イスラエルに拠点を置くセキュリティソリューションプロバイダーのMorphisecは、SYS01と呼ばれる高度な情報窃取型マルウェアが、FacebookのビジネスアカウントやChromiumベースのブラウザの認証情報へのアクセスを盗むことを狙っていると報告しました。Morphisecの研究者は、SYS01マルウェアが重要な政府インフラの職員、製造業、その他の業界を攻撃する様子も確認しています。
このマルウェア攻撃は、Bitdefender が S1deload Stealer と名付けた別の攻撃と類似していますが、最終的なペイロードは同じではなく、SYS01 Stealer 攻撃攻撃の背後に誰がいるのかという疑問が残ります。
ジャンプ先:
- SYS01感染チェーン
- SYS01 情報窃盗犯
- SYS01は特定のデータを盗む
- SYS01マルウェアの脅威から身を守る方法
SYS01感染チェーン
SYS01マルウェア攻撃は、偽のFacebookプロフィール、広告、ライブストリーミング、無料アプリケーション、映画、ゲームへのリンクなどから被害者を誘導し、URLをクリックさせることから始まります。ユーザーが誘導をクリックすると、ZIPアーカイブファイルのダウンロードが開始されます。
ZIPファイルには、ローダー部分と最終的なペイロードが含まれています。ローダー部分は、DLLサイドローディングに対して脆弱な正規アプリケーションで構成されています。被害者が正規ファイルを実行すると、正規アプリケーションと同じフォルダにあるDLLファイルに含まれる最初のペイロードがサイレントにロードされます。
Morphisecの研究者Arnold Osipov氏が指摘しているように、ローダーはRustやPythonの実行ファイルなど、あらゆる種類の実行ファイルになる可能性があります。しかし、実行時の動作は常に同じで、ZIPファイルに含まれる悪意のあるDLLファイルのコードを実行します。
悪意のある DLL は、次に Inno-Setup インストーラーを実行し、情報の盗難と抽出を行う PHP コードを解凍してドロップします (図 A )。
図A
ローダー部分では様々なシナリオが発生する可能性があります。まず、ZIPファイルに必要な第2段階のペイロードが含まれている可能性があります。ZIPファイルに含まれていない場合、第2段階のペイロードは、攻撃者が管理するC2サーバーからダウンロードされ、その後デコードされて実行される可能性があります。
SYS01 情報窃盗犯
ローダーが正常に実行されると、Inno-Setupインストーラーが実行されます。インストーラーは、PHPアプリケーションと追加ファイルをドロップします。
- Index.phpはマルウェアの主な機能を担当します。
- Include.php は、スケジュールされたタスクを介してマルウェアの永続性を確立します。これはインストーラーによって実行されるファイルです。
- Version.phpにはマルウェアのバージョンが含まれています。
- Rhc.exe は起動したプログラムのコンソール ウィンドウを非表示にし、現在ログインしているユーザーに特定のウィンドウを表示しないようにすることで、マルウェアのステルス性を高めます。
- Rss.txtは Base64 でエンコードされたファイルで、Rust で記述された実行ファイルが含まれています。この実行ファイルは現在の日時を取得し、Chromium ベースのブラウザの暗号化キーを復号します。マルウェアは、この日時を取得することで、スケジュールされたタスクでいつ永続性を確立するかを判断します。
Osipov 氏が指摘したように、古い PHP ファイルは難読化されていませんでしたが、マルウェアの新しいバージョンは、商用ツールの ionCube と Zephir を使用してエンコードされています。
マルウェアが実行されると、実行時にランダムに選択され使用されるC2サーバーのリストなど、様々な情報を含む設定配列が設定されます。また、マルウェアはファイルやコマンドをダウンロードして実行できるほか、自身を更新することも可能です。
SYS01は特定のデータを盗む
SYS01 スティーラーは、Chromium ベースのブラウザからすべての Cookie と資格情報を取得できます。
マルウェアはユーザーがFacebookアカウントを持っているかどうかを確認します。ユーザーがそのアカウントにログインしている場合、マルウェアはFacebookのグラフアプリケーションプログラミングインターフェースにクエリを送信してトークンを取得し、被害者のFacebook情報をすべて盗みます。盗まれた情報はすべてC2サーバーに送信されます。
SYS01マルウェアの脅威から身を守る方法
DLLサイドローディングは、Microsoft Windowsに実装されたDLL検索順序によって可能になります。一部の開発者は、ソフトウェアのプログラミング時にこの問題を念頭に置き、この手法に対して特に脆弱ではないコードを作成しています。
しかし、Morphisec は、ほとんどのプログラマーが開発時にセキュリティを念頭に置いていないため、企業はその手法に対する保護を強化する必要があると指摘しました。
- DLL サイドローディングを悪用する可能性のあるサードパーティ製ソフトウェアをインストールできないようにユーザーの権限を設定します。
- DLLサイドローディングの警告サインを監視します。署名された実行ファイルで使用される署名されていないDLLファイルには、疑わしいロードパスと同様に、このような警告が表示されます。
- DLLSpyやWindows Features Hunterなどのセキュリティツールを使用して、DLLサイドローディングを検出してみてください。Hijack.Libsなどのリソースも役立ちます。DLLサイドローディングに対して脆弱なアプリケーションが多数リストアップされています。
- 一般的な脆弱性による侵害を回避するために、オペレーティング システムとすべてのソフトウェアを最新の状態に保ち、パッチを適用してください。
- 従業員に、一般的なソーシャル エンジニアリングのトリックを検出し、インターネットからサードパーティのコンテンツ (特にマルウェア ローダーが含まれていることが多い海賊版ソフトウェア) をダウンロードする際のリスクを認識するようトレーニングします。
次に読む:セキュリティ意識向上とトレーニングポリシー(TechRepublic Premium)
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
