Broadcom ソフトウェア会社である Symantec の新しい出版物では、進行中の攻撃キャンペーンで Cranefly 脅威アクターがマルウェアと通信するために使用する新しい手法の詳細が明らかにされています。
GeppeiマルウェアはIISログファイルから命令を受け取る
シマンテックは、攻撃キャンペーンの複数の被害者において、これまで報告されていなかったTrojan.Geppeiというドロッパーを確認しました。このマルウェアは、Pythonコードを実行ファイルにコンパイルする既知のツールであるPyInstallerを使用します。
Geppeiマルウェアがコントローラーと通信する方法は全く新しいものです。インターネット インフォメーション サービス(IIS)のウェブサーバーのログファイルを使用します。このマルウェアは、IISログファイル内で「Wrde」、「Exco」、「Cllo」といった特定の文字列を発見すると起動します。これらの文字列は通常のIISログには存在しません。したがって、これらの文字列がIISログファイルに存在することは、Geppeiマルウェアによる攻撃の強力な指標となります。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
IISはデフォルトで404エラーをログに記録するため、攻撃者はダミーURLや存在しないURLを使用してIISログファイルにコマンドを挿入できます。「Wrde」文字列は、リクエストの復号アルゴリズムを起動します。
GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]
次のような文字列を抽出します。.ashx
w+1+C:\\inetpub\\wwwroot\\test\\backdoor.ashx
ファイルは指定された場所に保存され、起動されます。これは感染したシステムにアクセスするためのバックドアとして機能します。
Geppei マルウェアが IIS ログ ファイル内の「Exco」文字列を解析すると、パラメータとして渡された文字列が復号化されます。
GET [dummy string]Exco[passed string to exco()]Exco[dummy string]
この文字列は os.system() 関数を介してコマンドとして実行されます。文字列「Exco」はおそらく「execute command」を短縮したものでしょう。
Geppeiマルウェアを起動する最後の文字列は「Cllo」です。このマルウェアはclear()関数を呼び出して、sckspy.exeと呼ばれるハッキングツールをドロップします。このツールは、サービスコントロールマネージャーのイベントログの記録を無効にします。また、この関数はIISログファイルから、コマンドや悪意のある.ashxファイルのパスを含む可能性のあるすべての行を削除しようとします。
研究者らは、この関数はログファイルの全行を検査しないため、クリーンアップが不完全であると指摘しています。wrde() を「r」オプション付きで呼び出すと、ドロップされた悪意のある.ashxファイルは削除されます。
その他のツール
これまでのところ、シマンテックは「Wrde」機能によってインストールされたバックドアを 2 種類しか確認していません。
最初のものは「Hacktool.Regeorg」として検出されます。これは既知のマルウェアです。SOCKSプロキシを作成する機能を持つWebシェルで構成されています。研究者たちは、2つの異なるバージョンのRegeorgが使用されていることを確認しました。
2つ目は「Trojan.Danfuan」と名付けられています。これはこれまで知られていないマルウェアで、研究者によると、受信したC#コードをコンパイルして実行するDynamicCodeCompilerです。.NETの動的コンパイル技術に基づいており、ハードドライブではなくメモリ内に作成されます。このマルウェアの目的は、バックドアとして機能することです。
Geppei が使用する sckspy.exe ツールも、これまで文書化されていなかったツールです。
Cranefly とは誰ですか?
Craneflyは、Mandiantの公開情報で別のエイリアス(UNC3524)を公開しています。Mandiantは、この脅威アクターが、企業開発、合併・買収、大企業取引を担当する従業員のメールを標的としていると報じています。
Mandiantの報告書では、Regeorgツールの使用についても言及されています。このツールは公開されていますが、脅威アクターは検出を回避するために高度に難読化された、あまり知られていないバージョンのWebシェルを使用していました。このバージョンは、国家安全保障局(NSA)によっても、脅威アクターAPT28が使用していたと報告されています。この情報だけでは、攻撃者の特定には至りません。
Craneflyは、Advanced Persistent Threat(高度で持続的な脅威)の最高峰と言えるでしょう。彼らは、ロードバランサー、無線アクセスポイントコントローラー、NASアレイといったセキュリティツールなしで動作する特殊なアプライアンスにバックドアを設置することで、レーダーをすり抜ける巧妙さを示してきました。また、独自のマルウェアを使用しているようですが、これは組織化された効率的な脅威アクターのもう一つの兆候です。さらに、彼らは長期間の潜伏期間で知られており、被害者のネットワークに少なくとも18ヶ月間滞在し、検知した企業に即座に再侵入します。
この脅威を検出する方法
前述の通り、IISログファイルに「Wrde」、「Exco」、「Cllo」といった文字列が出現した場合は、Geppei感染の可能性もあるため、非常に疑わしいため調査が必要です。また、不明なIPアドレスから発信される送信トラフィックについても、注意深く確認・調査する必要があります。
Mandiantは、脅威アクターが「QUIETEXIT」と呼ばれる別のマルウェアを使用していることにも言及しています。これはオープンソースのDropbear SSHクライアントサーバーソフトウェアをベースにしています。そのため、ポート22以外のポートを経由するSSHトラフィックを探すことで、Craneflyの活動を検出するのに役立つ可能性があります。
Mandiantの報告によると、QUIETEXITは特定の文字列を検索することでホスト上で検出されることもあります。また、MandiantはQUIETEXITの検出に役立つ以下の2つのgrepコマンドも提供しています。
grep “\x48\x8b\x3c\xd3\x4c\x89\xe1\xf2\xae” -rs /
grep '\xDD\xE5\xD5\x97\x20\x53\x27\xBF\xF0\xA2\xBA\xCD\x96\x35\x9A\xAD\x1C\x75\xEB\x47' -rs /
最後に、アプライアンスの rc.local フォルダでコマンド ライン引数を調べると、Cranefly のアクティビティを検出するのに役立つ可能性があります。
grep -e ” -[Xx] -p [[:数字:]{2,6}]” -rs /etc
もちろん、初期の侵入経路が不明なため、通常の推奨事項が適用されます。一般的な脆弱性に陥らないよう、すべてのファームウェア、オペレーティングシステム、ソフトウェアは常に最新の状態にし、パッチを適用する必要があります。ホストにはセキュリティソリューションを導入し、可能な限り多要素認証を使用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
