« 防衛装備に関連した調査報告書を偽装した攻撃 | メイン

2017年9月 5日 (火)

ブログサービスを悪用する最近の攻撃手口

攻撃者が、インターネット上で利用可能なブログやコードレポジトリサービスに、暗号化したC2サーバのIPアドレスを掲載し、マルウェアがその情報を読み取ってC2サーバへ接続する手口は、デッド・ドロップ・リゾルバー(Dead Drop Resolver)として知られています。
その手法を使う代表的なマルウェアは、Elirks、Winnti等があります。

最近弊社で解析したマルウェアで過去見られた手口とは少し異なる部分がありましたので、記載したいと思います。

過去、観測された手口では、攻撃者がブログ記事にC2サーバのIPアドレスを暗号化した情報とその前後に識別子を記載し、マルウェアはブログ記事のページにアクセスしてその識別子を検索して暗号化された情報を抽出していました。下記は、過去に観測された攻撃者がブログに掲載した内容です。

20170901001_2

図1. ブログに記載されていた暗号化されたC2情報

暗号化された情報の復号
今回解析したマルウェアは、特徴的な識別子を検索するのではなくURL文字列を検索して暗号化された情報の抽出を行うものでした。
今回のマルウェアが、アクセスする国内ブログサービスに投稿されたページには、下図のようなハイパーリンクタグが残されていました。

マルウェアが検索する文字列は赤線を引いた箇所です。
マルウェアは、検索対象の文字列以降のURLクエリーの一部(左からの2番目の"cm"と5番目の"at")の右オペランドの値を元にC2サーバのIPアドレスを復号します。

20170901002

図2. マルウェアがアクセスするブログ記事のソース

この事により、アクセス先のページを見ても特徴的な識別子が無いためマルウェアのアクセス先として気付きづらいと言えます。
対象のブログにアクセスできなかったり、期待するレスポンスが返らない場合は、約5分間隔で再度ブログにアクセスをします。

その後、復号して得たIPアドレスにHTTP通信を行いますが、そのレスポンスに"pkid" という文字列が含まれているかをチェックします。含まれていない場合は、正しいレスポンスでないと判断し以降の処理を行わず、再度ブログにアクセスして通信先の情報を更新します。

解析をして改めて、この手口を使う側の観点からどのようなメリットがあるかを考えてみました。
最初に考えられるのは、C2サーバの情報をダウンロードするためにアクセスするサイトは正規サービスのため、検知・遮断をされづらい事です。

また、C2サーバとの通信が失敗し標的のネットワークにアクセスできなくなった場合に、侵入したマルウェアが駆除されない限りブログサービスを経由して通信先を変更する事ができる事ではないかと推測しています。

パーシステンス
装置の再起動や電源断の後も、継続的に活動ができるようマルウェアを自動実行させるために、WindowsのComponent Object Model(COM)を利用して、スタートアップディレクトリに自分自身を起動するためのショートカットリンクを作成します。
下記は、マルウェアがCOMを利用する部分ですが、一見どのような処理をしているのか分かりづらいものとなっています。

20170901003

図3. COM関連ライブラリ関数を呼び出す箇所

コード上に残されているCoCreateInstance関数のパラメータに渡されるCLSID(rclsid)やIID(riid)の値をregeditで検索して、呼び出すインタフェースがIShellLinkWである事が分かりました。

20170901004

図4. マルウェアに残されているCLSIDとIID

20170901005

図5. 残されていたIIDの値でレジストリを検索した結果

20170901006

図6. ディスアセンブルされた結果を呼び出されるCOMインタフェース名で修正したもの

これらから、IShellLinkWを利用してスタートアップディレクトリ内にインターネットエクスプローラのアイコンが付与されたショートカットリンクを作成する事が分かりました。

20170901007

図7. マルウェアが作成するショートカット

マルウェアが利用するCOMを調査する手法については、MalwareBytes社のアナリストが解説ページを公開しています。(*1)

考察

過去観測された類似マルウェアも同様の手法でスタートアップディレクトリ内に"IExploerer.lnk"という名称のショートカットを作成する事から、スタートアップディレクトリにショートカットリンクを作成する事が、このマルウェアを使う攻撃者の手口の一つではないかと考えています。

また、今回のマルウェアのコンパイル日時は2014年6月ですが、マルウェアがアクセスするブログの記事は今年の6月に掲載されている事から、このマルウェアは最近のキャンペーンで使用されたものではないかと推測しています。


痕跡
SHA256ハッシュ値: b0a68a4a603bb263154494c3f7b05b1db5c78b415ff2ffdc6a5d942adb5b45dc
ユーザエージェント(コード内固定): Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
C2サーバ: 123.1.180[.]238
スタートアップディレクトリに作成されるショートカットリンク名: IExploerer.lnk

*1 https://blog.malwarebytes.com/threat-analysis/2014/02/observing-com-within-malicious-code/

« 防衛装備に関連した調査報告書を偽装した攻撃 | メイン

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat