複数のキャンペーンで WinRAR ゼロデイ悪用

Decoy document impersonating CSWE news

世界中で5 億人以上のユーザーが使用している 20 年以上前のファイル アーカイブ ユーティリティである WinRAR は、最近、そのコードベースに長期にわたる脆弱性があることを認めました。 Check Point Researchによって CVE-2018-20250 で公開された、最近公開されたパス トラバーサルのゼロデイ脆弱性により、攻撃者はユーザー入力に関係なく、「ACE」形式のファイルのファイル抽出中に任意の宛先を指定できます。攻撃者は、Windows の「スタートアップ」スタート メニュー フォルダなどの機密性の高い場所にファイルを抽出する悪意のあるアーカイブを作成することで、持続性とコード実行を簡単に達成できます。この脆弱性は WinRAR の最新バージョン (5.70) で修正されていますが、WinRAR 自体には自動更新機能が含まれていないため、多くの既存のユーザーが古いバージョンを実行したままになる可能性が高くなります。

FireEye は、 360 Threat Intelligence Centerですでに説明されているキャンペーンに加えて、この脆弱性を利用する複数のキャンペーンを確認しています。以下では、これまでに見たことのないものや、PowerShell Empire などの市販のツールを使用したものなど、さまざまなペイロードを備えたカスタマイズされた興味深いおとりドキュメントを使用したいくつかのキャンペーンを見ていきます。

キャンペーン 1: 教育認定評議会になりすます

感染ベクター

ACE ファイル Scan_Letter_of_Approval.rar が脆弱な WinRAR バージョン 5.70 より前のバージョンで抽出されると、ユーザーの同意なしに Windows スタートアップ フォルダーに winSrvHost.vbs という名前のファイルが作成されます。 VBScript ファイルは、次回の Windows の起動時に実行されます。

おとり文書

ユーザーの疑いを避けるために、ACE ファイルには、おとり文書「Letter of Approval.pdf」が含まれています。これは、図 1 に示すように、ソーシャル ワーク教育評議会である CSWE からのものであると称しています。これは、 CSWE Web サイトからコピーされたようです。

Decoy document impersonating CSWE
図 1: CSWE になりすましたおとり文書
VBS バックドア

Startup フォルダー内の VBS ファイルは、Windows の起動時に wscript.exe によって実行されます。 VBS コードはまず、ComputerName、Processor_identifier、および Username の組み合わせに基づくカスタム ロジックを使用して、被害者の ID を取得します。図 2 に示すように、環境文字列からこれらを取得します。

被害者 ID の導出
図 2: 被害者 ID の導出

興味深いことに、バックドアは、図 3 のコードを使用した Authorization HTTP ヘッダーの値を使用して、コマンド アンド コントロール (C2) サーバーと通信します。

Authorization ヘッダーの Base64 エンコード データ
図 3: Authorization ヘッダー内の Base64 でエンコードされたデータ

VBS バックドアは、最初に図 4 のコードを使用して、被害者 ID と ComputerName を含む base64 でエンコードされたデータを送信します。

Base64 でエンコードされた被害者データ
図 4: Base64 でエンコードされた被害者データ

次に、C2 サーバーからの HTTP 応答の Authorization ヘッダーにある base64 でエンコードされたデータを抽出し、デコードします。デコードされたデータは、C2 サーバーからの命令コードで始まり、その後に追加のパラメーターが続きます。

C2通信

マルウェアは、HTTP リクエストを介して 185[.]162.131.92 の C2 サーバーに到達します。実際の通信は、図 5 に示すように、Authorization フィールドを介して行われます。

Authorization フィールドを介した通信
図 5: Authorization フィールドを介した通信

Authorization フィールドの値をデコードすると、マルウェアが被害者 ID とコンピュータ名を C2 サーバーに送信していることがわかります。図 6 に示すように、C2 サーバーは、Authorization HTTP ヘッダーの値に含まれるコマンドで応答します。

Authorization フィールドの C2 コマンド
図 6: Authorization フィールドの C2 コマンド

デコードすると、コマンドは「ok ok」であることがわかります。これは、デフォルトの C2 コマンドであると考えられます。いくつかの C2 通信の後、C2 サーバーは、Netwire RAT である hxxp://185.49.71[.]101/i/pwi_crs.exe からペイロードをダウンロードする命令で応答しました。

