di_blog_post

Deep Instinct prevents more advanced threats than any EPP or EDR in the world.

Deep Instinct Blog: Breaking News and Updates

プラットフォームの概要

エンドポイント セキュリティ

エンドポイントの先にあるもの

製品

ランサムウェアの予防

ゼロデイ攻撃の防止

ファイルレス攻撃の阻止

EPPの有効性の向上

EDRでは不十分

ソリューション

サイバーセキュリティにおける深層学習

Deep Instinctのお客様

Deep Instinctが信頼される理由

Deep Instinctについて

採用

お問い合わせ

ニュース

会社概要

カタログ/資料

ブログ

デモ動画

トレーニング

リソース

資料請求/デモリクエスト

カスタマーポータル

インテグレーション/コンプライアンス

クイックリンク

アプリケーション向けの対策

+ Microsoft Defender

従来のAVを置き換える

カタログ・資料

オンラインセミナー

リーダーシップメンバー

ボードメンバー

国内販売代理店

パートナ

content_block

Perspective & Findings

ブログを読む

Emotetの休暇は終了：悪い奴は休まない

emotet-blog2.png

Listing preview

Perspective & Findings

Emotetの休暇は終了：悪い奴は休まない

image_media_card

新しいMuddy Waterの脅威：新しい泥水はさらに濁っている

死から蘇った、2022年のエモテット

The Re-Emergence of Emotet

EDR では不十分な８つの理由

マルウェアローダー「Bumblebee」の闇

Deep Instinct のトレンド

carousel_cards

listing_preview

Blog JP

VSTO-blog.png

<h3>はじめに</h3>Office Visual Basic for Applications (VBA) のマクロは、数十年にわたり、多くの脅威者の<a href="/blog/types-of-dropper-malware-in-microsoft-office" target="_blank">核となるツール</a>となっていますこのツールにより、巧妙どころか、 <a href="https://www.trustedsec.com/blog/malicious-macros-for-script-kiddies/" target="_blank">とても巧妙な脅威者</a>が、世界中の無数のデバイスに目もくらむような数のマルウェアを送り込むことができるようになりました。そして長い間、Windows PCを感染させ、危険にさらす最も一般的な攻撃経路として、その役割を担ってきました。また、ネットワーク侵害、データ漏洩、ランサムウェアのインシデントを引き起こす悪意のあるキルチェーンの最初のリンクの重要なコンポーネントとして機能してきました。このようなマクロを使った脅威ですが、マイクロソフト社が、Webマーク（ファイルがローカルマシンから発信されていないことを示す）が付いたOfficeファイル内のVBAマクロを <a href="https://learn.microsoft.com/en-us/deployoffice/security/internet-macros-blocked" target="_blank">デフォルトでブロックする</a>という仕様変更をしたことにより、最近その勢いが弱まってきています。これにより、この攻撃対象は大幅に減少し、脅威者は代替となる攻撃経路を模索することを余儀なくされました。その1つが、最近流行している.LNK（ショートカット）ファイルの使用です。この例については、当社の最近の<a href="https://www.deepinstinct.com/ja/blog/the-dark-side-of-bumblebee-malware-loader" target="_blank">レポート</a>でご覧いただけます。また、Visual Studio Tools for Office (VSTO)もその一例です。以下では、VSTOが重要な攻撃経路となり得る、いくつかの「実戦的」な例について説明します。<h3>VSTOとは？</h3>ソフトウェア開発ツールセットのひとつで、マイクロソフト社のVisual Studio IDEで利用可能です。これは、Officeアドイン（Officeアプリケーション拡張の一種）を.NETで開発することを可能にし、また、これらのアドインを配信し実行するOfficeドキュメントを作成することを可能にします。さらに、VSTOアドインは、それらが開発された特定のOfficeアプリケーション（Word、Excelなど）に関連付けることができ、そのアプリケーションが起動するたびに実行されるので、コードを実行する能力に加えて興味深い永続化オプションを提供します。VSTOアドインはOfficeドキュメントと一緒にパッケージされるか（ローカルVSTO）、あるいは、VSTOベアリングOfficeドキュメントが開かれたときにリモートロケーションからフェッチされる（リモートVSTO）ことが可能です。ただし、この場合は信頼関連のセキュリティ・メカニズムをバイパスする必要があるかもしれません。<h3>脅威のベクトルとしてのVSTO</h3>現在の脅威の現状を観察すると、VSTOは（<a href="https://twitter.com/gN3mes1s/status/939146796605018113" target="_self">かなり前</a>から<a href="https://bohops.com/2018/01/31/vsto-the-payload-installer-that-probably-defeats-your-application-whitelisting-rules/" target="_blank">議論されていた</a> にもかかわらず）まだ珍しいベクトルであると言えます。しかし、難解な攻撃ベクトルが使われている場合にはよくあることですが、ほとんどのセキュリティベンダーによって検出されていないため、近い将来、普及が進む可能性があります。