- 2019/07/31
- サイバー攻撃
LOLBINと動的な手法を使用してカスタムのペイロードを展開するAdobe Worm Faker
Post by : CYBEREASON NOCTURNUS
エグゼクティブサマリー
サイバーリーズンでは、Adobe Worm FakerというLOLBinを積極的に使用する興味深いマルウェアの活動を見つけ出しました。このワームは標的のコンピューターに応じてその振舞いを動的に変えることができ、個々のマシンで最も有効となる脆弱性攻撃を行い、最適なペイロードを展開しています。アンチウイルス製品やEDR製品の検知を逃れることができ、人の手を介さなければその攻撃を防ぐことができないため、このマルウェアはとりわけ大きな被害をもたらす危険があります。
主なポイント
- サイバーリーズンでは、Adobe Worm Fakerというワームの変種を発見しました。このワームはLOLBinを積極的に使用し、標的の環境に応じて脆弱性攻撃の内容を動的に変えています。
- 5層もの難読化が施されているため、アンチウイルスやEDRなどのセキュリティ製品で自動的に分析のできないマルウェアであり、人の手を介さなければ、その攻撃の内容を解読することはできません。
- ランチャー(acroup.exeまたはwscript.exe)による正規のプロセスを単独で使用して攻撃を仕掛けるので、相手に気付かれないように活動することができます。
- Adobe Worm Fakerは特定のアンチウイルス製品をターゲットにしており、これは、対象の地域を絞った標的型の攻撃が行われる可能性のあることを示しています。
- ワーム型の手法を用い、セキュリティチームやユーザーとかくれんぼをするかのように自己を拡散、隠蔽します。
攻撃に備えるためのアドバイス
- ネットワーク内にワームが拡散しないよう、マルウェアに感染したコンピューターは隔離します。
- 以下のプロセスを停止します。
1. Acroup.exe\AcroDC.exe\wscript.exe - コンピューターにマルウェアが残っている場合は、以下のファイルバイナリを削除します。
1. %SYSTEMDRIVE%\Adobe Acrobat\Notebook.pdf、%SYSTEMDRIVE%\Adobe Acrobat\AcroDC.exe、%SYSTEMDRIVE%\Adobe Acrobat\AcroUP.exe
2. %SYSTEMDRIVE%\Acrobat\Notebook.pdf、%SYSTEMDRIVE%\Acrobat\AcroDC.exe、%SYSTEMDRIVE%\Acrobat\AcroUP.exe
3. %SYSTEMDRIVE%\DCIM.lnk
4. %SYSTEMDRIVE%\Camera.lnk
5. %SYSTEMDRIVE%\Users\All Users\Microsoft\Windows\Start Menu\Programs\StartUp
6. %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk
7. %ProgramData%\Microsoft\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk - 以下のレジストリエントリを削除し、マルウェアのパーシステンスを消去します。
1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
2. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
3. HKCU\Software\AcroDC
4. HKCU\Software\Itime
5. HKCU\Software\info - 以下のレジストリの文字列値を再度作成します。
1. HKCR\lnkfile\isShortcut - 組織内で使用しているファイアウォールやプロキシ、Webフィルタリング、メールフィルタリングに以下のドメインやIPアドレスを追加します。
1. simone.linkpc[.]net
2. oahm.duckdns[.]org
3. hlem.myq-see[.]com
4. 41.105.50[.]134
5. 105.98.9[.]222 - マルウェアに感染したリムーバルデバイスにはフォーマットを施します。
