Mandiant Managed Defenseでは、お客様を脅威から守る一方で、正当なツールや製品に対する信頼を悪用して攻撃を実行する新しい脅威を引き続き確認しています。これらの攻撃は、セキュリティ防御をすり抜け、ネットワーク内で検出されないようにするのに効果的です。
当社のマネージド ディフェンス最前線チームは、プロアクティブな脅威ハンティングを通じて、検索エンジン最適化 (SEO) ポイズニングを使用して、被害者が最初の侵害のためにBATLOADERマルウェアをダウンロードするよう誘導するキャンペーンを発見しました。また、Microsoft HTML アプリケーション (HTA) ファイルを実行するように設計された Windows ネイティブのユーティリティである mshta.exe を使用した巧妙な防御回避手法も確認しました。
SEO ポイズニングは、攻撃者がキーワードを詰め込んだ悪意のある Web サイトを作成し、検索エンジンの最適化手法を使用して検索結果に目立つように表示させる攻撃方法です。
感染連鎖
脅威アクターは、「無料の生産性アプリのインストール」または「無料のソフトウェア開発ツールのインストール」のテーマを SEO キーワードとして使用して、被害者を侵害された Web サイトに誘導し、悪意のあるインストーラーをダウンロードしました。インストーラーには、 BATLOADERマルウェアにバンドルされた正規のソフトウェアが含まれています。 BATLOADERマルウェアは、ソフトウェアのインストール プロセス中に投下され、実行されます。
この最初のBATLOADER侵害は、攻撃者に標的組織内の足場を提供する多段階の感染チェーンの始まりでした。すべての段階は、攻撃チェーンの次の段階に向けて準備されました。また、PowerShell、Msiexec.exe、Mshta.exe などの正当なツールにより、悪意のあるペイロードのプロキシ実行が可能になり、検出を回避できます。
CVE-2020-1599 パッチバイパス
攻撃チェーンで見つかった注目すべきサンプルの 1 つは、「AppResolver.dll」という名前のファイルです。この DLL サンプルは、Microsoft が開発した Microsoft Windows オペレーティング システムの内部コンポーネントですが、コード署名が有効なままになるように悪意のある VBScript が内部に埋め込まれています。 DLL サンプルは、単独で実行した場合、VBScript を実行しません。しかし、Mshta.exe と一緒に実行すると、Mshta.exe は問題なく VBScript を見つけて実行します。
この問題はCVE-2020-1599に最もよく似ており、任意のソフトウェア開発者によって署名された HTA 対応スクリプトを追加した後も、PE Authenticode 署名は有効のままです。これらの PE+HTA ポリグロット (.hta ファイル) は、Mshta.exe を介して悪用され、ファイルが信頼できるかどうかを判断するために Microsoft Windows コード署名に依存するセキュリティ ソリューションをバイパスできます。この問題は、CVE-2020-1599 としてパッチが適用されました。
今回のケースでは、合法的に署名された Windows PE ファイルの ASN.1 の末尾を超えた署名セクションに、任意のスクリプト データが追加されていることがわかりました。結果の polyglot ファイルは、ファイルの拡張子が ‘.hta’ 以外である限り、有効な署名を保持します。 Mshta.exe は PE のバイトをスキップし、最後にスクリプトを見つけて実行するため、このポリグロット ファイルを Mshta.exe で実行すると、スクリプトの内容が正常に実行されます。この回避手法は、ホスト設定を変更してペイロードを起動するために、攻撃チェーン中に数回使用されました。
後の段階では、 Gpg4win ユーティリティ、 NSUDOユーティリティ、 ATERA、SplashTop などのグッドウェアが、このキャンペーンの攻撃チェーンの一部としてインストールされていることがわかります。これらは、リモート アクセス、権限昇格、ペイロードの起動、暗号化、永続性をサポートするためのものです。また、 BEACONやURSNIFなどのマルウェアが展開され、バックドアや資格情報を盗む機能を提供していました。
代替感染チェーン
あるいは、攻撃者が最初の侵害として ATERA を直接展開する可能性があります。同様に、SEO ポイズニングによって、被害者は ATERA Agent インストール パッケージをダウンロードするように誘導されました。インストーラーは「無料の正当なソフトウェア」を装い、犠牲者をおびき寄せてホストにインストールさせ、最初の侵害を行います。
ATERAは遠隔監視管理ソフトウェアです。 IT 自動化、ホスト、およびネットワーク検出機能を提供します。 SplashTop は ATERA に統合できるソフトウェアで、ホストへのリモート アクセスを提供します。感染経路は次のとおりです。
- ユーザーが Google 検索を実行し、侵害された Web サイトで攻撃者が作成したページへのリンクをクリックします (図 1)。