VBS バックドアでサポートされているコマンド

指示

説明

d

VBS ファイルを削除してプロセスを終了する

広報

URLからファイルをダウンロードして実行

ふぅ

ハードウェア情報を取得する

平均

定義済みのリストからインストールされているウイルス対策を探します。

指標

ファイル名

ハッシュ/IP アドレス

Scan_Letter_of_Approval.rar

8e067e4cda99299b0bf2481cc1fd8e12

winSrvHost.vbs

3aabc9767d02c75ef44df6305bc6a41f

承認書.pdf

dc63d5affde0db95128dac52f9d19578

pwi_crs.exe

12def981952667740eb06ee91168e643

C2

185[.]162.131.92

ネットワイヤ C2

89[.]34.111.113

キャンペーン 2: イスラエルの軍事産業への攻撃

感染ベクター

VirusTotal にアップロードされた電子メールによると、攻撃者は SysAid-Documentation.rar という名前の ACE ファイルを添付したなりすましメールを被害者に送信したようです。 VirusTotal アップローダと電子メール ヘッダーに基づいて、これはイスラエルの軍事会社に対する攻撃であると考えられます。

おとりファイル

ACE ファイルには、イスラエルに拠点を置くヘルプ デスク サービスである SysAid のドキュメントに関連するおとりファイルが含まれています。これらのファイルは、図 7 の WinRAR で表示されるように表示されます。

おとりファイル
図 7: おとりファイル
Thumbs.db.lnk

この LNK ファイルのターゲットは「C:UsersjohnDesktop0m.bat」です。しかし、LNK パーサーを使用してアイコンの場所を確認すると、図 8 に示すように、C2 サーバーの 1 つでリモートでホストされているアイコンを指しており、NTLM ハッシュを盗むために使用できます。

LNK パーサー出力
図 8: LNK パーサーの出力
SappyCache 分析

WinRAR は抽出時に、SappyCache と呼ばれる未知のペイロードを「ekrnview.exe」というファイル名で Startup フォルダーにコピーします。ペイロードは、次回の Windows の起動時に実行されます。

SappyCache は、次の 3 つの方法を使用して次の段階のペイロードを取得しようとします。

1) ファイルの復号化: マルウェアは、%temp%..GuiCache.db にあるファイルを読み取ろうとします。成功すると、図 9 に示すように、RC4 を使用して復号化し、C2 URL を取得しようとします。

GuiCache.db でファイルを復号化しています
図 9: GuiCache.db でのファイルの復号化

2) リソースの復号化: 前の方法を使用して C2 URL を取得できなかった場合、マルウェアは、図 10 に示すように、暗号化された C2 URL をリソース セクションから取得しようとします。 RC4 を使用した C2 URL。

リソースの復号化
図 10: リソースの復号化

3) C2 からの取得: 上記の 2 つの方法を使用して C2 URL を取得できなかった場合、マルウェアは、インジケーターに示されている 4 つの異なるハードコードされた URL からペイロードを取得しようとします。マルウェアは、次の情報を使用して HTTP 要求を作成します。

  • GetComputerNameA 関数を使用して HTTP パラメーター「name」として取得したコンピューター名 (図 11)。
GetComputerNameA を使用してコンピューター名を取得する
図 11: GetComputerNameA を使用したコンピューター名の取得
  • Windows オペレーティング システム名。レジストリ キー SOFTWAREMicrosoftWindows NTCurrentVersion の ProductName 値を HTTP パラメーター「key」として照会することによって取得されます (図 12)。
ProductName 値を使用して Windows OS 名を取得する
図 12: ProductName 値を使用した Windows OS 名の取得
  • GetModuleFileNameA 関数を使用して取得したマルウェアのモジュール名を、HTTP パラメーター「ページ」として取得します (図 13)。
GetModuleFileNameA を使用してマルウェア モジュール名を取得する
図 13: GetModuleFileNameA を使用してマルウェア モジュール名を取得する
  • Process32First および Module32First API を使用して HTTP パラメーター「session_data」として取得された、プロセスとそのモジュール名のリスト (図 14)。
Process32First と Module32First を使用したプロセスとモジュールの取得
図 14: Process32First と Module32First を使用したプロセスとモジュールの取得