この種の攻撃を効果的に防ぐ方法の詳細については、こちらのリンクにある「MITRE(マイター)社」のATT&CKを利用してクローズドループ型のセキュリティプロセスを作成する方法の記事をご覧ください。
はじめに
攻撃者は、Windowsオペレーティングシステムに組み込まれている正規のツールを悪意のある用途に使用する方法を習得してきました。Living off the land(環境寄生型)のバイナリやLOLBinはWindowsのネイティブのツールですが、これらを悪用すると、従来のセキュリティ対策では検知が困難な攻撃を実現できるのです。そして検知ができたとしても、攻撃を止めるのは容易ではありません。
多くの組織が自社の環境を詳細に把握することができずに苦労しています。そしてこの不備が、LOLBinを使用する攻撃者に付け入る隙を与えているのです。システムとその機能を完全に理解していなければ、標的となった組織はLOLBinを使用する攻撃の影響には気付けません。おそらく後に続くであろう高度な攻撃を受けたときにやっと気付くのです。
LOLBinを使用するあるマルウェアが最近我々の関心を集めました。我々が「Adobe Worm Faker」と名付けたワームの変種です。このマルウェアはまずリムーバルデバイスを通じてユーザーのコンピューターにZipファイルを展開します。
この悪意のあるZipファイルには、Adobe Acrobat Readerのアイコンでユーザーを欺き信用させようとするランチャーと、悪意のあるスクリプトが格納されています。スクリプトはバックグラウンドで実行されたときに複数のアクションを通じ、姿を隠すとともに、パーシステンスを確立します。
Adobe Worm Fakerでの攻撃では、攻撃者は標的のコンピューターについてのデータを盗み出します。そして攻撃者は、コンピューターとその環境に関する知り得た情報にもとづきこれらを動的に活用して、ずっと手の込んだ攻撃手法を開発するのです。
この高度な攻撃は標的のコンピューターに特有の弱点を突くカスタマイズ型の攻撃となるため、組織が損害を受けるリスクが飛躍的に高まり、それゆえに、特に危険性の高い攻撃であると言えます。
最近のあるケースでCybereasonのEDRプラットフォームが検知した結果によれば、Adobe Worm Fakerrのマルウェアは標的のシステムをチェックして、USB関連の固有のセキュリティ製品の存在を確認していました。これらの製品に関係するファイルが見つかった場合、邪魔も検知もされずに攻撃を続けられるよう、マルウェアはこれら製品のプロセスを停止し、製品のファイルを削除します。
このマルウェアの振舞いや能力を把握するには、経験を積んだセキュリティアナリストの存在が不可欠です。従来のセキュリティ対策では、正規のWindowsツールが使用されている場合にそれが悪意のあるものであるのかないのかを必ずしも判断できるとは限らないからです。
弊社のActive Monitoringチームはあるお客様の環境でAdobe Worm Fakerの存在を確認しましたが、このようにマルウェアを検知できたことにより、お客様はすぐにこのマルウェアの攻撃を停止させられ、その後、Cybereasonのプラットフォームにある修復セクションを利用し、高度な攻撃によるさらなる被害を防ぐことができました。マルウェアの動きを封じ、攻撃をその場で食い止められたのです。
高度な攻撃の前段階としての攻撃
サイバーリーズンのチームは今年、Windows OSネイティブの正規プロセスを悪用するケースが劇的に増加する事態に遭遇しています。悪意のある活動を隠し、標的のシステム内で密かに行動するために、攻撃者は、Living off the land(環境寄生型)のバイナリやLOLBinを使用するようになっているのです。
従来のセキュリティ対策の場合、LOLBinを使用する攻撃の詳細を把握するには限界があります。この攻撃では、PowerShellやWMI、BITSAdminなどの正規のWindowsプロセスが使用されているからです。
自社の環境を詳細に把握する能力に限界のある組織は、LOLBinによる攻撃を検知するうえで困難な状況に陥ります。そしてその結果、これらの攻撃の危険性が特に高まることになります。一方、攻撃者は長期間にわたり隠れて活動できるので、さらに標的を絞った攻撃を行ううえで必要な情報を侵害したコンピューターから十分に収集することが可能です。組織によっては、LOLBinによる攻撃で致命的な影響を受けるおそれがあります。