- 良性のブログ投稿 (図 2) は、トラフィック ディレクション システム (TDS) を悪用して、ダウンロード リンクを投稿したメッセージ ボードになりすました Web ページにユーザーを誘導するかどうかを決定します (図 3)。
- ダウンロード リンクは、検索用語にちなんで名付けられた ATERA エージェント インストーラー パッケージを提供します。 (図 4 および図 5)。
- 「Microsoft Community Visual Studio 2015 Free.msi」を装った ATERA Agent のインストール例 (図 6)。
- ATERA エージェントのインストールが成功すると、Splashtop が C:WindowsTemp ディレクトリにダウンロードされ、永続性を維持するために被害者のホストにインストールされます (図 7 および図 8)。
- ATERA エージェントのインストールが成功すると、ATERA リモート監視および管理機能によって、事前に構成されたスクリプト、Splashtop Streamer などのツールがプッシュダウンされ、被害者のホストにインストールされ、リアルタイムかつ自動化された方法で実行されます。
- Splashtop Streamer のインストールが成功すると、ATERA Agent は自身を削除します。 Splashtop Streamer のデフォルト設定は、被害者のホストに接続して永続性を維持するためのセキュリティ認証なしでバックグラウンドで実行される AutoStart に設定されています。
- スクリプトも ATERA Agent によってプッシュダウンされ、Microsoft Windows Defender の機能を無効にしたり、プロセスとファイルの除外を追加したりするなどの悪意のあるタスクを実行しました (図 9 および図 10)。
帰属
2021 年 8 月、不満を抱いた CONTI のアフィリエイトが、CONTI ランサムウェアの操作を支援するために使用されるトレーニング ドキュメント、プレイブック、およびツールを漏らしました。 Mandiant は、上記のアクティビティの一部が 8 月に公開されたプレイブックの手法と重複していると判断しました。
現時点では、この情報が公開されているため、他の無関係なアクターが独自の動機と目的でこの手法を複製している可能性があります。これらの被害者は、幅広い業界で活動しているようです。脅威グループの動機は現在のところ不明ですが、ランサムウェア活動につながる一見業界にとらわれないことに基づいて、このグループが金銭的な動機を持っていると思われます。
マネージド ディフェンス 脅威ハンティング
Managed Defenseの経験豊富な防御者は、世界で最も重大なサイバー攻撃の最前線で得られた Mandiant のグローバルなサイバー脅威インテリジェンスとインシデント対応の経験から常に刺激を受けています。 Managed Defense の脅威ハンティング チームは、最新の脅威インテリジェンスを活用して、最もステルスな脅威アクターを明らかにするためのハント ミッションを設計および実施します。 Mandiant の脅威ハンティングは、強力なデータ分析、自動化、エリート エキスパートを直感と最前線の経験と組み合わせます。マネージド ディフェンス ポータルでハンターの活動をフォローできます。各ミッションは MITRE ATT&CK フレームワークにマッピングされ、関連するインテリジェンスが含まれているため、環境全体で決定的な行動を取ることができます。
テクニカル指標と警告
MD5
1440caafb45e52b0b315c7467fcde11f
2077d8a65c8b08d64123c4ba3f03cbdd
2141919f65ab3ff4eab25e5032e25598
229152f0b00d55796780b00c233bf641
29bc15a6f0ff99084e986c3e6ab1208c
2b16a731a2e4dedfa3db0bf3068614bc
32885d012fa3b50199d7cde9735bcb8a
32cd02c4cd8938645a744b915056d133
3393bd9d04be1ff4e537464e1b79d078
3abbec0420aaf7a9960d9eabc08006d5
3e06c87faede153d4dab5ef1066fe0d7
3ed96f460438e7fddaa48e96c65cb44c
428166c513ed98c72e35fe127a9b5be6
48942b45679b3646000ac2fb6a99e0ed
5376112bebb371cdbe6b2a996fb6dae6
5cae01aea8ed390ce9bec17b6c1237e4
5cae01aea8ed390ce9bec17b6c1237e4
60db9dff2e50e00e937661d2a6950562
67a4f35cae2896e3922f6f4ab5966e2b
67a4f35cae2896e3922f6f4ab5966e2b
6ad4e37221adf3861bfa99a1c1d5faaa
6cd13e6429148e7f076b479664084488
7127cbc56e42fc59a09fd9006dd09daa