VSTOを含むOfficeファイルには、VSTOを含まないOfficeファイルと区別するためのいくつかのインジケータが含まれており、そのうちの主要なものは、Officeアプリケーションがアドインの場所を特定しインストールするために使用する”_AssemblyLocation”および”_AssemblyName”プロパティを含む”custom.xml”XMLが含まれていることです。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltae692c45fce8c9be" alt="図1 - ローカルVSTOアドインを参照する " src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltae692c45fce8c9be/63da8c54df2bf910c80316e8/fig01-custom-xml-referring-local-vsto-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1 - ローカルVSTOアドインを参照する "custom.xml" XMLの例</figcaption></figure><h3>ローカルVSTO</h3>VSTOがローカルの 「フレーバー」で採用された場合、.NETコンパイルされた.DLL 「アドイン」とその依存関係は、それを実行するために作成されたOffice文書とともに、一般的に.ISOファイルのような「コンテナ」に格納されます。ポルトガル語圏のユーザーを対象とした以下の詳細な例では、悪意のあるWord文書と隠れたVSTO「アドイン」およびその依存関係を含む悪意のある.ISOファイルのサンプルを見ることができます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt54d82b8f46d9881c" alt="図2 - 悪意のある.ISO、ここでは隠しファイルは表示されていない" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt54d82b8f46d9881c/63da8c54c8540a111ada8b4b/fig02-malicious-iso-hidden-files-not-shown.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2 - 悪意のある.ISO、ここでは隠しファイルは表示されていない</figcaption></figure><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blta83b367d030dd885" alt="図3 - 悪意のある.ISO、隠しファイル（ほとんどが依存関係にある）- ハイライト表示されているのがWord文書とVSTO「アドイン」ペイロード" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blta83b367d030dd885/63da8c545b2c1e6188c56ec2/fig03-malicious-iso-hidden-files-shown.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3 - 悪意のある.ISO、隠しファイル（ほとんどが依存関係にある）- ハイライト表示されているのがWord文書とVSTO「アドイン」ペイロード</figcaption></figure>被害者が悪意のあるWord文書を開くと、「Enable Content」ボタンをクリックして悪意のあるVBAマクロを実行させるのと非常によく似た方法で、「アドイン」をインストールするように促されます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt41d8d794383d1aa8" alt="図4 - Word文書（" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt41d8d794383d1aa8/63da8c540cf395166a6e22fb/fig04-word-doc-prompts-user-to-allow-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4 - Word文書（"Eventos_CDG_1Maio.docx"）に、「アドイン」のインストールを許可するかどうかを尋ねるプロンプトが表示される</figcaption></figure><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1785537237489441" alt="図5-“Eventos_CDG_1Maio.docx”に含まれる悪意のある”custom.xml”は、.ISOファイル上のローカルに存在する隠れた「アドイン」を参照している" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1785537237489441/63da8c54e480c910d1acbbb7/fig05-malicious-custom-xml-contained-by-eventos-referring-to-hidden-add-in.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5-“Eventos_CDG_1Maio.docx”に含まれる悪意のある”custom.xml”は、.ISOファイル上のローカルに存在する隠れた「アドイン」を参照している</figcaption></figure>ユーザーによって許可されると、悪意のあるアドインが実行されます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltfd8952f6b1cd8776" alt="図6 - VSTOのインストールプロンプト" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltfd8952f6b1cd8776/63da8c542d94ad4c89edc84d/fig06-vsto-installation-prompt.