デバイスへのリモートアクセス、データの窃取、コードの実行、ファイルのダウンロード、プロセスのダンプ、キーロギングの実行などといったさまざまな悪意のある活動を、攻撃者はLOLBinを悪用して行います。しかし、本当のリスクは、その次の攻撃にあります。
Windowsのネイティブのプロセスを使用するこの攻撃は、より巧妙さを増しさらに標的を絞った攻撃の前段階に過ぎません。このような攻撃を行うための情報を盗み出す攻撃なのです。次のより高度な攻撃は標的とするコンピューターの弱点を狙うようカスタマイズされており、これにより、ラテラルムーブメントを行い、顧客情報や財務データ、パスワード、知的財産などの、攻撃者が求める情報を盗み出します。
検出も修復も困難
Cybereasonのプラットフォームは最近、自身の姿を隠すための複雑な性質を持ち巧妙に作り込まれたワームの変種を発見しました。我々が「Adobe Worm Faker」と名付けたこのマルウェアは通常、リムーバルデバイスを通じて感染を広げます。
サイバーリーズンのActive Monitoringチームがこのマルウェアを分析したところ、Wscriptユーティリティなどの正規のツールを使用して悪意のあるVBコードを実行していることがわかりました。また、WQL(WMI Query Language)と一緒にWMIタスクを悪用し、侵害したコンピューターの情報を照会していることも判明しました。さらには、USB関連の2つのセキュリティ製品をターゲットにできる能力も明らかになりました。
USB関連のセキュリティ製品を標的とする性質は、Adobe Worm Fakerに特有のものです。そしてその最終の目的は、侵害したコンピューターからデータを窃取して、別のペイロードを展開することにあります。また、ターゲットになっているセキュリティ製品から、攻撃者が標的とする地域がどこであるのかを知ることができます。広く使用されている製品は地域によって異なるからです。
別のペイロードを展開する機能は、特に潜伏性の高いものとなっています。Adobe Worm Fakerは複数のアドレスで通信を行い、攻撃者のコマンドアンドコントロールサーバーへと侵害したコンピューターの情報を送信します。この情報は別のペイロードをこのコンピューターに展開するために使用されます。
さらに、Adobe Worm Fakerでは他に例のないテクニックが使用されており、Visual Basicの関数を利用して悪意のあるリモートのアドレスから標的にペイロードを展開します。Visual Basicは、すべてのWindowsオペレーティングシステムにインストールされる組み込みの言語で、これを悪用する攻撃者に価値の高いメリットをもたらします。Visual Basicは依存関係を持たないので、悪意のあるコードを何の問題もなく実行することができるのです。
OSのバージョンやパッチの更新状況、ハードウェアの仕様などといったコンピューターに関する機密性の高い情報を入手した攻撃者は入手した情報を使い、次の攻撃に向け、特定のコンピューターを標的としたカスタムのマルウェアを作成したり、より手の込んだ攻撃手法を開発したりします。
Adobe Worm Fakerのように巧妙さを増した攻撃を防ぐ場合、悪意のある活動をすばやく検知し効果的な対応ができるよう組織の環境を完全に把握していることがセキュリティチームには求められます。また、LOLBinの悪用を特定するには、経験豊かな脅威ハンターのスキルが必要です。脅威ハンターは自社の社員でも、セキュリティベンダーが提供するチームの一員でもどちらでも構いません。サイバーリーズンが発見したこのマルウェアの変種では、複数の攻撃ベクターが使用されており、その結果、パーシステンスが特殊なものになっているほか、適切なナレッジやツールを持たない組織での修復作業を難しくしています。
Adobe Worm Fakerの他に類のない側面
Adobe Worm Fakerは2つのコンポーネントから構成されており、ほかのマルウェアと区別するうえで役立ついくつかの固有の特徴を備えています。
コンポーネント
- 偽のランチャー(Acroup\AcroDC.exe)
