di_blog_post

Deep Instinct prevents more advanced threats than any EPP or EDR in the world.

Deep Instinct Blog: Breaking News and Updates

プラットフォームの概要

エンドポイントの先にあるもの

エンドポイント セキュリティ

製品

ランサムウェアの予防

ゼロデイ攻撃の防止

EPPの有効性の向上

EDRでは不十分

ファイルレス攻撃の阻止

ソリューション

サイバーセキュリティにおける深層学習

Deep Instinctのお客様

Deep Instinctが信頼される理由

Deep Instinctについて

ニュース

採用

お問い合わせ

会社概要

カタログ/資料

ブログ

デモ動画

トレーニング

リソース

資料請求/デモリクエスト

カスタマーポータル

インテグレーション/コンプライアンス

クイックリンク

アプリケーション向けの対策

+ Microsoft Defender

従来のAVを置き換える

カタログ・資料

オンラインセミナー

リーダーシップメンバー

ボードメンバー

国内販売代理店

パートナ

content_block

Perspective & Findings

ブログを読む

Emotet再来! 2023年最初のマルスパムの波

emotet-returns-2023-blog.jpg

Listing preview

Perspective & Findings

Emotet再来! 2023年最初のマルスパムの波

image_media_card

2022年ガートナー®マジック・クアドラントのEPP部門でDeep Instinctが唯一の新規ベンダーに選ばれた理由

死から蘇った、2022年のエモテット

The Re-Emergence of Emotet

Emotetの休暇は終了：悪い奴は休まない

Deep Instinct のトレンド

carousel_cards

listing_preview

Blog JP

blog-phonyc2-muddywater.jpg

PhonyC2： MuddyWaterによる新たな悪意あるコマンド＆コントロール・フレームワークを暴く

pindos-js-dropper-blog.jpg

Deep Instinctの脅威リサーチラボは最近、BumblebeeとIcedIDを配信するJavaScriptベースのドロッパーの新種を発見しました。このドロッパーにはロシア語のコメントが含まれており、ロシアにおける現在（および過去）の <a href="https://en.wikipedia.org/wiki/Anti-American_sentiment_in_Russia#Pindos" target="_blank">反米コメント</a>の可能性がある独自のユーザーエージェント文字列 "PindOS" を採用しています。Bumblebeeは2022年3月に初めて発見されたマルウェアローダーです。<a href="https://info.deepinstinct.com/ja-jp/conti-leaks-cyber-threat-reports" target="_blank">Conti グループ</a> に関連しており、BazarLoaderの代替として使用されていました。ランサムウェアを含む他の複数のタイプのマルウェアの主要なベクターとして動作します。IcedIDは、金融情報を盗むために設計されたモジュラー型バンキングマルウェアです。少なくとも2017年以降出回っており、最近ではマルウェアの配信に重点を移していることが <a href="https://www.bleepingcomputer.com/news/security/new-icedid-variants-shift-from-bank-fraud-to-malware-delivery/" target="_blank">確認されています</a>。<h5>Bumblebeeのジレンマ - PowerShellかJavaScriptか？</h5><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltac10f75989680347" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltac10f75989680347/6493347d48e15a005746c1ff/fig00-bumble_meme.jpg" style="text-align: center;"/></figure>Bumblebeeの主な手口は、直近の<a href="https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads" target="_blank">大規模キャンペーン</a>を含め、非常に特徴的な難読化（「elemXXX」）を施したPowerShellベースのファーストステージを含みます。これは、埋め込まれた64ビットのペイロード.DLLのラッパーおよびロードルーチンとして機能します。このフローに関する我々の分析は、<a href="https://www.deepinstinct.com/ja/blog/the-dark-side-of-bumblebee-malware-loader" target="_blank">こちら</a>をご覧ください。PowerShellの代わりにJavaScriptに切り替わる可能性があることは、これまでBumblebeeが確立していたTTPに大きな変化をもたらします。<h5>IcedID - バンカーからローダーへ？</h5>最近の報告が示すように、IcedIDは部分的にEmotetの足跡をたどっているようであり、より一般化されたローダー型マルウェアになることを優先して、バンキングおよび金融系を狙った機能を放棄している可能性があります。新しいJavaScriptタイプのドロッパーとの関連は、この方向転換へのもう1つのステップと見ることができます。<h5>PindOS JavaScriptテクニカル分析</h5>難読化を解除すると、ドロッパーは驚くほどシンプルになります。これは、4つのパラメータを取得する単一の関数「exec」で構成されています：<ul><li>“UserAgent” – Bumblebee’sの .DLLをダウンロードする際に使用するユーザーエージェント文字列</li><li>“URL1” – ダウンロードする最初のアドレス</li><li>“URL2” – 2番目にダウンロードするアドレス</li><li>“RunDLL” – 呼び出すペイロード.DLLエクスポート関数</li></ul>実行されると、ドロッパーは最初にURL1からペイロードをダウンロードし、rundll32.exe経由で指定されたエクスポートを直接呼び出して実行しようとします。これが失敗すると、ドロッパーはURL2からペイロードをダウンロードし、PowerShellとrundll32.exeの組み合わせを使って実行しようとします。ダウンロードされたペイロードは %appdata%/Microsoft/Templates/&lt;6-char-random-number&gt;.dat に保存されます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><figure style = "float: none;width: auto;max-width:auto;"><img asset_uid="blt310d8e627d3469ad" alt="図1 - PindOSの主な機能" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt310d8e627d3469ad/6493347db9a076b80b92866c/fig01-pindos-main-function.png" /></figure>図1 - PindOSの主な機能</figure>この関数は、4つの別々のURLで2回呼び出されます：<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><figure style = "float: none;width: 597px;max-width:597px;"><img asset_uid="blt94b88382eb4426e4" alt="図2 - Bumblebeeドロッパーからのexec関数呼び出し" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt94b88382eb4426e4/6493347dd5b9a5988d6de2e6/fig02-exec-function-call-from-bumblebee-dropper.png" height="52" style="max-width: 597px;width: 597px;height: 52px;" /></figure>図2 - Bumblebeeドロッパーからのexec関数呼び出し</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt2ccea6ece70d6aef" alt="Figure 3 – exec function call from IcedID dropper" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2ccea6ece70d6aef/6493347d1fb2d3643c496f99/fig03-exec-call-from-icedid-dropper.png" style="text-align: center;"/>図3 - IcedIDドロッパーからのexec関数呼び出し</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltf4668bbd24eb05b8" alt="Figure 4 – Payload download" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf4668bbd24eb05b8/6493347df7411b69d437e201/fig04-payload-download.png" style="text-align: center;"/>図4 - ペイロードのダウンロード</figure>取得されたペイロードは、擬似的にランダムに「オンデマンド」で生成され、その結果、ペイロードが取得されるたびに新しいサンプルハッシュが生成されます。このような手口は、シグネチャベースの検知を避けるために一般的に行われています。しかし、Bumblebeeの場合、「初見」のファイルでもサンプルがシグネチャで <a href="https://www.virustotal.com/gui/file/28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523/detection/f-28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523-1686560298" target="_blank">検出されやすいため</a>、以前のフロー（ペイロードを直接ディスクに書き込まない）と比べると、これはやや効果がないように思われます。検出されやすい理由は、生成されたペイロードのエクスポートと、生成された異なるサンプル間で変化せず、一定のままである他のいくつかのインジケータ部分によるものと思われます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt9a6ab350a777b88a" alt="Figure 5 – A generalized comparison of Bumblebee’s infection flows - “older” on the right; “newer” on the left." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9a6ab350a777b88a/64933d2de66699a1d52eb992/fig05-a-generalized-comparison-of-bumblebees-infection-flows.png" style="text-align: center;"/>図5 - Bumblebeeの感染フローの一般的な比較 - 右が 「古い」、左が 「新しい」</figure>Virus Totalによると、「初見 」のPindOSドロッパーの検出率は非常に低い：<img asset_uid="blt5a182e8e00749668" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt5a182e8e00749668/64933d2d1fb2d36df6496fcb/fig06-vt-first-seen-detection-pindos-virus.png"/><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt6e2212907fb50273" alt="Figures 6 & 7 – VT first-seen detection for PindOS droppers" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt6e2212907fb50273/64933d2d48a8ff009c477fde/fig07-vt-first-seen-detection-pindos-dropper.png" style="text-align: center;"/>図6と図7 - PindOSドロッパーのVT初見検知</figure><h5>Bumblebee DLLペイロード解析のハイライト</h5>このDLLペイロードは、以前に遭遇したものとは若干異なっています。動的には非常によく似ていますが、難読化のレイヤーがいくつか追加されています。アンチデバッグおよびアンチVM/サンドボックス機能はそのままですが、<a href="https://github.com/FFmpeg/FFmpeg/blob/1617d1a752d5e97d5e74f6c384609c027c884553/libavutil/error.c" target="_blank">FFmpegプロジェクトのオープンソース</a> プロジェクトの "error.c "ファイルから取られた 「正規のように見える」 文字列がいくつか追加されており、同じプロジェクトの他のいくつかのファイルが目くらましの目的で追加されています：<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt64d2e5ce682d4b38" alt="Figure 8 – Strings found in Bumblebee DLL" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt64d2e5ce682d4b38/6493347d9601bc69e508214d/fig08-strings-found-in-bumblebee-dll.png" style="text-align: center;"/>図8 - Bumblebee DLLで見つかった文字列</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltff29e3f9d11aa98a" alt="Figure 9 – FFmpeg project source, “error.c” file." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltff29e3f9d11aa98a/6493347dea50bc3ffabea7f4/fig09-ffmpeg-project-source-error.c-file.png" style="text-align: center;"/>図9 - FFmpegプロジェクトのソース、"error.c "ファイル</figure>もう1つの違いは、以前のBumblebee DLLには2つの主要なエクスポート機能がありましたが、新しいDLLには4つのエクスポート機能があることです。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt3c905274f728fa88" alt="Figure 10 – “New” Bumblebee DLL Exports" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt3c905274f728fa88/6493347dd2420473b31cd636/fig10-new-bumblebee-dll-exports.png" style="text-align: center;"/>図 10 - 「新しい」Bumblebee DLL エクスポート</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltcb5ad0e83176edf1" alt="Figure 11 – “Old” Bumblebee DLL exports, with main “SetPath” function" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltcb5ad0e83176edf1/6493347d75c2ae82940617e7/fig11-old-bumblebee-dll-exports-with-main-setpath-function.png" style="text-align: center;"/>図11 - 「古い」Bumblebee DLLエクスポート、メイン "SetPath "関数付き</figure>DLLをさらに調べると、前の変形と同じメイン関数にたどり着きます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltec80d5d7fc0f0819" alt="Figure 12 – “SetPath” in the “new” Bumblebee DLL." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltec80d5d7fc0f0819/6493347ee6669913502eb96f/fig12-setpath-in-the-new-bumblebee-dll.png" style="text-align: center;"/>図12 - 「新しい」Bumblebee DLLの "SetPath"</figure><h5>結論</h5>Bumblebeeの最新の「実験」は、検知リスクを低減する手段として、疑似ランダム・サンプル生成を活用しようとするものです。これは、PindOSドロッパーを「共有」しているIcedIDを含め、金融/バンキングマルウェアの攻撃者によって長年使用されてきました。PindOSがBumblebeeやIcedIDの背後にいるグループによって恒久的に採用されるかどうかはまだ分かりません。この "実験"がこれらの "仲間"であるマルウェア群の配信に成功すれば、彼らの武器庫における恒久的なツールとなり、他の攻撃者たちの間で人気を博すかもしれません。Bumblebeeと <a href="https://thedfirreport.com/2023/05/22/icedid-macro-ends-in-nokoyawa-ransomware/" target="_blank">IcedID</a> はランサムウェアを配信することが知られているため、セキュリティチームはこれらのIOCに注意することをお勧めします。IOCの最新リストは<a href="https://github.com/deepinstinct/PindOS-JS-Dropper" target="_blank">GitHubページ</a>でご覧いただけます。<h5>IOCs</h5><ul><li>Network Artifact User-Agent: PindOS</li><li>Bumblebee infection URLs hxxps://qaswrahc.com/wp-content/out/mn[.]php hxxp://tusaceitesesenciales.com/mn[.]php hxxp://carwashdenham.com/mn[.]php hxxps://intellectproactive.com/dist/out/mn[.]php</li><li>Bumblebee .JS dropper SHA256 bcd9b7d4ca83e96704e00e378728db06291e8e2b50d68db22efd1f8974d1ca91 07d2cb0dc0cd353fb210b065733743078e79c4a27c42872cd516a6b1fb1f00d1 00ec8f3900336c7aeb31fef4d111ee6e33f12ad451bc5119d3e50ad80b2212b0 15da5b0a65dd8135273124da0c6e52e017e3b54642f87571e82d2314aae97eec 180a935383b39501c7bdf2745b3a334841f01a7df9d063fecca587b5cc3f5e7a</li><li>Bumblebee DLL payload SHA256 24dd5c33b8a5136bdf29d0c07cf56ef0e33a285bb12696a8ff65e4065cb18359 76c9780256e195901e1c09cb8a37fb5967f9f5b36564e380e7cf2558652f875b 28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523 ac261ac26221505798c65c61a207f3951cc7dce2e1014409d8a765d85bfd91d4</li><li>IcedID infection URLs hxxps://masar-alulaedu.com/wp-content/woocommerce/out/berr[.]php hxxps://egyfruitcorner.com/wp-content/tareq/out/berr[.]php hxxps://tech21africa.com/wp-content/uploads/out/berr[.]php hxxps://www.posao-austrija.at/images/out/lim[.]php hxxps://logisticavirtual.org/wp-content/out/lim[.]php hxxps://adecoco.us/wp-content/out/lim[.]php hxxps://acsdxb.net/wp-content/out/lim[.]php</li><li>IcedID .JS dropper SHA256 92506fe773db7472e7782dbb5403548323e65a9eb2e4c15f9ac65ee6c4bd908b c84c84387f0b9e7bc575a008f36919448b4e6645e1f5d054e20b59be726ee814 7355656f894ae26215f979b953c8fa237dc39af857a6b27754a93adb1823f3b6 8f40ff286419eb4b0c4d15710dc552afb2c2a227a180f4b4f520d09b05724151</li><li>IcedID DLL payload SHA256 9101975f7aca998da796fc15a63b36ab8aa0fe0aed0b186aaed06a3383d5f226 4f0c9c6fc1287ef16f4683db90dd677054a1f834594494d61d765fa3f2e1352c cb307d7fa6eaac6a975ad64ff966ff6b0b0fdd59109246c2f6f5e8d50a33e93c 361b0157ef63d362fdd4399288f5f6a0e1536633dfb49c808a3590718c4d8f10 e71c9ac9ddd55b485e636840da150db5cd2791d0681123457bd40623acd8311c 8ae3be9f09f5fc64ec898a4d6467b2f6e50eaaa26fc460a4f1a9b9566e97a9a7</li></ul><h5>MITRE ATT&amp;CK</h5><table><thead><tr><th style="width: 13%;">タクティクス</th><th>テクニック</th><th>概要</th><th>オブザーバブル</th></tr></thead><tbody><tr><td>エグゼキューション</td><td>コマンドとスクリプトのインタープリタ： JavaScript - T1059.007</td><td>攻撃者はJavaScriptのさまざまな実装を悪用して実行する可能性がある</td><td>.JS Droppers</td></tr><tr><td>防御回避</td><td>システムバイナリプロキシ実行： Rundll32 - T1218.001</td><td>攻撃者はrundll32.exeを悪用し、悪意のあるコードの実行を代理する可能性がある</td><td>Rundll32.exe 使用状況</td></tr><tr><td>防御回避</td><td>難読化されたファイルまたは情報 - T1027</td><td>攻撃者は、実行ファイルやファイルの内容を暗号化、符号化、あるいはシステム上や転送中に難読化することで、発見や分析を困難にする可能性がある</td><td>難読化JS、"Random" 生成ペイロード</td></tr></tbody></table>

