「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。
今月のトピックは「GitHubリポジトリがNetSupportとマルウェアの展開に利用される」と「Brute Ratelの新たなサンプルがDLLサイドローディングを利用」です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
GitHubリポジトリがNetSupportとマルウェアの展開に利用される
Article.2
GitHubリポジトリがNetSupportとマルウェアの展開に利用される
誤設定が原因で、権限のないユーザーが人気リポジトリを編集可能に
GitHubを利用して被害者組織へのアクセス権限を獲得する水飲み場型攻撃を、最近CrowdStrikeの研究者が発見しました。攻撃者はGitHubリポジトリにおける誤設定(これにより、権限のないユーザーアカウントが人気リポジトリを編集できるようになる)を利用し、多数のホスト上でコード実行と初期アクセスの獲得を試みました。これらのホストは、世界各地の複数の被害者環境と思しき場所に存在します。
攻撃者は新たに作成されたGitHubアカウントを使って無害なwikiを編集し、メインのダウンロードリンクを変更することで、このwikiがマルウェアに通じるようにしました。変更されたリンクは関連するGitHubアカウントへとつながり、偽のインストーラーがダウンロードされます。このテクニックは、NetSupport(市販の合法的な遠隔操作ツール)のバイナリと実行可能ファイルを、GitHubからダウンロードされるツールに埋め込むために使われました。
また、おそらくこの脅威アクターは、少なくとも4種類のマルウェア・アズ・ア・サービス(Grind3wald、Raccoon Stealer、Zloader、Goziなど)を利用し、リポジトリごとに異なるマルウェアをアップロードしていました。
情報源(外部サイト)
アナリストのコメント
影響範囲
Github独自の、またはその他のコードセキュリティ・ソフトウェアによる保護のない状態で、Githubリポジトリからのダウンロードを行う企業と個人。
見解
被害者によってダウンロードされたツールは正規のものであり、場合によっては大規模に使用されたり推奨されたりしていたものの、脅威アクターには複数のリポジトリにおける誤設定を利用し、正式なリポジトリのwikiページのダウンロードリンクから同ツールの有害バージョンへとリダイレクトさせることが可能だった、という点に留意しておくのが重要です。
緩和戦略
Githubは、今回のようなセキュリティ上の問題に対処するため、独自のプレミアムサービスパッケージの中でセキュリティ機能を提供しています。また、Mend(旧WhiteSource)をはじめとするサードパーティーのセキュリティプロバイダーも存在しており、こういったプロバイダーも、Githubリポジトリからコードをダウンロードすることによって生じるさまざまな脅威からの保護を提供してくれます。
Githubリポジトリの所有者は、スタンダードなユーザーアカウントによる当該リポジトリのwikiページの編集が不可能な状態を確保すると良いでしょう。
Brute Ratelの新たなサンプルがDLLサイドローディングを利用
脅威アクターの利用増えるレッドチームツール「Brute Ratel」
脅威アクターらに使われることが増えているレッドチームツール「Brute Ratel」の新たなサンプルを、Splunkの研究者らが特定しました。今回特定されたサンプルには、実行可能ファイルとしてリネームされた正規のMicrosoft OneDriveバイナリと、2件の隠しDLLが含まれています。
Brute Ratelを、被害者がマウントするISOファイルに隠して配布するために、DLLサイドローディングという手法が利用されます。ISOファイルは、OneDriveバイナリを実行して有害化されたDLLをロードします。このISOファイルは過去のサンプルと似ていますが、LNKファイルは含んでおらず、代わりに、有害DLLのロードにあたっては被害者にバイナリをダブルクリックさせるという手法を取ります。また、第一段階のシェルコードは隠しDLLに埋め込まれており、ISOアーカイブ内の別ファイルとしては表示されません。
埋め込まれたシェルコードは、割り当てられたメモリアドレス空間へコピーされ、その後、Windows API関数EnumChildWindowsのコールバック機能を用いて実行されます。このシェルコードはメモリスタック内にBrute RateのDLLエージェントを配置し、これを、文書化されていないAPIを使って実行します。
Brute Ratelの機能には、昇格された権限の取得、秘密情報の収集、プロセスのダンプ、検出の回避などがあります。また、ネイティブなWindows APIの悪用や、クリップボードデータのパース、DNSキャッシュレコードの抜き取りなども行うことができます。
情報源(外部サイト):
アナリストのコメント
影響範囲
あらゆる業界の中小企業と大企業。
見解
このツールは、エンドポイント検出応答(EDR)およびアンチウイルス機能による検出を回避するよう特別に設計されたという点において、比類なく危険です。また、正規のレッドチームツールがクラッキングされたものであることから、同ツールを利用したいと考えているあらゆる悪意あるアクターやグループにとって手が届きやすいツールとなっています。さらに、YouTubeなどの広く使われているメディアプラットフォーム上には、同ツールの使用方法に関する正規のチュートリアル動画が複数存在しています。
緩和戦略
現在、脅威に対する緩和戦略として推奨されるのは、行動ベースの検知を含む、セキュリティ対策の導入です。シグネチャベースの検知とは異なり、行動ベースの検知は実行ファイルのコードを分析・評価し、そのコードによって実行される可能性があるすべてのアクション(重要または無関係なファイル、プロセス、内部サービスへのアクセスなど)を分析するよう設計されています。これにより、サンプルが事前に認識されたシグネチャを含んでいなくとも、マルウェアの実行を防ぐことができます。
シグネチャベースのソリューション用に、Brute Ratelと関連したIOCサンプルを以下に示します。ただし、セキュリティの専門家は、ハッシュベースの対策は比較的有効性が低いと予想しています。これは、同ツールの機能がそのような形の防御を回避するためです。
IoC(Indicators of Compromise):
名前: fotos.iso
サイズ:3299328バイト (3222 KiB)
SHA256:b5378730c64f68d64aa1b15cb79088c9c6cb7373fcb7106812ffee4f8a7c1df7
名前:version.dll
サイズ:580608バイト (567 KiB)
SHA256:cab0da87966e3c0994f4e46f30fe73624528d69f8a1c3b8a1857962e231a082b
ファイル:brute-dll-agent.bin (in-memory)
サイズ:216064バイト(211.00 KB)
Sha256:392768ecec932cd22511a11cdbe04d181df749feccd4cb40b90a74a7fdf1e152
ファイル:versions.dll
サイズ:31496バイト (30.76 KB)
Sha256:e549d528fee40208df2dd911c2d96b29d02df7bef9b30c93285f4a2f3e1ad5b0
ファイル:ONEDRIVE.EXE
サイズ:2632088バイト (2.51 MB)
Sha256: a8f50e28989e21695d76f0b9ac23e14e1f8ae875ed42d98eaa427b14a7f87cd6
Writer