GitHubリポジトリがNetSupportとマルウェアの展開に利用される | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > GitHubリポジトリがNetSupportとマルウェアの展開に利用される

Analyst's Choice

Cyber Intelligence

Intelligence

サイバーインテリジェンス

GitHubリポジトリがNetSupportとマルウェアの展開に利用される

Rory

Rory

2022.11.25

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月のトピックは「GitHubリポジトリがNetSupportとマルウェアの展開に利用される」Brute Ratelの新たなサンプルがDLLサイドローディングを利用です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

GitHubリポジトリがNetSupportとマルウェアの展開に利用される

 

Article.2

Brute Ratelの新たなサンプルがDLLサイドローディングを利用

GitHubリポジトリがNetSupportとマルウェアの展開に利用される

誤設定が原因で、権限のないユーザーが人気リポジトリを編集可能に

GitHubを利用して被害者組織へのアクセス権限を獲得する水飲み場型攻撃を、最近CrowdStrikeの研究者が発見しました。攻撃者はGitHubリポジトリにおける誤設定(これにより、権限のないユーザーアカウントが人気リポジトリを編集できるようになる)を利用し、多数のホスト上でコード実行と初期アクセスの獲得を試みました。これらのホストは、世界各地の複数の被害者環境と思しき場所に存在します。

攻撃者は新たに作成されたGitHubアカウントを使って無害なwikiを編集し、メインのダウンロードリンクを変更することで、このwikiがマルウェアに通じるようにしました。変更されたリンクは関連するGitHubアカウントへとつながり、偽のインストーラーがダウンロードされます。このテクニックは、NetSupport(市販の合法的な遠隔操作ツール)のバイナリと実行可能ファイルを、GitHubからダウンロードされるツールに埋め込むために使われました。

また、おそらくこの脅威アクターは、少なくとも4種類のマルウェア・アズ・ア・サービス(Grind3wald、Raccoon Stealer、Zloader、Goziなど)を利用し、リポジトリごとに異なるマルウェアをアップロードしていました。

 

情報源(外部サイト)

1, https://www.crowdstrike.com/blog/how-threat-actors-use-github-repositories-to-deploy-malware/?_hsmi=228132179&_hsenc=p2ANqtz-8hyueNEoBfVWb1vFMZSILILIfdVlZB89En0IblUxGe7Lap8u4OCEFdjhlc9LQ7z_yHVWgyp-lY7RouJK1aqHXGshf__w

アナリストのコメント

影響範囲

Github独自の、またはその他のコードセキュリティ・ソフトウェアによる保護のない状態で、Githubリポジトリからのダウンロードを行う企業と個人。

見解

被害者によってダウンロードされたツールは正規のものであり、場合によっては大規模に使用されたり推奨されたりしていたものの、脅威アクターには複数のリポジトリにおける誤設定を利用し、正式なリポジトリのwikiページのダウンロードリンクから同ツールの有害バージョンへとリダイレクトさせることが可能だった、という点に留意しておくのが重要です。

緩和戦略

Githubは、今回のようなセキュリティ上の問題に対処するため、独自のプレミアムサービスパッケージの中でセキュリティ機能を提供しています。また、Mend(旧WhiteSource)をはじめとするサードパーティーのセキュリティプロバイダーも存在しており、こういったプロバイダーも、Githubリポジトリからコードをダウンロードすることによって生じるさまざまな脅威からの保護を提供してくれます。

Githubリポジトリの所有者は、スタンダードなユーザーアカウントによる当該リポジトリのwikiページの編集が不可能な状態を確保すると良いでしょう。

 

Brute Ratelの新たなサンプルがDLLサイドローディングを利用

脅威アクターの利用増えるレッドチームツール「Brute Ratel」

脅威アクターらに使われることが増えているレッドチームツール「Brute Ratel」の新たなサンプルを、Splunkの研究者らが特定しました。今回特定されたサンプルには、実行可能ファイルとしてリネームされた正規のMicrosoft OneDriveバイナリと、2件の隠しDLLが含まれています。