PindOS：BumblebeeとIcedIDを運ぶ新しいJavaScriptドロッパー

blog-image-bpfdoor-malware.jpg

マルウェア「BPFDoor」が進化 - スニッフィングバックドアの機能を強化

Dirty Vanity コードインジェクション＆EDRバイパスの新しいアプローチ

cve-2023-23397-blog-image.jpg

免責事項：このブログには機密情報が含まれていますが、この情報は公開されており、少なくとも部分的には公知であるため、本ブログが無意味にならないように、いかなる情報も修正しません。この攻撃はシンプルで、ユーザーによる操作を必要としないため、我々はすべての人に、すぐにシステムにパッチを当てるよう促しています。2023年3月14日、マイクロソフトは、Microsoft Outlookにおける権限昇格の脆弱性（CVE-2023-23397）のセキュリティ修正プログラムをリリースしました。	特別に細工された電子メールを使い、Outlookクライアントによってこのメールが取得され処理される際に、自動的にこの脆弱性を発生させられる可能性があります。このような電子メールによる攻撃は、プレビューウインドウで表示される前に悪用される可能性があり、攻撃者は、攻撃者が制御するサーバーにターゲットのデバイスを認証させることによって、クレデンシャル情報を盗むことができます。ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、この脆弱性をマイクロソフトに報告しました。Microsoft Threat Intelligenceに基づき、ロシアを拠点とする脅威グループが、2022年4月から12月にかけて、欧州の複数の政府、軍事、エネルギー、輸送機関のネットワークを標的とした攻撃にこの脆弱性を使用しました。MDSec already MDSecはすでにこの攻撃のPOCを<a href="https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/" target="_blank">実演し、</a> セキュリティ研究者の <a href="https://twitter.com/kevthehermit/status/1635981427400400897" target="_blank">@KevTheHermit</a> は、出回っている電子メール攻撃のサンプルを発見しました。ディープインスティンクトの脅威ラボは、CERT-UAから報告された潜在的な攻撃も含め、この脆弱性を悪用する追加のサンプルを発見しています。このサンプルは、5つの明確なグループに分類することができます。以下は、攻撃のタイムラインです：<figure style = "margin: auto; text-align: center;width: auto;"><img asset_uid="blt032ce0ad10df7dd6" alt="図1：CVE-2023-23397を利用した攻撃のタイムライン" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt032ce0ad10df7dd6/6413c20811934c1085402d52/fig1-timeline-of-attacks-utilizing-cve-2023-23397.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1：CVE-2023-23397を利用した攻撃のタイムライン</figcaption></figure><h3>想定されるつながり</h3>マイクロソフトは、この攻撃はロシアを拠点とする脅威アクターに起因するとしています。ルーマニア、ポーランド、ウクライナへの攻撃はロシアの利益に沿うものであり、ヨルダン、トルコへの攻撃は異なる脅威アクターに関連する可能性があります。NTLMの採取につながるこの攻撃ベクトルは、イランの脅威アクターによって2020年にも<a href="https://unit42.paloaltonetworks.com/xhunt-campaign-new-watering-hole-identified-for-credential-harvesting/" target="_blank">観測</a>されています。ロシアとイランは <a href="https://www.cfr.org/blog/iran-russia-cyber-agreement-and-us-strategy-middle-east" target="_blank">サイバー協力協定</a>を締結しています。ヨルダン外務省は<a href="https://therecord.media/apt34-oilrig-iran-jordan-email-campaign-malwarebytes" target="_blank">過去</a>にイランの脅威アクターに狙われてため、この脆弱性がイラン側と共有されていた可能性があります。NTLMの採取は、ハッシュリレー攻撃やオフラインでのパスワードクラッキングに使用される可能性があり、攻撃者は攻撃された組織に事前にアクセスしていたか、多要素認証を必要としないリモート認証サービスの知識を持っていることを示唆しています。<h3>脆弱性をハンティング</h3>マイクロソフトは、脆弱性を含む悪意のあるメッセージを過去にさかのぼって検索するPowerShellスクリプトを <a href="https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/" target="_blank">提供</a>しました。このスクリプトは、メモ、予定、タスクという3種類のメッセージを検索します：<figure style = "margin: auto; text-align: center;width: 604px;"><img asset_uid="blt46f1b647b377698d" alt="図2：3つの特定のタイプのメッセージを探すMicrosoftのPowerShellコード" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt46f1b647b377698d/6413c2080c29c7363bf3956f/fig2-microsofts-powershell-code-that-looks-for-specific-messages-from-cve-2023-23397.png" height="auto" /><figcaption style = "text-align: center;" style="text-align: center;">図2：3つの特定のタイプのメッセージを探すMicrosoftのPowerShellコード</figcaption></figure>これは、脆弱性がこれらのタイプのメッセージのいずれかによって発生させられる可能性があることを示しています。Outlookをお使いの方は、これらのメッセージタイプのいくつかをよくご存じかもしれません：<figure style = "margin: auto; text-align: center;width: auto;"><img asset_uid="blt298f779daa396908" alt="図3：正規のタスクやアポイントメントを手動で作成する方法" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt298f779daa396908/6413c20858d08575eae5b295/fig3-how-to-legitimately-create-manual-task-appointment-outlook.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：正規のタスクやアポイントメントを手動で作成する方法</figcaption></figure>MDSecはPOCで”appointment”メッセージを使用しましたが、出回っている攻撃は”task”メッセージを使用しています：<figure style = "margin: auto; text-align: center;width: 433px;"><img asset_uid="blt398e5bc10dee52f8" alt="図4：悪質メールITWのIPM.Taskのプロパティ" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt398e5bc10dee52f8/6413c2084d478f2618dc953c/fig4-ipm.task-property-in-malicious-itw-cve-2023-23397.png" height="auto" /><figcaption style = "text-align: center;" style="text-align: center;">図4：悪質メールITWのIPM.Taskのプロパティ</figcaption></figure>VirusTotalで以下のクエリを使用すると、脆弱性を持つ疑いのあるメールが見つかりました。“content:{490050004d002e005400610073006b00} tag:outlook”メールにUNCパスが含まれている場合、これは脆弱性を利用した悪意のあるタスクであることを意味します。しかし、9月にポーランドのターゲットに送信された電子メールからは、上記のクエリでは発見できない抜粋を発見しました：<figure style = "margin: auto; text-align: center;width: auto;"><img asset_uid="blt76275f2529aacbeb" alt="図5：CVE-2023-23397の特徴を含む9月のファイル" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt76275f2529aacbeb/6413c2081605593a8b0d15d0/fig5-file-from-september-containing-characteristics-of-cve-2023-23397.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：CVE-2023-23397の特徴を含む9月のファイル</figcaption></figure><h3>まとめ</h3><ul><li>これらの攻撃は少なくとも2022年4月に始まった証拠が見つかっているが、もっと前から悪用されていた可能性がある</li><li>記事には公開されているデータのみを使用したため、実際に攻撃されたターゲットの範囲は、もっと高い可能性がある</li><li>マイクロソフトは、この攻撃がロシアを拠点とする脅威アクターに起因するとしているが、公開されている証拠によると、別の脅威アクターもこの脆弱性を悪用した可能性がある</li><li>この攻撃はユーザーによる操作を必要としないため、Outlookアプリケーションを使用しているすべての人に、できるだけ早くシステムにパッチを適用するよう促すことが重要</li><li>マイクロソフトが <a href="https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/" target="_blank">提供</a>するPowerShellスクリプトを実行し、Exchangeサーバー内の悪意のある電子メールを過去にさかのぼって検出することを推奨</li></ul><h3>IOCs</h3>24.142.165[.]2 101.255.119[.]42 113.160.234[.]229 168.205.200[.]55 181.209.99[.]204 185.132.17[.]160 213.32.252[.]221