収集された情報を使用して作成された HTTP 要求のフラグメントを図 15 に示します。

HTTP リクエスト フラグメント
図 15: HTTP リクエストのフラグメント

前述の方法のいずれかが成功すると、マルウェアは復号化されたペイロードを実行しようとします。分析中、C2 サーバーは次のレベルのペイロードで応答しませんでした。

指標

ファイル名/種類

ハッシュ/URL

SysAid-Documentation.rar

062801f6fdbda4dd67b77834c62e82a4

SysAid-Documentation.rar

49419d84076b13e96540fdd911f1c2f0

ekrnview.exe

96986B18A8470F4020EA78DF0B3DB7D4

Thumbs.db.lnk

31718d7b9b3261688688bdc4e026db99

URL1

www.alahbabgroup[.]com/bakala/verify.php

URL2

103.225.168[.]159/admin/verify.php

URL3

www.khuyay[.]org/odin_backup/public/loggoff.php

URL4

47.91.56[.]21/verify.php

Eメール

8c93e024fc194f520e4e72e761c0942d

キャンペーン 3: Empire バックドアによるウクライナへの攻撃の可能性

感染ベクター

zakon.rar という名前の ACE ファイルは、インジケーターに記載されている悪意のある URL を使用して拡散されます。 360 Threat Intelligence Center もこのキャンペーンに遭遇しました。

おとり文書

ACE ファイルには、ウクライナの元大統領であるヴィクトル ヤヌコビッチからのメッセージであると称する、官民パートナーシップに関するウクライナの法律に関するメッセージが含まれている、Ukuline.pdf という名前のファイルが含まれています (図 16 および図 17)。

ウクライナ.pdfおとりファイル
図 16:Ukraine.pdf おとりファイル
おとりファイルの内容
図 17: おとりファイルの内容

おとり PDF の名前、おとり PDF コンテンツ、および VirusTotal アップローダに基づいて、これはウクライナの個人に対する攻撃であると考えられます。

エンパイア バックドア

ファイルの内容が抽出されると、WinRAR は mssconf.bat という名前の .bat ファイルを Startup フォルダーにドロップします。バッチ ファイルには、base64 でエンコードされた PowerShell コマンドを呼び出すコマンドが含まれています。デコード後、呼び出された PowerShell コマンドは、図 18 に示すように、Empire バックドアであることがわかりました。分析時には、追加のペイロードは観察されませんでした。

帝国の裏口
図 18: Empire バックドア
指標

ファイル名/URL

ハッシュ/URL

zakon.rar

9b19753369b6ed1187159b95fc8a81cd

mssconf.bat

79B53B4555C1FB39BA3C7B8CE9A4287E

C2

31.148.220[.]53

URL

http://tiny-share[.]com/direct/7dae2d144dae4447a152bef586520ef8

キャンペーン 4: おとりとしての資格情報とクレジット カードのダンプ

おとり文書

このキャンペーンでは、クレデンシャル ダンプと盗まれた可能性のあるクレジット カード ダンプをおとりドキュメントとして使用して、さまざまな種類の RAT とパスワード スティーラーを配布します。

1 つのファイル「leaks copy.rar」は、盗んだ電子メール ID とパスワードを含むテキスト ファイルをおとりとして使用していました。これらのファイルは、図 19 の WinRAR で表示されるように表示されます。

盗まれた電子メール資格情報をおとりとして含むテキスト ファイル
図 19: 盗まれた電子メール資格情報をおとりとして含むテキスト ファイル

別のファイル「cc.rar」は、盗まれたクレジット カードの詳細を含むテキスト ファイルをおとりとして使用していました。 WinRAR で表示されるファイルと、おとりファイルのサンプル コンテンツを図 20 に示します。

盗まれたクレジット カードの詳細をおとりとして含むテキスト ファイル
図 20: 盗まれたクレジット カードの詳細をおとりとして含むテキスト ファイル
ペイロード

このキャンペーンでは、さまざまなマルウェア ファミリのペイロードが使用されていました。草案を簡潔にするために、それらすべての分析は含めませんでした。ペイロードの 1 つをハッシュ 1BA398B0A14328B9604EEB5EBF139B40 で逆コンパイルすると、キーロギング機能が示されます (図 21)。後で、このサンプルが QuasarRAT であることを特定しました。

キーロギング機能
図 21: キーロギング機能

すべての .NET ベースのペイロードを逆コンパイルすると、コードの多くが中国語で記述されていることがわかります。中国語のテキストを含むハッシュ BCC49643833A4D8545ED4145FB6FDFD2 を持つマルウェアの逆コンパイルを図 22 に示します。後で、このサンプルを Buzy と特定しました。

