マイクロソフトは、バンキングマルウェアやリモートアクセストロイの木馬(RAT)を配布するためにHTMLスマグリングを使用するマルウェアキャンペーンが急増していることを確認しています。
マイクロソフトでは、SolarWinds攻撃を行ったNobeliumハッキンググループなど、検出を回避するために攻撃者がHTMLスマグリングを使用するケースが増えているとしています。
HTMLスマグリング(HTML smuggling)とは?
HTML smugglingは、HTML5とJavaScriptを使用して、HTMLの添付ファイルやウェブページにエンコードされた文字列の中に悪意のあるペイロードを隠すフィッシング攻撃で使用される技術です。ユーザーが添付ファイルを開いたり、リンクをクリックしたりすると、これらの文字列がブラウザによって解読されます。
例えば、フィッシング用のHTML添付ファイルには、既知のWebサイトへの無害なリンクが含まれているため、悪意があるとは見なされません。
しかし、ユーザーがそのリンクをクリックすると、以下のコードに示すように、JavaScriptが含まれる暗号化または符号化された文字列を解読し、悪意のある添付ファイルに変換して代わりにダウンロードします。
悪意のあるペイロードは最初に暗号化されているため、セキュリティソフトからは無害に見え、悪意のあるものとして検出されません。
さらに、JavaScriptが標的となるシステム上でペイロードを組み立てる際に、通常は悪意のあるファイルを境界で捕捉するファイアウォールやセキュリティ防御を回避してしまいます。
マイクロソフトは、この技術が銀行業務用トロイの木馬を配信するMekotio攻撃や高度に標的化されたNOBELIUM攻撃で使用されていることを確認しています。
HTML smuggling国劇は、AsyncRATやNJRATといったリモートアクセストロイの木馬やネットワークに侵入してランサムウェアを展開するためのTrickBotトロイの木馬を投下させるためにも使用されます。
このような攻撃は通常メッセージの本文にHTMLリンクが含まれているか、悪意のあるHTMLファイルが添付されているフィッシングメールから攻撃が開始されます。
どちらかがクリックされると、HTML smugglingを用いてZIPファイルが投下されます。
このアーカイブには、被害者のデバイスにインストールするためにコマンド&コントロールサーバ(C2)から追加ファイルをフェッチするJavaScriptファイルダウンローダが含まれています。
作成されたアーカイブは、エンドポイントのセキュリティ制御に対する検知回避をさらに高めるため、パスワードで保護されている場合がありますが、それを開くためのパスワードはオリジナルのHTML添付ファイルで提供されるため、被害者はそれを手動で入力する必要があります。
スクリプトが起動するとBase64エンコードされたPowerShellコマンドが実行され、TrickBotトロイの木馬やその他のマルウェアがダウンロードされ、インストールされます。
Menlo Security社の2020年のレポートでも、ペイロードの配布にHTMLスマグリングを積極的に利用する攻撃者の1つとしてDuriマルウェアグループが挙げられています
Microsoftは、2021年7月にこの活動が急激に増加していることを初めて警告し、管理者にこの活動に対する防御力を高めるよう推奨しています。
HTMLスマグリングを防御する方法
マイクロソフトは、管理者が動作ルールを使用して、以下のようなHTMLスマグリングの一般的な特徴をチェックすることを提案しています。
- 添付のZIPファイルにJavaScriptが含まれている
- 添付ファイルがパスワードで保護されている
- HTMLファイルに不審なスクリプトコードが含まれている
- HTMLファイルがBase64コードを解読している、またはJavaScriptを難読化している
エンドポイントにおいては、管理者は以下のようなHTML密輸に関連するアクティビティをブロックまたは監査する必要があります。
- ダウンロードした実行可能なコンテンツを起動するために、JavaScriptまたはVBScriptをブロックする
- 難読化された可能性のあるスクリプトの実行をブロックする
- 信頼できるリストの基準を満たさない限り、実行可能ファイルの実行をブロックする
上記に加えて、ユーザーは、.jsおよび.jseファイルの実行アプリケーションをメモ帳のようなテキストエディターに指定することで、JavaScriptコードの自動実行を防ぐことができます。
最終的には、電子メールのリンクや添付ファイルでダウンロードしたファイルを開かないようにユーザーを教育することが最善の防御策となります。
電子メールからダウンロードしたすべてのファイルは、慎重に扱い、開く前に注意深くチェックする必要があります。
さらに、添付ファイルや電子メールのリンクで、拡張子が.js(JavaScript)で終わる添付ファイルをダウンロードした場合は、絶対に開かず、自動的に削除するようにしてください。
残念ながら、Windowsではデフォルトでファイルの拡張子の表示が無効になっているため、拡張子が表示されないことが多くあります。そのため、悪意のあるファイルを開かないようにするために、ユーザーは常にファイル拡張子の表示を有効にすることをお勧めします。
HTMLスマグリングを利用した攻撃の実例
DEV-0238(別名:Mekotio)とDEV-0253(別名:Ousaban)による、ブラジル、メキシコ、スペイン、ペルー、ポルトガルを標的とした攻撃では、HTMLスマグリングが使用されています。マイクロソフトが観測したMekotioの攻撃の1つでは、攻撃者は悪意のあるリンクを含むメールを送信していました。
リンクをクリックすると、HTMLスマグリングの手法が開始されます
この攻撃では、HTMLスマグリング技術を実装し、悪意のあるダウンローダーファイルを落とすために、hxxp://poocardy[.]net/diretorio/という悪意のあるWebサイトが使用されています。
MekotioキャンペーンのHTMLスマグリング・ページでは「href」タグが、悪意のあるZIPファイルをダウンロードするために、オクテット/ストリームタイプのJavaScript Blobを参照しています。
この攻撃は、ソーシャルエンジニアリングとユーザーのインタラクションに依存していることに留意する必要があり、ユーザーがメールで送られてきたリンクをクリックすると、HTMLページは難読化されたJavaScriptファイルが埋め込まれたZIPファイルをダウンロードします。
ユーザーがZIPファイルを開き、JavaScriptを実行すると当該スクリプトはhxxps://malparque[.]org/rest/restfuch[.]pngに接続し、PNGファイルを装った別のZIPファイルをダウンロードします。この2つ目のZIPファイルには、DAEMON Toolsに関連する以下のファイルが含まれています。
- sptdintf.dll – これは無害なファイルです。DAEMON ToolsやAlcohol 120%を含む様々な仮想ディスクアプリケーションは、このダイナミックリンクライブラリ(DLL)ファイルを使用しています。
- imgengine.dll – これは、難読化のためにThemida-packedまたはVMProtectedされた悪意のあるファイルです。ターゲットの地理的情報にアクセスし、認証情報の窃取やキーロギングを試みます。
- ランダムな名前の実行ファイル:これは、”Disc Soft Bus Service Pro “という正規のファイルをリネームしたものです。この正当なファイルはDAEMON Tools Proの一部であり、両方のDLLをロードします。
最後に、ユーザーが一次実行ファイル(リネームされた正規ファイル)を実行すると、DLLのサイドロードを介して悪意のあるDLLを起動してロードします。
前述のとおり、このDLLファイルは、2016年後半からラテンアメリカの産業界を標的とした、通常はWindowsシステム上に展開されるバンキング型トロイの木馬のマルウェアファミリーであるMekotioに起因しています。
Comments