CVE-2023-23397 出回っているエクスプロイト – 知っておくべきこと

2023年3月7日火曜日にEmotetが今年初めて、被害者を感染させるために新たなマルスパムを送信していることが確認されました。Emotetが最後に悪意のあるスパムを送信したのが2022年の11月であったため、これは重要なニュースです。しかも、今回の波は<a href="/ja/blog/emotet-vacation-is-over-ain-t-no-rest-for-the-wicked" target="_blank">11月のものとは異なり</a>、このブログで詳述しますが、新しい回避技術も含まれています。ディープインスティンクトの脅威リサーチチームは、昨年からEmotetを追跡しており、沈黙の期間と新たな戦術を使った再登場について書いています。今後もマルウェアの追跡を続け、変化や活動があれば、コミュニティに警告を発します。<ul><li>2022年11月17日投稿のブログ： <a href="/ja/blog/emotet-vacation-is-over-ain-t-no-rest-for-the-wicked" target="_blank">Emotetの休暇は終了：悪い奴は休まない</a></li><li>2022年6月9日投稿のブログ： <a href="/ja/blog/emotet-malware-returns-in-2022" target="_blank">死から蘇った、2022年のエモテット</a></li></ul>Emotetの復活をいち早く発見し、ツイートしたのは<a href="https://twitter.com/ilbaroni_/status/1633087980561735680" target="_blank">@ilbaroni_</a> <figure style = "margin: auto; text-align: center;width: 596px;"><img asset_uid="blt06f56e90c1fd7d11" alt="図1：Emotetの復活を初めて公開" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt06f56e90c1fd7d11/640a621ee5ffbf108e0bbf3f/fig1-first-public-observation-of-emotets-return.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1：Emotetの復活を初めて公開</figcaption></figure> <h3>スレッドハイジャックメールによる配信</h3>Emotetが使用した配信方法は昨年11月と同じですが、今回は添付されたzipファイルがパスワードで保護されていません。ディープインスティンクトの脅威リサーチチームは、日本を含む世界中の企業に送信されたスレッドハイジャック（盗んだ正規メールを利用する手口）メールを発見しました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt20e3927b313134eb" alt="図2：スレッドハイジャックされた日本語のメール" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt20e3927b313134eb/640a621e6d0cf81016ab9102/fig2-thread-hijacked-mail-in-japanese.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：スレッドハイジャックされた日本語のメール</figcaption></figure> <h3>Emotet マルスパムの変更点</h3>昨年11月、Emotetは悪意のあるExcelファイルをアーカイブ形式で送信していました。現在、Emotetは悪意のあるWordファイルを含むアーカイブを送信しています。Wordファイルにはマクロが含まれており、これを有効にすると感染動作が始まります。最初のページには、マクロを有効にするように受信者を誘い出そうとする画像が含まれています。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf706d459b420f0d1" alt="図3：1ページ目に表示されるソーシャルエンジニアリングの誘い文句" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf706d459b420f0d1/640a621ea7d98e0267ed3669/fig3-social-engineering-lure-on-first-page.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：1ページ目に表示されるソーシャルエンジニアリングの誘い文句</figcaption></figure> 2ページ目は白紙、3～7ページ目は小説<a href="https://en.wikipedia.org/wiki/Moby-Dick" target="_blank">モビーディック</a>からの抜粋で、白抜きフォントにすることで白紙に見えるように書かれています。文書全体の文字数は14,801文字、単語数は2,587語で、テキストは回避技術の一環として追加されたものと推察されます。多くのセキュリティツールは、画像とマクロだけのWord文書を悪意あるものとして分類しますが、ほとんどのケースではこれは事実だからです。21世紀の技術の進歩により、マクロを使用する理由はほとんどないにもかかわらず、正当な理由でマクロを使用する人もいます。マクロでファイルにテキストのコンテキストを追加すると、一部のセキュリティツールはそのファイルが良性であると考えるようになる可能性があります。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt9396b636b76e97a8" alt="図4：文字色を変えると隠れていた文字が見えてくる" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9396b636b76e97a8/640a621f325d0044fe5fabb6/fig4-changing-font-color-reveals-hidden-text.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：文字色を変えると隠れていた文字が見えてくる</figcaption></figure> この例のWord文書には、いくつかの難読化された長いマクロが含まれており、いくつかの危険なウェブサイトの1つからEmotet DLLを含むZIPファイルをダウンロードし実行します。これだけではなく、今回Emotetが行った最も興味深い変更点は、Word文書のサイズを500MB以上に人為的に膨らませることです。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt4771a740a24441f5" alt="図5：文書の末尾に0バイトを追加する" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt4771a740a24441f5/640a621fe35cc90ebcbd3896/fig5-zero-bytes-are-added-to-end-of-document.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：文書の末尾に0バイトを追加する</figcaption></figure> これは、ドキュメントの末尾にゼロバイトを追加するだけで行われます。ディープインスティンクトのリサーチャーは、以前、この手法が実行ファイルやDLLファイルなどの最終的なペイロードを膨らませるために<a href="/ja/blog/the-russian-spyagent-a-decade-later-and-rat-tools-remain-at-risk" target="_blank">使用されるのを見たことがあります</a>。結果は以前のものと同様で、ファイルが非常に大きいため、多くのセキュリティ製品やサンドボックスがスキャンせず、自動解析やIOC抽出が破綻してしまいます。前述のように、マクロは侵害されたホストからZIPファイルをダウンロードしますが、その中にはEmotetローダーであるDLLファイルが含まれています。このDLLも0バイトでファイルサイズが500MB以上に膨れ上がっています。最初の攻撃ベクトルとペイロードが人為的に膨張していることの組み合わせは、静的解析にのみ依存する製品を完全に盲目にするかもしれません。これらの変更にもかかわらず、ローダーの動作は同じに見えます。過去にEmotetはcertutil.exeのローカルバージョンをコピーしていましたが、今回Emotetは名前を変えたcertutilの特定のバージョンを"&lt;AppData&gt;Local\Temp. "にドロップします。観測されたバージョンのハッシュは次のとおりです：4224312da8c3a37b95dd78236fca5ca316021c5de6e517d0ddc753ee26932e6a Emotetは現在もプロセスインジェクションを使用しているため、静的検知だけに頼らないセキュリティ製品であれば、今回の攻撃を阻止できる可能性が高くなります。<h3>IOC </h3>DOC: a13b394e4017c0c77faf4fab6c3aea4de3443f11610cc85a1d677249b9b2bc3a DLL: efcf59f4423df8fdacbfa8c3d23b6a3e4722bab65c31ea8a7f32daadddfa7adc IOCの全リスト（278件）については、<a href="https://github.com/deepinstinct/Emotet-IOCs" target="_blank">GitHubページ</a>をご覧ください。

ducktail-blog.jpg

DUCKTAIL：新しいLNKやPowerShellなど、検出を回避するためのカスタム戦術を使った攻撃が再登場

VSTO-blog.png

<h3>はじめに</h3>Office Visual Basic for Applications (VBA) のマクロは、数十年にわたり、多くの脅威者の<a href="/blog/types-of-dropper-malware-in-microsoft-office" target="_blank">核となるツール</a>となっていますこのツールにより、巧妙どころか、 <a href="https://www.trustedsec.com/blog/malicious-macros-for-script-kiddies/" target="_blank">とても巧妙な脅威者</a>が、世界中の無数のデバイスに目もくらむような数のマルウェアを送り込むことができるようになりました。そして長い間、Windows PCを感染させ、危険にさらす最も一般的な攻撃経路として、その役割を担ってきました。また、ネットワーク侵害、データ漏洩、ランサムウェアのインシデントを引き起こす悪意のあるキルチェーンの最初のリンクの重要なコンポーネントとして機能してきました。このようなマクロを使った脅威ですが、マイクロソフト社が、Webマーク（ファイルがローカルマシンから発信されていないことを示す）が付いたOfficeファイル内のVBAマクロを <a href="https://learn.microsoft.com/en-us/deployoffice/security/internet-macros-blocked" target="_blank">デフォルトでブロックする</a>という仕様変更をしたことにより、最近その勢いが弱まってきています。これにより、この攻撃対象は大幅に減少し、脅威者は代替となる攻撃経路を模索することを余儀なくされました。その1つが、最近流行している.LNK（ショートカット）ファイルの使用です。この例については、当社の最近の<a href="https://www.deepinstinct.com/ja/blog/the-dark-side-of-bumblebee-malware-loader" target="_blank">レポート</a>でご覧いただけます。また、Visual Studio Tools for Office (VSTO)もその一例です。以下では、VSTOが重要な攻撃経路となり得る、いくつかの「実戦的」な例について説明します。<h3>VSTOとは？</h3>ソフトウェア開発ツールセットのひとつで、マイクロソフト社のVisual Studio IDEで利用可能です。これは、Officeアドイン（Officeアプリケーション拡張の一種）を.NETで開発することを可能にし、また、これらのアドインを配信し実行するOfficeドキュメントを作成することを可能にします。さらに、VSTOアドインは、それらが開発された特定のOfficeアプリケーション（Word、Excelなど）に関連付けることができ、そのアプリケーションが起動するたびに実行されるので、コードを実行する能力に加えて興味深い永続化オプションを提供します。VSTOアドインはOfficeドキュメントと一緒にパッケージされるか（ローカルVSTO）、あるいは、VSTOベアリングOfficeドキュメントが開かれたときにリモートロケーションからフェッチされる（リモートVSTO）ことが可能です。