7575ecc5ac5ac568054eb36a5c8656c4
849b46e14df68dd687e71c7df8223082
8eb5f0bbd73b5ca32e60deb34e435320
9ed2084c6c01935dc5bb2508357be5a6
9f03ad59cb06b40e6187ef6d22d3b76b
a046e40693a33a1db2aec6d171d352ce
a0b793ff07493951ed392cdc641d3d62
a45c0a83ce2ea52d8edf915b1e169b8f
b4a8b58857649fad1cf8f247a0496c95
b850920c95b694f63aa47fc991396457
b9c9da113335874d0341f0ac1f5e225d
bd20223cb57c55559db81f17ef616070
c02916697ed71e5868d8ea456a4a1871
c08de039a30c3d3e1b1d18a9d353f44c
c12452167e810cde373d7a59d3302370
c9be3451e713382ecf0f7da656cef657
cb1fcc1c0c35cd4e0515b8bf02ba3303
d14b4a96edf70c74afe3d99101daaff8
e33847174fbd2b09abc418c1338fceec
e5decd05056634eace35396a22148bf1
e66ba648666c823433c473e6cfc2e4fc
e6c2dd8956074363e7d6708fb8063001
e6c2dd8956074363e7d6708fb8063001
f535505f337708fbb41cdd0830c6a2d4
ネットワーク インジケータ
c mdadminu[.]com
zoomvideo-s[.]com
クラウドファイルテクノロジー[.]com
commandaadmin[.]com
cloud222[.]com
websekir[.]com
team-viewer[.]サイト
zoomvideo[.]サイト
sweepcakesoffers[.]com
pornofilmspremium[.]com
kdsjdsadas[.]オンライン
bartmaaz[.]com
firsone1[.]オンライン
178.21.11[.]77
193.124.18[.]128
子供
ルール M_Hunting_Downloader_BATLOADER_1 { メタ: 著者=「マンディアント」 date_created = “2021-10-28” date_modified = “2021-10-28” バージョン = “1.0” description = “BATLOADER サンプルの文字列を検出” md5 = “6cd13e6429148e7f076b479664084488”
文字列: $s1 = “launch.bat” ascii $s2 = “バッチ ファイルへの書き込みエラー:” ascii $s3 = “cmd.exe” ascii $s4 = “/C” ascii $s5 = “無効な電子メールを入力しました。Web サイトに登録されている電子メールを入力してください。”アスキー
調子: uint16(0) == 0x5A4D およびファイルサイズ > 4KB およびファイルサイズ < 5MB およびそれらすべて } |
MITRE ATT&CK マッピング
ATT&CK戦術カテゴリ |
テクニック |
偵察 |
開いている Web サイト/ドメインの検索 (T1593.002)
|
資源開発 |
インフラストラクチャの侵害 (T1584) ステージ機能 (T1608)
開発能力 (T1587)
|
初期アクセス |
サプライ チェーン侵害 (T1195) |
実行 |
ユーザー実行 (T1204)
コマンドおよびスクリプト インタープリター (T1059)
|
持続性 |
ブートまたはログオンの自動開始の実行 (T1547)
|
権限昇格 |
外部リモート サービス (T1133) |
防御回避 |
マスカレード (T1036) 難読化されたファイルまたは情報 (T1027) ホストでのインジケータの削除 (T1070)
署名付きバイナリ プロキシの実行 (T1218)
防御力の低下 (T1562)
|
資格情報へのアクセス |
ケルベロス チケットを盗むか偽造する: ケルベロスティング (T1558) |
発見 |
システム情報検出 (T1082) システム ネットワーク構成の検出 (T1016) |
コマンドと制御 |
リモート アクセス ソフトウェア (T1219) |
謝辞
ハンティング ミッションの IOC を作成した Alip Asri 氏に感謝します。また、Ana Maria Martinez Gomez、Tufail Ahmed、Stephen Eckels、Dhanesh Kizhakkinan、Jacob Thompson は、このトピックについて支援してくれました。
参照: https://www.mandiant.com/resources/blog/what-poisoning-batloader-calls
Comments