世界中で5 億人以上のユーザーが使用している 20 年以上前のファイル アーカイブ ユーティリティである WinRAR は、最近、そのコードベースに長期にわたる脆弱性があることを認めました。 Check Point Researchによって CVE-2018-20250 で公開された、最近公開されたパス トラバーサルのゼロデイ脆弱性により、攻撃者はユーザー入力に関係なく、「ACE」形式のファイルのファイル抽出中に任意の宛先を指定できます。攻撃者は、Windows の「スタートアップ」スタート メニュー フォルダなどの機密性の高い場所にファイルを抽出する悪意のあるアーカイブを作成することで、持続性とコード実行を簡単に達成できます。この脆弱性は WinRAR の最新バージョン (5.70) で修正されていますが、WinRAR 自体には自動更新機能が含まれていないため、多くの既存のユーザーが古いバージョンを実行したままになる可能性が高くなります。
FireEye は、 360 Threat Intelligence Centerですでに説明されているキャンペーンに加えて、この脆弱性を利用する複数のキャンペーンを確認しています。以下では、これまでに見たことのないものや、PowerShell Empire などの市販のツールを使用したものなど、さまざまなペイロードを備えたカスタマイズされた興味深いおとりドキュメントを使用したいくつかのキャンペーンを見ていきます。
キャンペーン 1: 教育認定評議会になりすます
感染ベクター
ACE ファイル Scan_Letter_of_Approval.rar が脆弱な WinRAR バージョン 5.70 より前のバージョンで抽出されると、ユーザーの同意なしに Windows スタートアップ フォルダーに winSrvHost.vbs という名前のファイルが作成されます。 VBScript ファイルは、次回の Windows の起動時に実行されます。
おとり文書
ユーザーの疑いを避けるために、ACE ファイルには、おとり文書「Letter of Approval.pdf」が含まれています。これは、図 1 に示すように、ソーシャル ワーク教育評議会である CSWE からのものであると称しています。これは、 CSWE Web サイトからコピーされたようです。
VBS バックドア
Startup フォルダー内の VBS ファイルは、Windows の起動時に wscript.exe によって実行されます。 VBS コードはまず、ComputerName、Processor_identifier、および Username の組み合わせに基づくカスタム ロジックを使用して、被害者の ID を取得します。図 2 に示すように、環境文字列からこれらを取得します。
興味深いことに、バックドアは、図 3 のコードを使用した Authorization HTTP ヘッダーの値を使用して、コマンド アンド コントロール (C2) サーバーと通信します。
VBS バックドアは、最初に図 4 のコードを使用して、被害者 ID と ComputerName を含む base64 でエンコードされたデータを送信します。
次に、C2 サーバーからの HTTP 応答の Authorization ヘッダーにある base64 でエンコードされたデータを抽出し、デコードします。デコードされたデータは、C2 サーバーからの命令コードで始まり、その後に追加のパラメーターが続きます。
C2通信
マルウェアは、HTTP リクエストを介して 185[.]162.131.92 の C2 サーバーに到達します。実際の通信は、図 5 に示すように、Authorization フィールドを介して行われます。
Authorization フィールドの値をデコードすると、マルウェアが被害者 ID とコンピュータ名を C2 サーバーに送信していることがわかります。図 6 に示すように、C2 サーバーは、Authorization HTTP ヘッダーの値に含まれるコマンドで応答します。
デコードすると、コマンドは「ok ok」であることがわかります。これは、デフォルトの C2 コマンドであると考えられます。いくつかの C2 通信の後、C2 サーバーは、Netwire RAT である hxxp://185.49.71[.]101/i/pwi_crs.exe からペイロードをダウンロードする命令で応答しました。
VBS バックドアでサポートされているコマンド
指示 |
説明 |
d |
VBS ファイルを削除してプロセスを終了する |
広報 |
URLからファイルをダウンロードして実行 |
ふぅ |
ハードウェア情報を取得する |
平均 |
定義済みのリストからインストールされているウイルス対策を探します。 |
指標
ファイル名 |
ハッシュ/IP アドレス |
Scan_Letter_of_Approval.rar |
8e067e4cda99299b0bf2481cc1fd8e12 |
winSrvHost.vbs |
3aabc9767d02c75ef44df6305bc6a41f |
承認書.pdf |
dc63d5affde0db95128dac52f9d19578 |
pwi_crs.exe |
12def981952667740eb06ee91168e643 |
C2 |
185[.]162.131.92 |
ネットワイヤ C2 |
89[.]34.111.113 |
キャンペーン 2: イスラエルの軍事産業への攻撃
感染ベクター
VirusTotal にアップロードされた電子メールによると、攻撃者は SysAid-Documentation.rar という名前の ACE ファイルを添付したなりすましメールを被害者に送信したようです。 VirusTotal アップローダと電子メール ヘッダーに基づいて、これはイスラエルの軍事会社に対する攻撃であると考えられます。
おとりファイル