ただし、この場合は信頼関連のセキュリティ・メカニズムをバイパスする必要があるかもしれません。<h3>脅威のベクトルとしてのVSTO</h3>現在の脅威の現状を観察すると、VSTOは（<a href="https://twitter.com/gN3mes1s/status/939146796605018113" target="_self">かなり前</a>から<a href="https://bohops.com/2018/01/31/vsto-the-payload-installer-that-probably-defeats-your-application-whitelisting-rules/" target="_blank">議論されていた</a> にもかかわらず）まだ珍しいベクトルであると言えます。しかし、難解な攻撃ベクトルが使われている場合にはよくあることですが、ほとんどのセキュリティベンダーによって検出されていないため、近い将来、普及が進む可能性があります。VSTOを含むOfficeファイルには、VSTOを含まないOfficeファイルと区別するためのいくつかのインジケータが含まれており、そのうちの主要なものは、Officeアプリケーションがアドインの場所を特定しインストールするために使用する”_AssemblyLocation”および”_AssemblyName”プロパティを含む”custom.xml”XMLが含まれていることです。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltae692c45fce8c9be" alt="図1 - ローカルVSTOアドインを参照する " src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltae692c45fce8c9be/63da8c54df2bf910c80316e8/fig01-custom-xml-referring-local-vsto-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1 - ローカルVSTOアドインを参照する "custom.xml" XMLの例</figcaption></figure><h3>ローカルVSTO</h3>VSTOがローカルの 「フレーバー」で採用された場合、.NETコンパイルされた.DLL 「アドイン」とその依存関係は、それを実行するために作成されたOffice文書とともに、一般的に.ISOファイルのような「コンテナ」に格納されます。ポルトガル語圏のユーザーを対象とした以下の詳細な例では、悪意のあるWord文書と隠れたVSTO「アドイン」およびその依存関係を含む悪意のある.ISOファイルのサンプルを見ることができます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt54d82b8f46d9881c" alt="図2 - 悪意のある.ISO、ここでは隠しファイルは表示されていない" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt54d82b8f46d9881c/63da8c54c8540a111ada8b4b/fig02-malicious-iso-hidden-files-not-shown.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2 - 悪意のある.ISO、ここでは隠しファイルは表示されていない</figcaption></figure><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blta83b367d030dd885" alt="図3 - 悪意のある.ISO、隠しファイル（ほとんどが依存関係にある）- ハイライト表示されているのがWord文書とVSTO「アドイン」ペイロード" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blta83b367d030dd885/63da8c545b2c1e6188c56ec2/fig03-malicious-iso-hidden-files-shown.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3 - 悪意のある.ISO、隠しファイル（ほとんどが依存関係にある）- ハイライト表示されているのがWord文書とVSTO「アドイン」ペイロード</figcaption></figure>被害者が悪意のあるWord文書を開くと、「Enable Content」ボタンをクリックして悪意のあるVBAマクロを実行させるのと非常によく似た方法で、「アドイン」をインストールするように促されます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt41d8d794383d1aa8" alt="図4 - Word文書（" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt41d8d794383d1aa8/63da8c540cf395166a6e22fb/fig04-word-doc-prompts-user-to-allow-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4 - Word文書（"Eventos_CDG_1Maio.docx"）に、「アドイン」のインストールを許可するかどうかを尋ねるプロンプトが表示される</figcaption></figure><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1785537237489441" alt="図5-“Eventos_CDG_1Maio.docx”に含まれる悪意のある”custom.xml”は、.ISOファイル上のローカルに存在する隠れた「アドイン」を参照している" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1785537237489441/63da8c54e480c910d1acbbb7/fig05-malicious-custom-xml-contained-by-eventos-referring-to-hidden-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5-“Eventos_CDG_1Maio.docx”に含まれる悪意のある”custom.xml”は、.ISOファイル上のローカルに存在する隠れた「アドイン」を参照している</figcaption></figure>ユーザーによって許可されると、悪意のあるアドインが実行されます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltfd8952f6b1cd8776" alt="図6 - VSTOのインストールプロンプト" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltfd8952f6b1cd8776/63da8c542d94ad4c89edc84d/fig06-vsto-installation-prompt.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6 - VSTOのインストールプロンプト</figcaption></figure>「アドイン」ペイロードを調べると、エンコードされ圧縮されたPowerShellコードを実行するためのものであることがわかります。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltff7e2e81ed5f2a4f" alt="図7 – “Eventos_CDG_1Maio.dll”ペイロードの”core”" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltff7e2e81ed5f2a4f/63da8c544ad09d10da61ae0b/fig07-eventos_cdg_1maio.dll-payload-core.png" /><figcaption style = "text-align: center;" style="text-align: center;">図7 – “Eventos_CDG_1Maio.dll”ペイロードの”core”</figcaption></figure>興味深い点は、上記のコードの親 .NET 名前空間が "schell_test" であることです。これは、このサンプルの登場の約2週間前の <a href="https://medium.com/@airlockdigital/make-phishing-great-again-vsto-office-files-are-the-new-macro-nightmare-e09fcadef010" target="_blank">Daniel Schell氏の投稿</a>で参照されています。上記を解読すると、このスニペットはCommand & Controlサーバーから追加のPowerShellコードを配信し、実行することを目的としています。<figure style = "margin: auto; text-align: center;width: 387px;"><img asset_uid="blt2deb8b0052b3ec77" alt="図8 - PowerShellのスニペットをデコードし、解凍したもの" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2deb8b0052b3ec77/63da8c543d28dd4dde642bc5/fig08-decoded-and-decompressed-powershell-snippet.png" /><figcaption style = "text-align: center;" style="text-align: center;">図8 - PowerShellのスニペットをデコードし、解凍したもの</figcaption></figure>残念ながら、この第2段階の追加コードは、本サンプルの調査前にオフラインになってしまったため、入手することができませんでした。<h3>リモートVSTO</h3>VSTOは、リモート方式で使用することもできます。つまり、アドインは、それを配信し実行するために作成されたOffice文書とは別に保存することができます。これは、VSTOを使用した攻撃の検出や防止をより困難にすると思われます。しかし、信頼できる発行者証明書などの様々な信頼関連のセキュリティチェックメカニズムを回避する必要があるため、攻撃者にとって実行までのプロセスがより複雑になる可能性もあります。以下の例では、悪意のあるWord文書から、リモートで保存されたVSTO「アドイン」への参照を見ることができます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf4e068fa4bdd09dc" alt="図9 - リモートVSTO”custom.xml” XML" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf4e068fa4bdd09dc/63da8c545ca8a710cf4b7226/fig09-remote-vsto-custom-xml.png" /><figcaption style = "text-align: center;" style="text-align: center;">図9 - リモートVSTO”custom.xml” XML</figcaption></figure>脅威インテリジェンスデータの相互参照によって得られた「アドイン」.DLLペイロードを調べると、パスワードで保護された.ZIPアーカイブをダウンロードし、ユーザの%AppDataLocalフォルダでそれを展開し、含まれる”conhost.exe”ファイルを実行しようとする次のコードが含まれていることがわかります。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt29d36f5d1f3a9676" alt="図10 「第3ステージ」のペイロードの配信と実行コード" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt29d36f5d1f3a9676/63da8c54e4e29e75dc5df0ee/fig10-3rd-stage-payload-delivery-and-execution-code.png" /><figcaption style = "text-align: center;" style="text-align: center;">図10 「第3ステージ」のペイロードの配信と実行コード</figcaption></figure>残念ながら、このサンプルを調査する前にオフラインになってしまったため、第3段階のアーカイブとその中に含まれるペイロード（"conhost.exe"）を入手することは出来ませんでした。<h3>VTSO攻撃シナリオのPOC</h3>上記のサンプルに関連する最終的なペイロードを入手できなかったため、研究的な意味合いも含めて、複数のタイプの攻撃シナリオにおけるVSTOの使用方法について、概念実証（POC）を行うことにしました。

