Windowsの標準機能を巧みに悪用する「njRAT」

オンライン型サンドボックスサービスとして広く知られる「ANY.RUN」のサイトでは、最近検出されたマルウェアを独自に分析・分類して、それぞれの数や時系列での推移データなどを公開しています。これを見ると、本稿執筆時点（2021年5月）で最も多く観測されたのは「njRAT」と呼ばれるRAT（Remote Administration Tool）タイプのマルウェアでした。

RATはいわゆる「リモートアクセス型トロイの木馬」で、攻撃対象の端末に感染後、攻撃者による端末の遠隔操作を可能にします。このRATの一種であるnjRATは別名「Bladabindi」でも知られており、2013年から存在が確認されている比較的歴史が古いRATの1つです。当初は中東・北アフリカ地域の個人ユーザーの間で使われていましたが、やがて攻撃者グループによる組織的なサイバー犯罪にも使われるようになり、現在では多くのAPTグループによって利用されています。

現在観測されているnjRATを使った攻撃では、感染した端末のキー入力データの記録やブラウザのパスワード窃取、Webカメラの不正アクセスといった被害が報告されています。またnjRATは高度なスキルがなくとも比較的容易にカスタマイズできるため、さまざまな亜種が存在することが確認されています。

なお弊社で確認できたnjRAT攻撃のうちの1つでは、メールに添付したMicrosoft PowerPointファイルを通じて感染を試みていました。このファイルは「.ppa」という拡張子を持っており、PowerPointのアドインファイルであることを示しています。このファイルを開くと中に含まれたマクロプログラムが実行され、Windowsの標準機能の1つである「mshta.exe」を起動し、不正サイト上に置かれたプログラムを自動実行します。

次に、同じくWindowsの標準機能である「wmiprvse.exe」を悪用し、powershellによって不正プログラムがダウンロードされてメモリ上にロードされます。最終的にはこのプログラムによってnjRATペイロードがダウンロードされ、実行に至ります。さらには、やはりWindowsの標準機能であるタスクスケジューラを実行する「schtasks.exe」が実行され、感染端末に攻撃者がコマンドを送信するためのスケジュールタスクが作成されます。

このように今回確認された攻撃手法では、ほぼ一貫してWindowsの標準機能を悪用しており、これによってセキュリティソフトウェアによる検知を巧みに回避していることが分かります。またファイル本体を端末上に残さず、不正プログラムをメモリ上に直接ロードして実行するファイルレス攻撃の手法を用いていることも、その検出をより困難なものにしています。

njRATを使った攻撃に対処するには？

このような検出が困難な最新のRAT攻撃に対処するには、どのような手立てを講じればいいのでしょうか。まずはメールに添付された不審なファイルは絶対に開かないよう、自社の従業員にあらためて周知徹底させることが何より大切です。特に今回確認された「.ppa」のような、あまり馴染みのない拡張子を持つファイルは絶対に開かないことです。

万が一ファイルが開封されてしまったとしても、Microsoft Officeのマクロ機能が確実に無効化されていれば不正プログラムが起動することはありません。従って、マクロ機能を確実に無効化しておくことも重要です。安易にマクロを有効化することのセキュリティリスクを従業員に繰り返し周知するとともに、場合によってはグループポリシーなどで強制的に無効化しておくことも検討するべきです。

また今回確認された攻撃では、Windowsの標準機能であるmshta.exeが悪用されていました。このプログラムはいわゆる「HTMLアプリケーション」を実行するためのもので、Windowsに標準で含まれているシステムファイルの1つであるため、安易に削除するわけにはいきません。とはいえ、サイバー攻撃に悪用されることも多いため、もし業務上不要な場合は実行をブロックしておくのも手です。

加えて、ファイルレス攻撃を事前にブロックできる手立てを講じておけば、より効果的にnjRATによる被害を防ぐことができるでしょう。例えば、弊社が提供するEDR製品「Cybereason EDR」を使えば、Powershellを悪用したファイルレス攻撃をブロックし、njRATペイロードのダウンロードを阻止できます。また感染をいち早く検知し、その感染経路や影響範囲を素早く可視化できるため、万が一njRATの侵入と感染を許してしまったとしても実被害の発生を未然に防ぐことができます。

今回紹介したnjRATに限らず、近年のサイバー攻撃は手口が極めて巧妙化しており、感染を100％防ぐのは事実上不可能です。そのためCybereason EDRのような製品を導入し、万が一の感染に備えた事後対策をしっかり講じておくことが、サイバー攻撃による被害を最小化するためには必須だと言えます。

ホワイトペーパー「PowerShell攻撃（ファイルレスマルウェア）を確実に防御」

侵入後に展開するPowerShellを使用したファイルレス型マルウェア攻撃は、ここ数年、攻撃者が好んで選択する攻撃となっており、ダウンロード/実行ペイロード、APT攻撃、さらにはランサムウェアなどの攻撃に悪用されています。PowerShell攻撃（ファイルレスマルウェア）の課題とCybereasonによるPowerShell攻撃の確実な防御について詳しく解説します。
https://www.cybereason.co.jp/product-documents/input/?post_id=2121