- 悪意のある偽のPDFファイル(Notebook.pdf)
特徴
- Adobe Worm Fakerは、WindowsのネイティブのWscriptツールに似たカスタムのWscriptツー(Acroup\AcroDC.exe)を使用します。ランチャーは、ファイルハッシュに不正な手が加えられています。
- ランチャーのアイコンはAdobe Acrobat Readerのアイコンと全く同じです。
- 悪意のあるスクリプト(Notebook.pdf)はPDFファイルのように見えますが、普通のPDFファイルのようにこれを開こうとしてもエラーになります。ファイルの元の拡張子は「vbe」です。
- このマルウェアは:SmadavとUSB Disk Securityをターゲットにしています。これら2つのアンチウイルス製品はどちらもリムーバルデバイス向けのセキュリティ製品です。
- マルウェアは標的のコンピューターにペイロードを展開するために、VBの関数で複数のコマンドアンドコントロールサーバーと通信を行います。
- このマルウェアは5層もの難読化によりその中身が隠されているため、ほとんどのアンチウイルス製品が検知できないようになっています。このマルウェアを検知できるアンチウイルスエンジンも、そのファイルハッシュを汎用的なバリアントとして分類をしたり、「難読化が施された」バリアントとしてマルウェアを分類したりするだけであり、マルウェアの正確なバリアントのファミリーを特定することは不可能です。
VirusTotalでの偽のPDFファイル(Notebook.pdf)の検出結果
引数「//B /e:VBScript.Encode」を使用し、偽のPDFファイル(元はVBEフォーマット)から悪意のあるコードを実行します。
- 1つ目のパラメータ(//B)はバッチモードでスクリプトを実行し、スクリプトのエラーとエコーメソッドの出力行を非表示にします。
- 2つ目の引数(/e:VBScript.Encode)はスクリプトを実行するために使用するエンジンを指定し、スクリプトを実行します。スクリプトでは、カスタムのファイル名の拡張子が使用されます。このケースでは、ファイルの拡張子は「.pdf」になっており、ファイルは自身を偽装しています。そのためこのシナリオでは、/eパラメータが必要になっています。
Adobe Worm Fakerを分析する
Adobe Worm Fakerでは5層もの難読化を施した強固な暗号化が行われています。そのため、そのコードはわけのわからない言葉が羅列されたようになっており、一見解読は不可能なように見えます。
マルウェアのオリジナルのコードの一部。1層目の難読化レイヤー
1つ目の難読化レイヤーは、Didier Stevensが開発したDecode-VBEという強力なPythonツールで解読できます。このツールではわかりやすいテキストが出力されるので、これを利用してマルウェアの解読が続けられます。ただしこのツールを使用しても、難読化のパターンを理解するには時間と労力がかかり、簡単に解読をすることはできません。
Decode-VBEでデコードしたVBEマルウェアのコードの一部
マルウェアの内容を完全に解読するには、変数を見つけ、それらをテキストファイルにエコーしなければなりません。そして、これらの処理を、難読化されたレイヤーがなくなるまで繰り返す必要があります。そして最後のステップでは、関数と変数の名前を書き換えて、マルウェアのそれぞれのアクションがわかりやすくなるようにします。
Adobe Worm Fakerは、リムーバルデバイスに関係したリスクの事例の1つと言えます。攻撃者は、マルウェアを仕込んだデバイスを事業所内の人通りの多い場所に放置します。そうすれば善意のある従業員が持ち主を特定しようとして近くのコンピューターにデバイスを取り付ける可能性が高いと知っているからです。
自社の環境内でのリムーバルデバイスの使用を制限したり、未知のデバイスを使用するリスクを社員が理解できるようセキュリティ意識向上のトレーニングを実施したりすることをお勧めします。
マルウェアの攻撃の流れを示すインフォグラフィック
Adobe Worm Fakerはまずはじめにリムーバルデバイスを通じてZipファイルをユーザーのコンピューターに展開します。悪意のあるZipファイルには、ランチャーと悪意のあるVBEスクリプトが格納されています。