上のビデオでは、Meterpreterペイロードの配信と実行、および被害者のマシン上でのパーシステンスの確立を示すPOCのデモを見ることができます。POCコードは、<a href="https://github.com/deepinstinct/VSTO-POC" target="_blank">GitHubの公開リポジトリ</a>でご覧いただけます。このテストの中では、シンプルで検知可能なMeterpreterペイロードを使用したことを留意していただく必要があります。そのため、上記のビデオを撮影するために、<a href="https://www.deepinstinct.com/ja/vs-microsoft-defender" target="_blank">Microsoft Windows Defender</a>を無効にする必要がありました。しかし、POCコンポーネントの残りの部分は完全に検出されませんでした。<h3>結論</h3>VSTOアドインは、脅威の世界ではまだ比較的珍しい存在ですが、その実行能力（理論的には、完全な機能を持つマルウェア全体をVSTOアドインとして.NETで記述・開発可能）と持続性の両面から、より多くの脅威者が採用し、利用が増えていくことを予想しています。特に、国家やその他の「ハイレベル」な脅威者は、盗んだ（あるいは入手した）信頼できる証明書などの手段によって、Windows環境に存在する信頼メカニズムを回避する能力を獲得する可能性が高いため、この傾向は顕著になるでしょう。<h3>IOCs</h3>5530F5D20016E3F0E6BBC7FAD83EEC56F118179D4C5D89FC26863C37482F8930 E74DD27FF0BA050BBC006FD579B8022E07B570804588F0E861CC4B1321A3EC48 0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151 B3282DC58AD961911D94B712CEA11F649B0BA785D7FF74D7ED9946E1260DD521 40C9D3D58CE5DB0C6D18184E5813C980CD7B72EFC7505C53CD13E60860EF8157 78D6A2C0B52E9E5AF8007BC824EFD5846585A3056B3A0E6EFDFA7E60EED48C8C hxxps://34.241.171.114/ hxxp://classicfonts.live/<h3>MITRE Mapping</h3><table><thead class="bg-grey"><tr><th style="width: 15%;">Tactic</th><th>Technique</th><th>Description</th><th>Observable</th></tr></thead><tbody><tr><td>Execution</td><td>T1204.002User Execution: Malicious File</td><td>User must open a malicious document</td><td>E74DD27FF0BA050BBC006FD579B8022E07B570804588F0E861CC4B1321A3EC48</td></tr><tr><td>Execution</td><td>T1059.001Command and Scripting Interpreter: PowerShell</td><td>PowerShell code is executed</td><td>0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151</td></tr><tr><td>Defense Evasion</td><td>T1553.005Subvert Trust Controls: Mark-of-the-Web Bypass</td><td>.ISO container file used</td><td>5530F5D20016E3F0E6BBC7FAD83EEC56F118179D4C5D89FC26863C37482F8930</td></tr><tr><td>Defense Evasion</td><td>T1027Obfuscated Files or Information</td><td>Obfuscation used; Password protected file used.</td><td>0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151, 78D6A2C0B52E9E5AF8007BC824EFD5846585A3056B3A0E6EFDFA7E60EED48C8C</td></tr><tr><td>Persistence</td><td>T1137.006Office Application Startup: Add-ins</td><td>VSTO Add-In's may be used for persistence</td><td>E62E05D9DE5DAAB900FC32941727870C018D7CFD46E2BAC43EF360B80B3A0B31</td></tr></tbody></table>