中国語で書かれたコード
図 22: 中国語で書かれたコード

他のペイロードも、同様のキーロギング、パスワード盗用、および標準の RAT 機能を備えています。 VirusTotal の提出物は、このキャンペーンでさまざまなマルウェア ファミリが使用されていることと、幅広い標的を設定していることを示しています。

ACE ファイルのハッシュ

ファイル名

ハッシュ

copy.rar のリーク

e9815dfb90776ab449539a2be7c16de5

cc.rar

9b81b3174c9b699f594d725cf89ffaa4

zabugor.rar

914ac7ecf2557d5836f26a151c1b9b62

zabugorV.rar

eca09fe8dcbc9d1c097277f2b3ef1081

Combolist.rar

1f5fa51ac9517d70f136e187d45f69de

Nulled2019.rar

f36404fb24a640b40e2d43c72c18e66b

IT.rar

0f56b04a4e9a0df94c7f89c1bccf830c

ペイロードのハッシュ

ファイル名

ハッシュ

マルウェアファミリー

エクスプローラー.exe

1BA398B0A14328B9604EEB5EBF139B40

QuasarRAT

エクスプローラー.exe

AAC00312A961E81C4AF4664C49B4A2B2

アゾラルト

IntelAudio.exe

2961C52F04B7FDF7CCF6C01AC259D767

ネットワイヤー

Discord.exe

97D74671D0489071BAA21F38F456EB74

レイジー

Discord.exe

BCC49643833A4D8545ED4145FB6FDFD2

忙しい

古い.exe

119A0FD733BC1A013B0D4399112B8626

アゾラルト

ファイアアイ検出

攻撃のインジケーターの FireEye 検出名:

FireEye エンドポイント セキュリティ

IOC: WINRAR (エクスプロイト)

MG: Generic.mg

AV:

  • Exploit.ACE-PathTraversal.Gen
  • Exploit.Agent.UZ
  • Exploit.Agent.VA
  • Gen:Heur.BZC.ONG.Boxter.91.1305E319
  • Gen:Variant.Buzy.2604
  • Gen:Variant.Razy.472302
  • Generic.MSIL.PasswordStealerA.5CBD94BB
  • Trojan.Agent.DPAS
  • Trojan.GenericKD.31783690
  • Trojan.GenericKD.31804183

FireEye ネットワーク セキュリティ

  • FE_エクスプロイト_ACE_CVE201820250_2
  • FE_エクスプロイト_ACE_CVE201820250_1
  • バックドア.EMPIRE
  • Downloader.EMPIRE
  • Trojan.Win.Azorult
  • トロイの木馬.Netwire

ファイア・アイの電子メール・セキュリティ

  • FE_エクスプロイト_ACE_CVE201820250_2
  • FE_エクスプロイト_ACE_CVE201820250_1
  • FE_Backdoor_QUASARRAT_A
  • FE_Backdoor_EMPIRE

結論

さまざまな脅威アクターが、カスタマイズされたおとりとペイロードを使用して、また電子メールや URL などのさまざまな伝播手法を使用して、最近公開された WinRAR の脆弱性をどのように悪用しているかを確認しました。巨大な WinRAR 顧客ベース、自動更新機能の欠如、およびこの脆弱性の悪用の容易さにより、今後数日間でより多くの攻撃者がこれを使用すると考えられます。

従来の AV ソリューションでは、未知のマルウェア ファミリを事前にゼロデイ検出するのは困難です。 FireEye Endpoint Security のコンポーネントである FireEye MalwareGuardは、機械学習を使用して、このブログ投稿で言及されているすべての PE 実行可能ファイルを検出してブロックします。また、この脆弱性により、WinRAR が十分な権限を持っている場合、悪意のある ACE ファイルがペイロードを任意のパスに書き込むことができることにも注意してください。コード実行を実現するための別のファイル パスを考え出すことで、スタートアップ フォルダーへの WinRAR 書き込みを探す動作ベースのルールをバイパスできます。企業は、脆弱な WinRAR バージョンをブロックし、WinRAR を最新バージョンに更新することを義務付けることを検討する必要があります。

FireEye Endpoint Security、FireEye Network Security、および FireEye Email Security は、攻撃チェーンのいくつかの段階でこれらのキャンペーンを検出してブロックします。

了承

このブログ投稿に関する貴重なフィードバックを提供してくれた Jacob Thompson、Jonathan Leathery、および John Miller に特に感謝します。

参照: https://www.mandiant.com/resources/blog/winrar-zero-day-abused-multiple-campaigns

Comments

タイトルとURLをコピーしました