Brute Ratelを、被害者がマウントするISOファイルに隠して配布するために、DLLサイドローディングという手法が利用されます。ISOファイルは、OneDriveバイナリを実行して有害化されたDLLをロードします。このISOファイルは過去のサンプルと似ていますが、LNKファイルは含んでおらず、代わりに、有害DLLのロードにあたっては被害者にバイナリをダブルクリックさせるという手法を取ります。また、第一段階のシェルコードは隠しDLLに埋め込まれており、ISOアーカイブ内の別ファイルとしては表示されません。  

埋め込まれたシェルコードは、割り当てられたメモリアドレス空間へコピーされ、その後、Windows API関数EnumChildWindowsのコールバック機能を用いて実行されます。このシェルコードはメモリスタック内にBrute RateのDLLエージェントを配置し、これを、文書化されていないAPIを使って実行します。

Brute Ratelの機能には、昇格された権限の取得、秘密情報の収集、プロセスのダンプ、検出の回避などがあります。また、ネイティブなWindows APIの悪用や、クリップボードデータのパース、DNSキャッシュレコードの抜き取りなども行うことができます。

 

情報源(外部サイト):

  1. https://www.splunk.com/en_us/blog/security/deliver-a-strike-by-reversing-a-badger-brute-ratel-detection-and-analysis.html
  2. https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/
  3. https://www.mdsec.co.uk/2022/08/part-3-how-i-met-your-beacon-brute-ratel/

アナリストのコメント

影響範囲

あらゆる業界の中小企業と大企業。

見解

このツールは、エンドポイント検出応答(EDR)およびアンチウイルス機能による検出を回避するよう特別に設計されたという点において、比類なく危険です。また、正規のレッドチームツールがクラッキングされたものであることから、同ツールを利用したいと考えているあらゆる悪意あるアクターやグループにとって手が届きやすいツールとなっています。さらに、YouTubeなどの広く使われているメディアプラットフォーム上には、同ツールの使用方法に関する正規のチュートリアル動画が複数存在しています。

緩和戦略

現在、脅威に対する緩和戦略として推奨されるのは、行動ベースの検知を含む、セキュリティ対策の導入です。シグネチャベースの検知とは異なり、行動ベースの検知は実行ファイルのコードを分析・評価し、そのコードによって実行される可能性があるすべてのアクション(重要または無関係なファイル、プロセス、内部サービスへのアクセスなど)を分析するよう設計されています。これにより、サンプルが事前に認識されたシグネチャを含んでいなくとも、マルウェアの実行を防ぐことができます。

 

シグネチャベースのソリューション用に、Brute Ratelと関連したIOCサンプルを以下に示します。ただし、セキュリティの専門家は、ハッシュベースの対策は比較的有効性が低いと予想しています。これは、同ツールの機能がそのような形の防御を回避するためです。

 

IoC(Indicators of Compromise):

名前: fotos.iso

サイズ:3299328バイト (3222 KiB)

SHA256:b5378730c64f68d64aa1b15cb79088c9c6cb7373fcb7106812ffee4f8a7c1df7

 

名前:version.dll

サイズ:580608バイト (567 KiB)

SHA256:cab0da87966e3c0994f4e46f30fe73624528d69f8a1c3b8a1857962e231a082b

 

ファイル:brute-dll-agent.bin (in-memory)

サイズ:216064バイト(211.00 KB)

Sha256:392768ecec932cd22511a11cdbe04d181df749feccd4cb40b90a74a7fdf1e152

 

ファイル:versions.dll

サイズ:31496バイト (30.76 KB)

Sha256:e549d528fee40208df2dd911c2d96b29d02df7bef9b30c93285f4a2f3e1ad5b0

 

ファイル:ONEDRIVE.EXE

サイズ:2632088バイト (2.51 MB)

Sha256: a8f50e28989e21695d76f0b9ac23e14e1f8ae875ed42d98eaa427b14a7f87cd6

 

 

Writer

アナリストプロフィール

Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