Macroが使えない？でも大丈夫。VSTOを武器にする脅威者たち

chatgpt-malicious-wishes-blog.png

OpenAIの「ChatGPT」は、2022年11月のリリース以来、量子コンピュータの説明の仕方から誕生日の詩の書き方まで、あらゆることをチャットボットに聞けるようになり、人気を博しています。しかしサイバーセキュリティの観点では、ある大きな疑問があります。それは、ChatGPTが攻撃者にとって高度な攻撃を行い、それを加速させるためのツールになるのではないかという懸念です。以下の調査は、ChatGPTが悪用された場合、どれほど危険なものになるかを実証しています。また、リサーチャーがこのツールを使って攻撃を阻止したり、ソフトウェア開発者がコードを改善したりする可能性もあります。しかし、私たちは、AIがマルウェアを検知する方法よりも、マルウェアを作ることに長けていることを発見しました。多くの技術の進歩と共に、マルウェアの開発者は、ChatGPTを悪用してマルウェアを拡散する方法を発見しています。フィッシングメッセージ、情報漏洩、暗号化ソフトウェアなど、AIツールによって作成された悪意のあるコンテンツの例は、すべてオンラインで共有されています。OpenAIは、新しいツールの悪用を防ぐためにいくつかの対策を講じ、ユーザーが悪意あるコンテンツ/コードの作成を依頼したときに、ソフトウェアが認識できるような仕組みを実装しています。例えば、ChatGPTにランサムウェアの作成を依頼した場合、ソフトウェアは「盗む」「身代金」といったフラグ付きの単語をチェックし、それに従わないようにします。しかし、以下に示すように、これらの制御を突破する方法があります。それは、質問の仕方にあります。<h3>すべては言い方次第</h3>ChatGPTは、悪意のあるコードを提供することを避けようとします。下の画像は、私がこのソフトウェアにGoキーロガーの提供を依頼した際の返答です：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf04bbd046f350972" alt="図1: キーロガーの提供を拒否するChatGPTの返答" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf04bbd046f350972/63c8427ae6cd4a7779d9f929/fig01-chatgpt-refused-to-provide-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1: キーロガーの提供を拒否するChatGPTの返答</figcaption></figure> しかし、私がリクエスト内容を言い直し、「キーロガー」という言葉を使わずに、どういうことをするプログラムが欲しいかを説明すると、私のリクエストは受理されました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt198cc2bb388f3945" alt="図2：Goキーロガーの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt198cc2bb388f3945/63c8427a1864e26d0032af7d/fig02-chatgpt-successfully-creating-go-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：Goキーロガーの入手に成功</figcaption></figure><h3>AV回避を目指せ</h3>新しい子犬が他にどんな芸当ができるのか、またマルウェア対策ソリューションがどの程度対処できるのかを確認するために、私はより破壊的なマルウェアであるランサムウェアをAIにリクエストことにしました。当然のことながら、ランサムウェアをそのままリクエストすることはできず、以下のように、少し曖昧な表現でリクエストする必要がありました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltd641b177c5591cf9" alt="図3：Goランサムウェアの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltd641b177c5591cf9/63c8427a3431f93ff7f79ecc/fig03-chatgpt-successfully-creating-go-ransomware.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：Goランサムウェアの入手に成功</figcaption></figure> 上記の返信には、リクエストされたことをすべて実行するGoスクリプトが添付されていました。不足していた2つのインポートを追加し、デフォルトのAESキーと、ドロップされるテキストファイルのコンテンツとして使用されるデフォルトの文字列ChatGPTを変更するだけで、ランサムウェアの一部を動作させることができたのです。また、ボットのコメントも削除し、プログラムの検出をより困難にしました。そして、スクリプトをPE32ファイルとPE64ファイルにコンパイルし、問題なく実行できることを確認した後、VirusTotalにアップロードしてマルウェア対策ソリューションがどの程度対処できるかをチェックしました。その結果は驚くべきものでした。69のエンジンのうち4つだけがPE32を検出し、71のエンジンのうち2つだけがPE64バージョンを検知したのです。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt41a233c745211f9b" alt="図4：VirusTotalにおけるPE32亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt41a233c745211f9b/63c8427a83026010f1038cae/fig04-pe32-variant-detection-rate-on-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：VirusTotalにおけるPE32亜種の検知率</figcaption></figure> <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1230d55deef0ef1d" alt="図5：VirusTotalにおけるPE64亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1230d55deef0ef1d/63c8427a08b84c3d9e4c9a63/fig05-pe64-variant-detection-rate-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：VirusTotalにおけるPE64亜種の検知率</figcaption></figure> このファイルを作成するためにコンパイルされたスクリプトがGoで書かれていたため、ファイルが見逃された可能性があります。Goはまだ一般的とは言えない言語ですが、まさにこの理由からこの検知回避の研究に選ばれました。 もう一つの可能性は、対称型暗号化アルゴリズム（AES）を使用していて、最近のランサムウェアのようにリモートアドレスにファイルをアップロードせず、特定のファイルタイプの暗号化を避けることもしないというシンプルなランサムウェアであることが挙げられます。いずれにせよ、これはランサムウェアであり、ほとんどのマルウェア対策ソリューションが少なくとも静的に検出できないことは、ChatGPTが悪用された場合にいかに危険であるかを明確に示しています。<h3>設計上のバグ</h3>前述したように、Goランサムウェアを動作させるためには、いくつかのインポートを追加する必要がありました。ChatGPTにキーロガーの作成を依頼した際にも同様のことが起こり、以下の画像に見られるように、ある関数の実装を私に任せてしまいました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt747488b5780f7d87" alt="図6：ファイル転送の実装が省略されている" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt747488b5780f7d87/63c8427ae97936109ef2be6d/fig06-omitted-file-transfer-implementation.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6：ファイル転送の実装が省略されている</figcaption></figure> 私は、これはバグではなく、AIソリューションが実際に動作するマルウェアの提供を回避するためのやり方ではないかと考えていました。ボットから受け取った下のメッセージは、私の推測をより確かなものにしました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1ac3ef584c795933" alt="図7：メッセージの内容に関する情報" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1ac3ef584c795933/63c8427ab2a32b3f99e44c16/fig07-information-about-message-content.png" /><figcaption style = "text-align: center;" style="text-align: center;">図7：メッセージの内容に関する情報</figcaption></figure> ご覧の通り、ChatGPTは提供されたランサムウェアのコードが実行できないことを認識しており、それを実行させるために必要なライブラリまで知っていました。これは、AIになぜこれらのライブラリを自分でインポートしなかったのかと尋ねた後に得られた答えと相まって、ボットが意図的に実行不可能なコードを提供したのだという確信を持ちました。<h3>ジキルとハイド</h3>ChatGPTはマルウェアの作成に利用されることもありますが、セキュリティ リサーチャーがマルウェアを防御するのにも利用されます。たとえば、さまざまな攻撃手法を検知するためのYARAルールを記述することなどが可能になるのです。下の画像は、MITRE ATT&CKのサブテクニックT1055.002（プロセスインジェクション）を検知するために作成されたYARAルールの例です。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt9aff6f0361088df1" alt="図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9aff6f0361088df1/63c8427a1327af10d8774158/fig08-yara-rule-to-detect-process-injection-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい</figcaption></figure> このルールは一般的すぎて誤検出が多くなりそうなので、より具体的なルールをAIに求めたところ、以下のような回答が返ってきました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blte277265c707d0169" alt="図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blte277265c707d0169/63c8427a7dbd6a1641ea2d84/fig09-make-above-yara-rule-less-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい</figcaption></figure> これだと誤検知は少なくなりますが、プロセスインジェクションを行うマルウェアを見逃すことが多くなります。いずれにせよ、私はボットが自身のルールを回避するコードを書くかどうかを確認したかったのですが、以下に示すように、ボットはいくつかの注意書きを付けた上で、リクエストを実行しました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt96a5835ed986ed03" alt="図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt96a5835ed986ed03/63c8427aca4ee4418bab9b69/fig10-chatgpt-agreement-to-write-malware-that-bypasses-its-own-yara-rule.png" /><figcaption style = "text-align: center;" style="text-align: center;">図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子</figcaption></figure>どうやらChatGPTは、マルウェアを書くのが上手すぎて、自作を検知できるYARAルールを書くことができず、代わりに誤検知しやすいルールを提供してしまったようです。結局のところ、AIソリューションは、マルウェアを検知する方法を提供するよりも、マルウェアを作成することに長けているようです。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt7f1475512190800e" alt="図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt7f1475512190800e/63c842845156964aea434e3c/fig11-chatgpts-inability-to-write-yara-rule-to-detect-its-own-work.png" /><figcaption style = "text-align: center;" style="text-align: center;">図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件</figcaption></figure><h3>調査・分析ツールとしてのChatGPT</h3>多くの最新ツールと同様に、ChatGPTには、サードパーティアプリケーションがAIに問い合わせ、オンラインユーザーインターフェースの代わりにスクリプトを使用して返信を受け取ることを可能にするAPIがあります。このAPIを利用して、サイバーセキュリティ研究者の仕事を大幅に楽にするオープンソースの分析ツールを作成した個人もすでにいます。そのようなツールの顕著な例として、<a href="https://github.com/JusticeRage/Gepetto" target="_blank">Gepetto</a>と<a href="https://github.com/moyix/gpt-wpre" target="_blank">GPT-WPRE</a>があり、それぞれIDAとGhidraを使って逆コンパイルしたコードに意味のあるコメントを追加します。また、PEファイルからIAT（Import Address Table）の内容を抽出し、インポートされたライブラリを使用して実装できるMITRE ATT&CK技術に関する情報を追加するスクリプトである<a href="https://github.com/fr0gger/IATelligence" target="_blank">IATelligence</a>も有用なツールの1つです。これらは、ChatGPTが持つ解析ツールとしての可能性のほんの一例に過ぎず、アイデアと努力次第では、このAIはSIEMシステムに統合され、現在で優秀なアナリストが行っている作業の多くを代理で行うことさえ可能になるかもしれません。<h3>もつれあった未来</h3>ChatGPTは、マルウェアの実行方法を知らない日常生活者のために悪意のあるコードを構築することはありませんが、そのような人たちの攻撃を加速させる可能性はあります。ChatGPTは今後も対策を練っていくと思いますが、前述のように、求めている結果を得るための質問の仕方を変えるやり方も出てくるでしょう。AIを使ったソリューション全般の進歩と、ChatGPTが示した能力から、マルウェアの作成と検知の将来は、今後のAI分野の進歩と、その一般化に大きく影響されると思われます。私たちの見立てでは、脅威者はこれらのツールを自分たちに有利になるように活用する方法を見つけていき、サイバーセキュリティの専門家は（少なくとも現時点では）これらのツールの恩恵をあまり受けられずに、これらのツールを使って作成されたマルウェアを防御する新しい方法を見つけなければならなくなるでしょう。<h3>生成されたランサムウェアのハッシュ値 </h3>894853e4422fcc697ec25dc4a6132cda800f66cd77994c0d4918bb7dec33bad3 eddie4-32.exe bedcf4cf0e16da111220f5239b55960847d3893f13a6db6aa7f97ca01150fc77 eddie4-54.exe