ACE ファイルには、イスラエルに拠点を置くヘルプ デスク サービスである SysAid のドキュメントに関連するおとりファイルが含まれています。これらのファイルは、図 7 の WinRAR で表示されるように表示されます。
Thumbs.db.lnk
この LNK ファイルのターゲットは「C:UsersjohnDesktop0m.bat」です。しかし、LNK パーサーを使用してアイコンの場所を確認すると、図 8 に示すように、C2 サーバーの 1 つでリモートでホストされているアイコンを指しており、NTLM ハッシュを盗むために使用できます。
SappyCache 分析
WinRAR は抽出時に、SappyCache と呼ばれる未知のペイロードを「ekrnview.exe」というファイル名で Startup フォルダーにコピーします。ペイロードは、次回の Windows の起動時に実行されます。
SappyCache は、次の 3 つの方法を使用して次の段階のペイロードを取得しようとします。
1) ファイルの復号化: マルウェアは、%temp%..GuiCache.db にあるファイルを読み取ろうとします。成功すると、図 9 に示すように、RC4 を使用して復号化し、C2 URL を取得しようとします。
2) リソースの復号化: 前の方法を使用して C2 URL を取得できなかった場合、マルウェアは、図 10 に示すように、暗号化された C2 URL をリソース セクションから取得しようとします。 RC4 を使用した C2 URL。
3) C2 からの取得: 上記の 2 つの方法を使用して C2 URL を取得できなかった場合、マルウェアは、インジケーターに示されている 4 つの異なるハードコードされた URL からペイロードを取得しようとします。マルウェアは、次の情報を使用して HTTP 要求を作成します。
- GetComputerNameA 関数を使用して HTTP パラメーター「name」として取得したコンピューター名 (図 11)。
- Windows オペレーティング システム名。レジストリ キー SOFTWAREMicrosoftWindows NTCurrentVersion の ProductName 値を HTTP パラメーター「key」として照会することによって取得されます (図 12)。
- GetModuleFileNameA 関数を使用して取得したマルウェアのモジュール名を、HTTP パラメーター「ページ」として取得します (図 13)。
- Process32First および Module32First API を使用して HTTP パラメーター「session_data」として取得された、プロセスとそのモジュール名のリスト (図 14)。
収集された情報を使用して作成された HTTP 要求のフラグメントを図 15 に示します。
前述の方法のいずれかが成功すると、マルウェアは復号化されたペイロードを実行しようとします。分析中、C2 サーバーは次のレベルのペイロードで応答しませんでした。
指標
ファイル名/種類 |
ハッシュ/URL |
SysAid-Documentation.rar |
062801f6fdbda4dd67b77834c62e82a4 |
SysAid-Documentation.rar |
49419d84076b13e96540fdd911f1c2f0 |
ekrnview.exe |
96986B18A8470F4020EA78DF0B3DB7D4 |
Thumbs.db.lnk |
31718d7b9b3261688688bdc4e026db99 |
URL1 |
www.alahbabgroup[.]com/bakala/verify.php |
URL2 |
103.225.168[.]159/admin/verify.php |
URL3 |
www.khuyay[.]org/odin_backup/public/loggoff.php |
URL4 |
47.91.56[.]21/verify.php |
Eメール |
8c93e024fc194f520e4e72e761c0942d |
キャンペーン 3: Empire バックドアによるウクライナへの攻撃の可能性
感染ベクター
zakon.rar という名前の ACE ファイルは、インジケーターに記載されている悪意のある URL を使用して拡散されます。 360 Threat Intelligence Center もこのキャンペーンに遭遇しました。
おとり文書
ACE ファイルには、ウクライナの元大統領であるヴィクトル ヤヌコビッチからのメッセージであると称する、官民パートナーシップに関するウクライナの法律に関するメッセージが含まれている、Ukuline.pdf という名前のファイルが含まれています (図 16 および図 17)。
おとり PDF の名前、おとり PDF コンテンツ、および VirusTotal アップローダに基づいて、これはウクライナの個人に対する攻撃であると考えられます。
エンパイア バックドア
ファイルの内容が抽出されると、WinRAR は mssconf.bat という名前の .bat ファイルを Startup フォルダーにドロップします。バッチ ファイルには、base64 でエンコードされた PowerShell コマンドを呼び出すコマンドが含まれています。デコード後、呼び出された PowerShell コマンドは、図 18 に示すように、Empire バックドアであることがわかりました。分析時には、追加のペイロードは観察されませんでした。
指標
ファイル名/URL |
ハッシュ/URL |
zakon.rar |
9b19753369b6ed1187159b95fc8a81cd |
mssconf.bat |
79B53B4555C1FB39BA3C7B8CE9A4287E |
C2 |
31.148.220[.]53 |
URL |
http://tiny-share[.]com/direct/7dae2d144dae4447a152bef586520ef8 |