Cybereasonのプラットフォームに表示されたマルウェアの攻撃ツリー
Zipファイルの中身のデータ
悪意のあるスクリプトは、1回目に実行されたときには、すぐにPDFファイルを複数のパスにコピーします。その後に、ランチャーがそのプロセスを終了し、パーシステンスが次の実行を行うまでのあいだ待機します。
悪意のあるVBEファイル
2度目に実行されたときにVBEスクリプトは自身を終了することはせず、バックグラウンドで起動したままになります。そして姿を隠しパーシステンスを確立するために複数のアクションを使用します。
マルウェアのコードはまず変数を宣言し、次に3つの関数をコールします。難読化の処理を解除しリネームをしてこれらの関数をわかりやすくしたものが、ifMalwareExist、WriteRegistry、CleanTraceです。以下のセクションでは、マルウェアのアクションと処理の流れについて説明します。
パーシステンスは確立されているか
攻撃者は、マルウェアが初めて実行されてからそのままの状態にならないよう一旦実行を終了し、次にパーシステンスのトリガで実行されるまで待機させています。これらの処理を行うために攻撃者はIfMalwareExist関数を使用しています。偽のPDFファイル(Notebook.pdf)が見つかった場合、悪意のあるランチャーがそのファイルを%systemdrive%\adobe acrobatのパスにコピーします。
そしてランチャーは検知を逃れるために、レジストリ値の1つを削除して、Windowsに組み込みの、「.lnk」ファイルのアイコンシンボルを消去し、さらに、CreateShortcuts関数を実行します。この関数については、以下のセクションで説明します。
IfMalwareExist関数
さらに詳細な情報を収集する
攻撃者は攻撃が成功したかどうかを確認する必要があり、WriteRegistry関数を使用して、マルウェアの感染の状態をさらに詳しく把握しています。この関数は、システムの複数のフォルダにマルウェアが拡散しているかどうかを判断したり、侵害したコンピューターの現在の時刻を取得して感染がいつ始まったのかを把握したりする際に使われます。これらのエビデンスはすべてレジストリ値して保管され、後で攻撃者のコマンドアンドコントロールサーバーに送られます。
WriteRegistry関数
姿を隠そうとする攻撃者を追跡する
3つ目の関数であるCleanTraceは、マルウェアの活動を裏付ける証拠を消去する役割を担います。この関数は、マルウェアがレジストリ値を「実行」するファイルとパーシステンスを削除するほか、ごみ箱の中身を空にし、「Path」System環境変数内にある複数のVB拡張ファイルを消去します。
これらのアクションはどれも、攻撃の最中に姿を隠し検知を逃れる目的で攻撃者が試みる行動です。かくれんぼをするときと全く同じように、セキュリティチームは姿を隠そうとする攻撃者を追跡せねばなりません。攻撃者はあるパスから別のパスにマルウェアをコピーして元は削除し、これにより、平均的なユーザーならおそらくは初回の感染に気付かない状態を作り出しています。それゆえに、適切な能力を備えたセキュリティチームと環境監視機能が不可欠になるのです。
CleanTrace関数
エンドレスの感染ループ
Adobe Worm Fakerはエンドレスの「while」ループを使用して、悪意のある関数を複数コールします。このループにより、マルウェアはその姿を隠すことやパーシステンスの確立が可能になります。各ループのあいだで5分間、スクリプトはスリープ状態になります。
whileループ
ワームのDNA
侵害したコンピューターにマルウェアを拡散し、パーシステンスを確立するために、また、セキュリティチームが容易に問題を修復できないようにする目的で、攻撃者は比較的よく知られたワーム型のテクニックを使用しています。これには、CreateShortcuts関数が利用されます。この関数では、以下の処理を行います。
- マルウェアを繰り返し実行するための悪意のあるコマンドラインを含んだショートカットを作成する
- 偽のAcrobatのランチャーとPDFファイルを各ドライブにコピーする
- 証拠を削除する
- パーシステンスを確立する
サブの CreateShortcuts
偽のAcrobat Reader のフォルダ
偽のフォルダの中身