ChatGPTとマルウェア：悪意のある願いが現実になる

malicious-JARs-blog.png

2022年を通じてDeep Instinctは、悪意あるJARを持つ<a href="https://en.wikipedia.org/wiki/Polyglot_(computing)" target="_blank">polyglot</a>ファイルのさまざまな組み合わせを確認しました。最初の手法は少なくとも2018年頃、署名付きMSIファイルを使用してMicrosoftのコード署名検証をバイパスしていました。2019年、Virus TotalはMSI+JARのpolyglot テクニックについて書きましたが、Microsoftはその時点でこの問題を修正しないことを決定しました。<a href="https://www.securityinbits.com/malware-analysis/interesting-tactic-by-ratty-adwind-distribution-of-jar-appended-to-signed-msi" target="_blank">2020</a>年、このテクニックは悪意あるキャンペーンで悪用されたため、Microsoftが<a href="https://medium.com/@TalBeerySec/glueball-the-story-of-cve-2020-1464-50091a1f98bd" target="_blank">CVE-2020-1464</a>を割り当て、この問題を修正しました。修正されたにもかかわらず、Deep Instinctは2022年にこの手法がまだ使用されており、必ずしもCVEを悪用しない新しいタイプの polyglotが含まれていることを観察しました。むしろ、攻撃者は現在、JARファイル形式を適切に検証しないセキュリティソリューションを混乱させるためにpolyglotテクニックを使用しているのです。<h3>polyglotとは？</h3>polyglotファイルは、少なくとも2つのファイル形式を、それぞれの形式がエラーなく解釈できるように組み合わせることによって構成されます。任意のファイル形式の組み合わせからpolyglotを作ることができるわけではないため、少し面倒ですが、かなり多くの<a href="https://github.com/Polydet/polyglot-database" target="_blank">選択肢</a>の中から選ぶことができます。<h3>JARとは？</h3><a href="https://en.wikipedia.org/wiki/JAR_(file_format)" target="_blank">JAR</a>ファイルは基本的にZIPアーカイブです。ZIPファイルについて特別なことは、ZIPファイルはアーカイブの最後に位置するend-of-centralディレクトリレコードの存在によって正しく識別されることです。これは、私たちがファイルの始めに追加したどんな「junk」も無視され、アーカイブはまだ有効であることを意味します。この2つを組み合わせると、有効なMSIと有効なJARの両方を持つファイルができあがります。他のファイル形式では、ファイルの先頭に特別なマジックヘッダがあり、JARとは異なり、最初から読み込まれる必要がありますが、これらの形式の1つがMSIです。<h3>2022のキャンペーン</h3>2022年、Deep Instinctは、<a href="https://www.jaiminton.com/reverse-engineering/strrat" target="_blank">StrRAT</a>と<a href="https://www.youtube.com/watch?v=YJ8PZ6elyLE" target="_blank">Ratty</a> のサンプルが、polyglotとして、またはjunkを先頭に付加したJARファイルとして配布されていることを確認しました。両方のRATは既知の脅威であり、StrRATについては設定抽出ツールがあり、Rattyについては私たちが独自に設定抽出ツールを作成し、GitHubコミュニティにも共有しています。 <a href="https://github.com/deepinstinct/RattyConfigExtractor" target="_blank">https://github.com/deepinstinct/RattyConfigExtractor</a>これらのファイルが単一の脅威者のものか、複数の脅威者のものかは判断できませんでしたが、多くのサンプルでブルガリアのホスティング会社「BelCloud LTD」の利用が確認されました。また、RattyとStrRATのサンプルには、同じC2サーバを共有しているものがいくつか見受けられました。簡単にするために、ファイルに付加されている内容で分類します。<h3>#1 MSI:</h3>サンプル 5e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f8197991Linuxのfileコマンドでファイルを検査すると、このファイルはMSIファイルであると書かれていることがわかります：<figure style = "margin: auto; text-align: center;width: 614px;"><img asset_uid="blt2e9f9f745ae627ca" alt="図1：LinuxのファイルがサンプルをMSIファイルとして識別している様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2e9f9f745ae627ca/63bee84a47588310a1913f9b/fig1-linux-file-indentifies-sample-as-msi-file.png" height="auto" /><figcaption style = "text-align: center;" style="text-align: center;">図1：LinuxのファイルがサンプルをMSIファイルとして識別している様子</figcaption></figure>しかし、このファイルには有効なJARも含まれており、我々のRatty設定抽出ツールは、C2サーバ情報を正常に抽出することができました。このサンプルは、<a href="https://sendgrid.com/" target="_blank">Sendgrid</a>を使用して送信されていることが確認されていますが、これは特別なことではなく、MSI+JARpolyglot を使用したStrRATサンプルの一部もSendgridを使用して送信されています。MSI+JARpolyglot を使用したStrRATサンプルの一部は、cutt.lyやrebrand.lyなどのURL短縮サービスを使って拡散されていることが確認されています。また、サンプルはDiscord上でホストされているケースもありました。<h3>#2 CAB:</h3><a href="https://www.file-recovery.com/cab-signature-format.htm" target="_blank">CAB</a> ファイルは独自のマジックヘッダを持ち、最初から最後まで解釈されるため、JARファイルとのpolyglot には最適な候補となります。RattyとStrRATの両サンプルがCAB+JARのpolyglot を使用しているのを確認しました。特に、Rattyのサンプルであるf620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14de と StrRAT サンプルである　2f4c6eb0a307657fb46f4a8f6850842d75c1535a0ed807cd3da6b6678102e571 は共にCAB+JAR polyglotを使用し、同じC2サーバーdonutz.ddns[.]netを使用しています：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltfb077af360e7081e" alt="図2：StrRATとRatty（CAB+JAR）が同じC2サーバdonutz.ddns[.]netにリンクしている様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltfb077af360e7081e/63bee84a7a6762171d821d17/fig2-strRAT-and-Ratty-linked-to-the-same-c2-server.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：StrRATとRatty（CAB+JAR）が同じC2サーバdonutz.ddns[.]netにリンクしている様子</figcaption></figure><h3>#3 HEX Trash / Fake PE:</h3>脅威者が誤って作ったのか、それとも意図的に作ったのかはわかりませんが、これらのJARファイルには、HEX値が付加されています。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt05d5b955bdf7dc33" alt="図3：HEX値が付加されたサンプル19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt05d5b955bdf7dc33/63bee84a98b11c3ccecf6af5/fig3-sample-with-hex-values-appended.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：HEX値が付加されたサンプル19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf</figcaption></figure>この16進数の値は、実行可能なファイルであり、これらのファイルは、添付された16進数が単なる「junk」テキストであるため、polyglot ではありませんが、Linuxの”file”コマンドは、そのようなファイルのファイルタイプとして「データ」を返します。こうすれば、攻撃者はLinuxの "file "コマンドを使用してファイルの種類をチェックするセキュリティ・ソリューションを混乱させ、回避することができるのです。<h3>#4 Binary Junk:</h3><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt8585c56be6e04e2b" alt="図4：バイナリデータを付加したサンプル8d801f58d10ddbc52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt8585c56be6e04e2b/63bee84ad7b1d54534245dfa/fig4-sample-with-appended-binary-data.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：バイナリデータを付加したサンプル8d801f58d10ddbc52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad</figcaption></figure>この内容は、ポリグラフを目的としたものではないため、これがミスなのか、それとも意図的に行われたものなのかは不明です。追記された内容は何らかのバイナリの一部であるようですが、追記されたデータは追記されたファイルの先頭が欠落しているようです。最終的な結果は同じで、ファイルタイプをチェックすることで「データ」として検出される有効なJARファイルです。<h3>この手法は攻撃者にとって有用だと思いますか？ (もちろんです！) </h3>RattyとStrRATはよく知られた脅威ですが、これらの付加されたJARファイルのいくつかは、VirusTotalでは非常に低い検知率を示しています。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt14594c18eb515964" alt="図5：CAB+JA Rpolyglot の低い検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt14594c18eb515964/63bee84aab6fbb46e5b71f9c/fig5-low-detection-rate-for-cab-jar-polyglot.