今週1週間で見かけたマルウェアなどの解析記事(6件)。
標的型攻撃の新たな手口判明。診断ツール「PoshC2」を悪用する攻撃の流れを解説
ペネトレーションテストツール「PoshC2」を悪用した標的型攻撃
CVE-2019-9489およびDLLハイジャックの悪用
→ CVE-2019-9489の脆弱性を悪用し、管理者権限を持つ認証トークンファイルを作成
→ 管理者権限でアクセス。
→ パターンファイル配信を偽のアップデートサーバへ設定
→ 不正な「dbghelp.dll」ファイルを含む偽のパターンファイルを配信
→ DLLファイルに含まれたいくつかの攻撃コード実行される
MSBuildの悪用
→ PoshC2 が MSBuildで利用可能なXMLファイル を生成
→ メモリ上で実行され、「MSBuild.exe」プロセスにインジェクション
→ 「PowerShellRunner」をカスタマイズしたものであり、PowerShellの機能を持つ
背後に潜む攻撃者グループの候補として以下が挙げられる
Taioor, BlackTech
- CVE-2019-9489 (ウィルスバスター Corp.)
- DLL サイドローディング
- MSBuild
- .NET Framework (C#)
- PowerShellRunner (https://github.com/EmpireProject/PSInject/tree/master/PowerShellRunner)
- PoshC2 (https://github.com/nettitude/PoshC2)
New Android Banking Trojan Targets Spanish, Portuguese Speaking Users
スペイン語またはポルトガル語ユーザを標的とした Android バンキングマルウェア Banker.BR
野良 apk をインストールすることにより感染する
オンラインバンキング認証情報、SMS で受信した認証コードを盗む
複数の悪意のあるアクセス権限の付与を要求する
耐解析機能は実装されていない
Exposed Redis Instances Abused for Remote Code Execution, Cryptocurrency Mining
最近見つかった安全でない Redis インスタンスを悪用してリモートコード実行(RCE)を実行する方法についての説明
Redis インスタンスを暗号通貨マイニングボットに変える
ワームのような拡散機能を介して他の脆弱なインスタンスに感染する
configコマンドの悪用
不正なcronを利用させる
slaveof機能の悪用
悪意のある Redis インスタンスが saveof コマンドを送信するマスタサーバになる
(https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf)
観測されたサンプルの解析
→ シェルスクリプトを実行し競合するプロセスを殺す
→ マルウェアを /etc にダウンロードしてインストール
→ crontab に追加(永続化)
→ authorized_keys に SSH キー書き込み
→ iptables 変更 (3333, 5555, 7777, 9999 をブロック)
→ .bash_history の削除 (証拠隠滅)
→ .ssh/known_hosts を元に既知のホストへ接続を試みる
→ 影響を受けるホストで感染動作(is.sh, rs.sh)
→ is.sh, rs.sh の解析
(参考)コンテナ環境を対象としたマルウェア「Kinsing」が増加中
https://www.creationline.com/lab/34036
Deconstructing an Evasive Formbook Campaign Leveraging COVID-19 Themes
バイオメディカル企業の、財務リソース、データ、または知的財産を狙う COVID-19 をテーマとしたスパムメール
IoC を検索したところフォーラムの書き込みを発見
ターゲットを絞った標的型攻撃メールであった可能性がある
最終ペイロードは、情報窃取マルウェア Formbook
dnSpy によるデコンパイル
→ 起動時の処理に悪意のあるコードが挿入されている
→ 画像オブジェクトのステガノをデコード
→ 別の .NET 実行可能ファイルをドロップし実行
→ (復号されたものをメモリダンプで取得)
→ 耐解析機能
→ タスクスケジューラによる永続化
- .NET Framework (C#)
- Steganography
Following ESET's discovery, a Monero mining botnet is disrupted
これまでに言及されたことのないボットネット VictoryGate
中南米のデバイス、特にペルーで構成されている(世界全体で少なくとも35,000デバイス)
ボットネットの主な活動は Monero マイニング
ボットマスターがコマンドを発行して、新たなモジュールをダウンロード/実行する可能性がある
USBデバイスのファイル(拡張子偽装)を実行
→ AutoItスクリプト(VictoryGateによってオンザフライでコンパイル)
→ 永続化
→ 巨大な配列(検知回避)のデコード
→ AutoItエージェントのプロセスインジェクション
→ C2 サーバとの通信
→ XMRig 暗号通貨マイナをプロセスインジェクション
(参考)Autoit3 decompiler – Exe2Aut (.EXE bestanden)
http://domoticx.com/autoit3-decompiler-exe2aut/
- AutoIt
- .NET Framework (C#)
- Process Injection
- XMRig 暗号通貨マイナ
Gorgon-uses-COVID-19-outbreak-to launch-cyber-attacks-on-Canada-and-other-regions
南アジアの国を起源とする APT 組織 Gorgon
最新のペイロードが Gitlab でホストされている
テンプレートインジェクション
→ RTFドキュメントを実行
→ 埋め込み Excel オブジェクト
→ PowerShell を実行するローダー(exe)をダウンロード
→ GitLab からモジュールをダウンロード
→ AZORult, Cryptojacking Trojan, Lokibot
SHA256 : 4cfb7b9d9968692ead699a4d631ccb7d4455f808a84ce0678b2fff7378686e76
※ ハッシュが載っていなかったのでファイル名から VT で検索しました。
- docx Template Injection
- OLE
- VBA
- PowerShell