VBEファイルを実行する悪意のあるコマンドラインが格納された偽のショートカット。配置場所:%drive%\%fakename%.lnk
偽のショートカットコマンドラインの例:
%SYSTEMDRIVE%\Adobe Acrobat\ AcroUP.exe //B /e:VBScript.Encode %SYSTEMDRIVE%\Adobe Acrobat\Notebook.pdf
パーシステンスを確立するためのアクション
サイバーリーズンが確認したところによれば、マルウェアの変種の多くでは、環境内にパーシステンスを確立するうえである決まったアクションを取る傾向があります。このマルウェアはCreatePersistence関数を使用して以下の処理を行います。
- Startupフォルダ経由でパーシステンスを作成する
- レジストリ経由でパーシステンスを作成する
- 「.lnk」ファイル用の組み込みのWindowsアイコンを削除する
- フォルダのオプションを*SuperHiddenモードに変更する
サブのCreatePersistence
CreateFileとWriteFileのエビデンス
レジストリのエビデンス
SuperHiddenモードの起動 – オペレーティングシステムの保護対象のファイルを非表示にする
特定のアンチウイルス製品をターゲットにする
このマルウェアは2つのアンチウイルス製品をターゲットにしています。マルウェアのこの振舞いは、対象とする地域を絞った攻撃が行われる可能性のあることを示しています。
悪意のあるスクリプトは、アンチウイルス製品のSmadavやUSB Disk Securityがシステム内に存在するかどうかをTargetAvProducts関数でチェックします。これらの製品が存在する場合、マルウェアはそれらのプロセスを停止し、製品のファイルを削除します。
サブのTargetAvProducts
SMADAV とUSB Disk Securityに関して照会した情報
TaskKill コマンドラインを使用して、SMADAV のプロセスとUSB Disk Securityのプロセスを停止
SMADAV のフォルダ、ファイルと、USB Disk Securityのフォルダ、ファイルを削除
ペイロード
リモートペイロードは、マルウェアの展開において最小の労力で最大の効果を期待できるテクニックの1つです。攻撃者はWindowsのネイティブのプロセスでこれらのペイロードを密かに展開することが可能です。
マルウェアはConnC2関数を使用して悪意のあるコマンドアンドコントロールサーバーとの接続を確立し、そのページのソースコードからペイロードをインポートします。また、この関数は、コンピューターの情報を「User-Agent」値として送信します。
ConnC2関数
悪意のあるアドレスへのコネクションの作成
探索のステージ
このマルウェアには、探索や情報収集の役割を担う関数も実装されており、これにより攻撃者は、侵害したコンピューターの詳細な情報を把握できるようになっています。以下の2つの例に、この様子を示します。
このマルウェアでは、既知の脆弱性攻撃やマルウェアに対する脆弱性がコンピューターに存在しないかを、コンピューターのOSのバージョンやパッチの適用状況に関する情報の収集を通じて確認しています。
特定の企業や業界を狙う動機を持つ攻撃者に分類されるサイバー犯罪者グループにとって、この情報は非常に有用になり得ます。GetOS関数がオペレーティングシステムに関する情報の照会を行い、その情報をレジストリ値に格納します。
GetOS関数
おそらく、前述したTargetAvProducts関数と関連性を持つAVProduct関数は、コンピューター上の既存のアンチウイルス製品に関する情報を照会するのに使用されます。アンチウイルス製品が見つかった場合、その製品名がレジストリ値に書き込まれます。一方、製品が見つからなかった場合には、レジストリ値には、「Not found」と書き込まれます。
AVProduct関数
このマルウェアでは、WMI Tasksと呼ばれるWMIメソッドが使用されており、このメソッドは、侵害したコンピューターに関するほぼすべての情報タイプを照会できるよう、WMIクラスへのリンクを提供します。一部の情報の照会には、Windows環境の変数やVB関数が使用されます。
