォルトで無効のままになっています。

この勧告に記載されているように、より厳格なポリシーを有効にすることで、この問題を自分で解決することができます。

また、以下の行をメモ帳に貼り付け、拡張子を.regにして保存し、実行することもできます。

[HKEY_LOCAL_MACHINESoftware\MicrosoftCryptography\Wintrust\Config].
"EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINE_Software\Wow6432Node\Microsoft\Cryptography˶Wintrust\Config]
"EnableCertPaddingCheck"="1"

主に北米の被害者を狙う

2021年1月2日の時点で、最新のZloaderキャンペーンは2,170のシステムに感染しており、そのうち864のIPアドレスが米国にあり、さらに305のIPアドレスがカナダにあります。

被害者の数は驚くほど多くないように見えますが、これらの攻撃は高度に標的化されており、それぞれの被害者に大きなダメージを与えます。

感染経路は不明であるため、この脅威から保護するためには、ポリシーの厳格化に関する推奨事項に従うとともに、チェック・ポイントの研究者が提供する IoC(Indicator of compromise)を利用して、プロアクティブに脅威を検知することが最善の方法です。

コメントを残す

メールアドレスが公開されることはありません。