キャンペーン 4: おとりとしての資格情報とクレジット カードのダンプ
おとり文書
このキャンペーンでは、クレデンシャル ダンプと盗まれた可能性のあるクレジット カード ダンプをおとりドキュメントとして使用して、さまざまな種類の RAT とパスワード スティーラーを配布します。
1 つのファイル「leaks copy.rar」は、盗んだ電子メール ID とパスワードを含むテキスト ファイルをおとりとして使用していました。これらのファイルは、図 19 の WinRAR で表示されるように表示されます。
別のファイル「cc.rar」は、盗まれたクレジット カードの詳細を含むテキスト ファイルをおとりとして使用していました。 WinRAR で表示されるファイルと、おとりファイルのサンプル コンテンツを図 20 に示します。
ペイロード
このキャンペーンでは、さまざまなマルウェア ファミリのペイロードが使用されていました。草案を簡潔にするために、それらすべての分析は含めませんでした。ペイロードの 1 つをハッシュ 1BA398B0A14328B9604EEB5EBF139B40 で逆コンパイルすると、キーロギング機能が示されます (図 21)。後で、このサンプルが QuasarRAT であることを特定しました。
すべての .NET ベースのペイロードを逆コンパイルすると、コードの多くが中国語で記述されていることがわかります。中国語のテキストを含むハッシュ BCC49643833A4D8545ED4145FB6FDFD2 を持つマルウェアの逆コンパイルを図 22 に示します。後で、このサンプルを Buzy と特定しました。
他のペイロードも、同様のキーロギング、パスワード盗用、および標準の RAT 機能を備えています。 VirusTotal の提出物は、このキャンペーンでさまざまなマルウェア ファミリが使用されていることと、幅広い標的を設定していることを示しています。
ACE ファイルのハッシュ
ファイル名 |
ハッシュ |
copy.rar のリーク |
e9815dfb90776ab449539a2be7c16de5 |
cc.rar |
9b81b3174c9b699f594d725cf89ffaa4 |
zabugor.rar |
914ac7ecf2557d5836f26a151c1b9b62 |
zabugorV.rar |
eca09fe8dcbc9d1c097277f2b3ef1081 |
Combolist.rar |
1f5fa51ac9517d70f136e187d45f69de |
Nulled2019.rar |
f36404fb24a640b40e2d43c72c18e66b |
IT.rar |
0f56b04a4e9a0df94c7f89c1bccf830c |
ペイロードのハッシュ
ファイル名 |
ハッシュ |
マルウェアファミリー |
エクスプローラー.exe |
1BA398B0A14328B9604EEB5EBF139B40 |
QuasarRAT |
エクスプローラー.exe |
AAC00312A961E81C4AF4664C49B4A2B2 |
アゾラルト |
IntelAudio.exe |
2961C52F04B7FDF7CCF6C01AC259D767 |
ネットワイヤー |
Discord.exe |
97D74671D0489071BAA21F38F456EB74 |
レイジー |
Discord.exe |
BCC49643833A4D8545ED4145FB6FDFD2 |
忙しい |
古い.exe |
119A0FD733BC1A013B0D4399112B8626 |
アゾラルト |
ファイアアイ検出
攻撃のインジケーターの FireEye 検出名:
FireEye エンドポイント セキュリティ |
IOC: WINRAR (エクスプロイト) MG: Generic.mg AV:
|
FireEye ネットワーク セキュリティ |
|
ファイア・アイの電子メール・セキュリティ |
|
結論
さまざまな脅威アクターが、カスタマイズされたおとりとペイロードを使用して、また電子メールや URL などのさまざまな伝播手法を使用して、最近公開された WinRAR の脆弱性をどのように悪用しているかを確認しました。巨大な WinRAR 顧客ベース、自動更新機能の欠如、およびこの脆弱性の悪用の容易さにより、今後数日間でより多くの攻撃者がこれを使用すると考えられます。
従来の AV ソリューションでは、未知のマルウェア ファミリを事前にゼロデイ検出するのは困難です。 FireEye Endpoint Security のコンポーネントである FireEye MalwareGuardは、機械学習を使用して、このブログ投稿で言及されているすべての PE 実行可能ファイルを検出してブロックします。また、この脆弱性により、WinRAR が十分な権限を持っている場合、悪意のある ACE ファイルがペイロードを任意のパスに書き込むことができることにも注意してください。コード実行を実現するための別のファイル パスを考え出すことで、スタートアップ フォルダーへの WinRAR 書き込みを探す動作ベースのルールをバイパスできます。企業は、脆弱な WinRAR バージョンをブロックし、WinRAR を最新バージョンに更新することを義務付けることを検討する必要があります。
FireEye Endpoint Security、FireEye Network Security、および FireEye Email Security は、攻撃チェーンのいくつかの段階でこれらのキャンペーンを検出してブロックします。
了承
このブログ投稿に関する貴重なフィードバックを提供してくれた Jacob Thompson、Jonathan Leathery、および John Miller に特に感謝します。
参照: https://www.mandiant.com/resources/blog/winrar-zero-day-abused-multiple-campaigns
Comments