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：CAB+JA Rpolyglot の低い検知率</figcaption></figure>VirusTotalの検知率は、特定のベンダーの真の検知能力を示すものではありません、ファイルが動的に実行された場合の挙動が異なる製品もあるからです。とはいえ、コンテンツが追加されたJARファイルは、既知の脅威であっても、少なくとも実行されるまでは検知されないことがあることは明らかです。<h3>これ以上の悪用を避ける方法はあるのでしょうか？ (もちろんあります！)</h3>もし、Linuxの "file "コマンドのような単純なファイルタイプチェックに頼ってJARファイルを識別できなかったとしたら、簡単な解決策は、JAR拡張子を持つすべてのファイルを「スキャン」することだけでしょう。しかし、これではまだ十分ではありません。JAVAはファイル拡張子を気にせず、どんな拡張子を持つ有効なJARファイルでも喜んで実行します。拡張子".jar "の名前を変更する唯一の欠点は、JARを単にクリックして実行するのではなく、コマンドラインから実行する必要があることです。私たちは、HTML+JARのpolyglot を作成し、これを実証しています：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt234fc58952190333" alt="図6：拡張子がhtmlのHTML+JARポリグラフがブラウザで適切に表示され、JREで適切に実行される様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt234fc58952190333/63bee84a438f80612c397515/fig6-html-jar-polyglot-with-html-extension-properly-rendered-in-the-browser-and-properly-executed-by-jre.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6：拡張子がhtmlのHTML+JARポリグラフがブラウザで適切に表示され、JREで適切に実行される様子</figcaption></figure>このファイルは、<a href="https://github.com/deepinstinct/RattyConfigExtractor" target="_blank">Ratty</a>マルウェア設定抽出ツールとともに、弊社の<a href="https://github.com/deepinstinct/JAR-Polyglot-POC">GitHub</a>でも公開しています。<h3>まとめ</h3>JARファイルの適切な検出は、静的および動的の両方であるべきです。なぜなら、すべてのファイルをスキャンして、ファイル末尾の中心ディレクトリレコードの存在を確認するのは非効率的だからです。防衛者は、「java」プロセスと「javaw」プロセスを監視し、そのプロセスが引数として”-jar”を持つ場合、引数として渡されたファイル名は、ファイル拡張子やLinuxの”file”コマンドの出力にかかわらず、JARファイルとして扱われるべきです。また、インシデント対応者やサイバーコミュニティの皆様は、感染時にDeep Instinct社が提供するRattyマルウェア設定パーサーを使用して、迅速にIOCを取得し、改善策を講じることができます。<h3>MITRE ATT&CK:</h3><table><thead class="bg-grey"><tr><th style="width: 15%;">タクティクス</th><th>テクニック</th><th>概要</th><th>オブサーバブル</th></tr></thead><tbody><tr><td>初回アクセス</td><td>T1566.002 Phishing: Spearphishing Link</td><td>攻撃者は、ペイロードに誘導するURL短縮サービスを利用します</td><td>Rebrand[.]ly/afjlfvp</td></tr><tr><td>防衛回避</td><td>T1036.001 Masquerading: Invalid Code Signature</td><td>攻撃者は、署名されたMSIファイルを追加します</td><td>85d8949119dad6215ae0a21261b037af</td></tr><tr><td>防衛回避</td><td>T1027.001 Obfuscated Files or Information: Binary Padding</td><td>攻撃者は、ファイルの先頭にジャンクデータを追加し、"file" コマンドが異なるファイルタイプを返すようにします</td><td>cb17f27671c01cd27a6828faaac08239</td></tr><tr><td>コマンド コントロール</td><td>T1102 Web Service</td><td>攻撃者は、Discordのコンテンツデリバリーネットワーク（CDN）を利用してマルウェアを配信しています</td><td>https://cdn[.]discordapp[.]com/attachments/938795529683480586/941658014962823208/Package_info[.]jar</td></tr></tbody></table>&nbsp;<h3>IOC:</h3>d51d269b62e55d4af8a4bd72dcf3c5115ad27fe5466640041c658c0325194451534a4b0e17723755dd8cbdcdec309004ef59c3dfacb87fac86da4548780d2f1b08921a6b0b2903b9c991acb869930c7cab3cbaf11e002be9c88400af48c3fa2159a02230a78b87c97eebbf7cdba40ea17c7d9411d706fd255c2a6a025584fd9fa9ac4ae704da346a0f3d2960b084d8f314c0fd60a934116e3c75647c713314b647fc7fc1658acfa2f7a0b388bea6b52787f186bf8297ce189a575d547dfbd8e0a80add76ff8ad0e1c3bdab9459546fd724e1f4034248d1542aec1264c02d3857f0e57c84ba1958cabf24cfec4a0d50be6b7bc0e45c639d08a53097494373ae9ee7812ff64dbe51584d3090e008b464510dbb87ac860c68d89e224621755021f941ef2dfa736e9a24a1a29a373357ac249dad99f86f1cc0283ddd4765fa14e54a8d801f58d10dbcd52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cadf79ba296aeab13be409ee3ef435f47a8888f7186a062fa481603ec32f3d6b678262e6824f0c4c765e73a7041362d7a3a8d63dab1be91ecf5e80623ac6e2f389eb6a0dcd8c9bc11794837e8f9350e2816ae7a60d148f3e6f436c2645f450feeabf620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14de54814775c2f266cafe3d4ddc58bc400360aad8cea95e0d3ee74ceceb927cb3b82f4c6eb0a307657fb46f4a8f6850842d75c1535a0ed807cd3da6b6678102e57174c8d5e01e2bb52c6f5cd7863168085ff81bea970b5309ec180c2e1a299096dff2b36a7df3d0b4d63bbbc529b7a27282e5626300e1353d2596866e4a82165f644f00914f63181c0afbfff41a95f5f1364c61d78ffb250ec8ef3102b3d3bd7003a989289cd6df1b1c38dbda84eb3b286bb8fb7a2af9beb1e55b029dbf861bac83521a2e7ee2558d83e29bceb68a8c4ea0ecce4bddcb05cc0d3b0365522f126d1f19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcfe3be7066e6922d7460dea80ca5b7fef8f4abc7b1f056d8f329c03b306e8ca9b0788f1abb67d6f21cf299e2f67a2b414d169e8ab16cc8a61bf698e5c7f14829995e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f81979910c14d804efe1db9377bfe3d5e06ba37a4817cc4bd0f6404ed7d705219295e8151056554bca75450d07fcc5df7c1ca4686a2fefbe76cc9fb60343364678ca8744f2d7e93978c0991e376466810adf18262e4a7fb2864c7a87f22e3fa71adb6519496251bb063e4ee3769139a34ccfbdd81ba52b004836da7aaabd5e5e67f87478d00d85589908ba95536822dea356afb5a9148628a7e2207c6e850024c0ba434d928551a303110983871266af840df71bf7427dcff242688c105f04d4aa87806be2d67077cbcab70d47a95b8da25a2a35fe1f1099ed71d8b06f8e78dd741fc2b7d0703f8f70aff6e3975f3b7c8d037b5a0d3d1b8e4a91b2a6c65227c7932dded59e0468a7249fd6bc2b911434b0c7afa2a9d92473e2402a1a3ad357119c579d63fe72f76f147bce32338a4b0b88c3d59dd3e85406ab1b3b273aab7cb7227fae52964eceee84de3d0b8b3565100c1e45dab1b4b5ff7c61f03a198a56714c03ca32d8c04d3a6e6e5058c10a56890a9dcf41ac5e47a22dc1002e89415ee0f37c7f05

悪意のあるJARファイルとPolyglot ファイル:  悪性JARって何なんジャー

2022年ガートナー®マジック・クアドラントのEPP

2022年ガートナー®マジック・クアドラントのEPP

Deep Instinct Threat Lab

From Deep Instinct Threat Lab.

PhonyC2： MuddyWaterによる新たな悪意あるコマンド＆コントロール・フレームワークを暴く

PindOS：BumblebeeとIcedIDを運ぶ新しいJavaScriptドロッパー

マルウェア「BPFDoor」が進化 - スニッフィングバックドアの機能を強化

Dirty Vanity コードインジェクション＆EDRバイパスの新しいアプローチ

CVE-2023-23397 出回っているエクスプロイト – 知っておくべきこと

Emotet再来! 2023年最初のマルスパムの波

DUCKTAIL：新しいLNKやPowerShellなど、検出を回避するためのカスタム戦術を使った攻撃が再登場

Macroが使えない？でも大丈夫。VSTOを武器にする脅威者たち

ChatGPTとマルウェア：悪意のある願いが現実になる

悪意のあるJARファイルとPolyglot ファイル: 悪性JARって何なんジャー

製品

ソリューション

Deep Instinctが信頼される理由

会社概要

リソース

クイックリンク