2020/10/15

ファイルレスマルウェアローダの分析

2020 年 10 月 15 日 Trevor Collins 著

ウォッチガード脅威ラボは、Panda Adaptive Defense 360 ゼロトラストサービスを使用して、高度なファイルレスのマルウェアローダがユーザーのコンピュータ上で実行される前に特定し、阻止することに成功しました。検証チームによる詳細な分析の結果、そのマルウェアがエクスプロイトチェーンの一部で攻撃していた最近のブラウザの脆弱性も確認されました。

マルウェアの挙動

ウォッチガード脅威ラボが分析した攻撃はメモリ内で完結しており、JavaScript [T1059.007] と PowerShell [T1059.001] を利用して悪意のあるアクションを実行していました。このような高度な攻撃は、コンピュータのメモリ内に留まり、被害者のストレージドライブに痕跡を残さないため、多くのウイルス対策エンジンによる検出を容易に回避します。

この攻撃は、悪意のある Web サイトに埋め込まれた JavaScript を使用したドライブバイダウンロード攻撃 [T1189] から始まります。Web ブラウザは JavaScript を自動的に実行するため、ユーザーが Web サイトにアクセスするだけで、攻撃が実行されます。Web サイトは、攻撃専用の Web ページをホストするためだけに設定したと見られるドメインにありました。

ユーザーがサイトにアクセスすると、JavaScript がエンコードされた PowerShell スクリプトを実行します。このスクリプトは、攻撃者に人気のある、Powersploit [S0194] 攻撃フレームワークの ReflectivePEInjection モジュールを使用しています。ReflectivePEInjection モジュールは、実行可能ファイルとライブラリをユーザーのコンピュータ上で実行中のプロセスにロードします [T1055.002]。この攻撃では、エンコードされた 3 つの Portable Executable バイナリが PowerShell スクリプトに含まれていました。それぞれのバイナリは、権限を昇格する別の脆弱性を悪用して、マルウェアの機能を拡張していました。

  • CVE-2020-1054 は,ビットマップ画像ファイルを扱う Windows カーネルモードドライバのメモリ破損の脆弱性で、これを利用して権限を SYSTEM レベルに昇格 [TA0004] することができます。攻撃者はビットマップ画像を作成し、そのメモリ範囲外のピクセルを変更することでこの脆弱性を誘発し、攻撃者がドライバモジュールのメモリに書き込みをすること、SYSTEM レベルの権限でシェルコードを実行することを可能にします。
  • CVE-2019-1458 は、同じく Win32k Windows ドライバに存在する、権限昇格に関する脆弱性です。このエクスプロイトは、文書化されていない NtUserMessageCall API への呼び出しと、シミュレートされたキー入力を使用して、ウィンドウ切り替え機能のメモリを損壊させます。ウォッチガードが分析したコードから、マルウェアは公開されている概念実証をコピーして、スクリプトに使用していたことが分かりましたました。
  • CVE-2019-0808 も、Win32K Windows ドライバに存在する権限昇格に関する脆弱性で、昇格した権限でファイルのインストールが試みられます。またウォッチガードは、このエクスプロイトを調査している間に、この権限昇格のエクスプロイトと並行して利用されている脆弱性 CVE-2019-5786 も発見しました。CVE-2019-5786 は Google Chrome のサンドボックス回避に関する脆弱性で、被害を受けたコンピュータの他の実行中のプロセスを操作できるようになります。サイトにアクセスするときに使用したブラウザに応じて、攻撃初期のエクスプロイトが変更されており、このマルウェアで攻撃されていることから、古いバージョンの Chrome は脆弱である可能性があります。

防止策

これらのエクスプロイトが成功した場合、攻撃者は、被害者のコンピュータに高い権限でアクセスできるようになります。それを利用して、ボットネットやリモートアクセスのトロイの木馬のような他のマルウェアをダウンロードし、組織のネットワーク内部で水平に移動する可能性もあります。このような攻撃を検出して防止するためには、組織は以下の推奨事項を実施する必要があります。

強力なEDRの実装

エンドポイント検出・応答ソフトウェアは、プロセスの挙動をリアルタイムでアクティブに監視し、不審な挙動や悪意のある挙動、および侵害の予兆を特定します。すべてのファイルを分析し、既存のプロセスメモリを監視し、マルウェアであるか正規のプロセスであるかを 100% 認証する、強力なエンドポイントプロテクション(EPP)と組み合わせて EDR を使用するべきです。

マルウェアのコマンド & コントロールを識別、ブロックできる多層防御ツール

どのような防御でも、一層だけではすべてのマルウェアや侵入をブロックすることはできません。EDR に加えて、DNS ファイアウォールや IPS など、ボットネットのコマンド & コントロール(C&C)接続を検出してブロックすることができる他のサービスを利用してセキュリティを強化する必要があります。C&C をブロックするツールは、感染が発生した際に最後の強力な防衛線となり、マルウェアの機能や拡散を制限します。

セキュリティ侵害の痕跡情報(IoC)

ドメイン:

  • Judgementinvincible[.]com
  • Speedjudgementacceleration[.]com

ファイルの MD5:

  • B338E9E5EFA8AEDBDA533EEFF01871FF
  • 694398D10C925A92DC51932D412F9514
  • 7B40AA57E1C61ECD6DB2A1C18E08B0AF