攻撃者は複数のWMIクエリを用いて、ハードドライブ情報や、コンピューター名/ユーザー名、オペレーティングシステム、プロセッサのモデル、物理メモリの総量、GPUのモデル、インストールされているアンチウイルス製品、標的のコンピューター上のデータなどの情報を収集しています。
WMIタスクのコールやアンチウイルス製品の照会にVisual Basicを使用した例
このように手広くWMIクエリを使用していることから、きわめて正確に意図する攻撃を攻撃者が実行している様子が伺い知れます。
以下に示すのは、データを収集して攻撃者のコマンドアンドコントロールサーバーに送信している例の1つです。
ユーザーエージェントの値を悪意のあるアドレスに送信している様子。コンピューターの情報を侵害
これらの関数を実行した後、前述したエンドレスのWhileループがコマンドアンドコントロールサーバーの複数のアドレスに、接続確認の送信を行います。これらのURLアドレスが機能している場合、「200 OK」のステータスが返されます。そして、マルウェアはサーバーからデータを取得し、リモートのペイロードを実行します。
まとめ
今年の初旬にサイバーリーズンは、LOLbinを使用した攻撃が増加するとの予想を立てていました。ネイティブのプロセスでは本来、脆弱性攻撃を受けるリスクが大きいため、標的のコンピューターにペイロードを展開する場合にこの手法を利用する攻撃者の数が増え続けるのは間違いありません。
サイバーリーズンのActive Monitoringサービスでは、このマルウェアを解明するべく、その詳細な分析を実施しました。もしもこのマルウェアを検知し、その振舞いを分析していなければ、高度な攻撃を実行するために必要とされる情報がマルウェアによって収集され続けていたでしょう。
我々は、Wscriptユーティリティツールに似たAcroUpユーティリティが悪用されているのと、WMIタスクを使用した探索活動が行われているのを検知することができました。また、リムーバルデバイスを経由してこのワームの変種、Adobe Worm Fakerを拡散するのに使用された感染手法を特定、評価することもできました。
我々の調査では、Windows OSに組み込みの正規のプロセスを使用して悪意のある活動を検知されないように実行する手法について調べました。また、侵害したコンピューターにこのワームが何故ペイロードを数多く展開できたのか、徹底的に調査しました。さらにこのマルウェアでは、その複雑な難読化の仕組みにより、ほとんどのアンチウイルスエンジンの検知をすり抜けられることもわかりました。そして、アンチウイルス製品の検知を逃れるうえでLOLbinの使用がきわめて有効であることが、このマルウェアで使用されているツールやテクニックの分析を通じて明らかになりました。
このようにマルウェアを検知できたことにより、弊社のお客様はすぐにこのマルウェアの攻撃を停止させられ、その後、Cybereasonのプラットフォームにある修復セクションを利用し、高度な攻撃によるさらなる被害を防ぐことができました。マルウェアの動きを封じ、攻撃をその場で食い止められたのです。
IoC(Indicator of Compromise:痕跡情報)
| IOC | Type | Description |
|---|---|---|
| SHA1: B44E6E197C085DDDA1779DA42E094BA816F8E2E4 | Hash | Adobe Acrobat.zip |
| SHA1: C7371297FEA738DD2A334399CD1239B4ADB435F3 | Hash | Notebook.pdf |
| SHA1: 7D5D0A65F3D443D33B8C6B3D1C6F4CF4D4A08E81 | Hash | AcroUp\AcroDC.exe |
| 105.98.9[.]222 | IP | C2 |
| 41.105.50[.]134 | IP | C2 |
| simone.linkpc[.]net:186 | Domain | C2 |
| hlem.myq-see[.]com:186 | Domain | C2 |
| oahm.duckdns[.]org:186 | Domain | C2 |
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