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6 - VSTOのインストールプロンプト</figcaption></figure>「アドイン」ペイロードを調べると、エンコードされ圧縮されたPowerShellコードを実行するためのものであることがわかります。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltff7e2e81ed5f2a4f" alt="図7 – “Eventos_CDG_1Maio.dll”ペイロードの”core”" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltff7e2e81ed5f2a4f/63da8c544ad09d10da61ae0b/fig07-eventos_cdg_1maio.dll-payload-core.png" /><figcaption style = "text-align: center;" style="text-align: center;">図7 – “Eventos_CDG_1Maio.dll”ペイロードの”core”</figcaption></figure>興味深い点は、上記のコードの親 .NET 名前空間が "schell_test" であることです。これは、このサンプルの登場の約2週間前の <a href="https://medium.com/@airlockdigital/make-phishing-great-again-vsto-office-files-are-the-new-macro-nightmare-e09fcadef010" target="_blank">Daniel Schell氏の投稿</a>で参照されています。上記を解読すると、このスニペットはCommand & Controlサーバーから追加のPowerShellコードを配信し、実行することを目的としています。<figure style = "margin: auto; text-align: center;width: 387px;"><img asset_uid="blt2deb8b0052b3ec77" alt="図8 - PowerShellのスニペットをデコードし、解凍したもの" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2deb8b0052b3ec77/63da8c543d28dd4dde642bc5/fig08-decoded-and-decompressed-powershell-snippet.png" /><figcaption style = "text-align: center;" style="text-align: center;">図8 - PowerShellのスニペットをデコードし、解凍したもの</figcaption></figure>残念ながら、この第2段階の追加コードは、本サンプルの調査前にオフラインになってしまったため、入手することができませんでした。<h3>リモートVSTO</h3>VSTOは、リモート方式で使用することもできます。つまり、アドインは、それを配信し実行するために作成されたOffice文書とは別に保存することができます。これは、VSTOを使用した攻撃の検出や防止をより困難にすると思われます。しかし、信頼できる発行者証明書などの様々な信頼関連のセキュリティチェックメカニズムを回避する必要があるため、攻撃者にとって実行までのプロセスがより複雑になる可能性もあります。以下の例では、悪意のあるWord文書から、リモートで保存されたVSTO「アドイン」への参照を見ることができます。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf4e068fa4bdd09dc" alt="図9 - リモートVSTO”custom.xml” XML" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf4e068fa4bdd09dc/63da8c545ca8a710cf4b7226/fig09-remote-vsto-custom-xml.png" /><figcaption style = "text-align: center;" style="text-align: center;">図9 - リモートVSTO”custom.xml” XML</figcaption></figure>脅威インテリジェンスデータの相互参照によって得られた「アドイン」.DLLペイロードを調べると、パスワードで保護された.ZIPアーカイブをダウンロードし、ユーザの%AppDataLocalフォルダでそれを展開し、含まれる”conhost.exe”ファイルを実行しようとする次のコードが含まれていることがわかります。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt29d36f5d1f3a9676" alt="図10 「第3ステージ」のペイロードの配信と実行コード" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt29d36f5d1f3a9676/63da8c54e4e29e75dc5df0ee/fig10-3rd-stage-payload-delivery-and-execution-code.png" /><figcaption style = "text-align: center;" style="text-align: center;">図10 「第3ステージ」のペイロードの配信と実行コード</figcaption></figure>残念ながら、このサンプルを調査する前にオフラインになってしまったため、第3段階のアーカイブとその中に含まれるペイロード（"conhost.exe"）を入手することは出来ませんでした。<h3>VTSO攻撃シナリオのPOC</h3>上記のサンプルに関連する最終的なペイロードを入手できなかったため、研究的な意味合いも含めて、複数のタイプの攻撃シナリオにおけるVSTOの使用方法について、概念実証（POC）を行うことにしました。

上のビデオでは、Meterpreterペイロードの配信と実行、および被害者のマシン上でのパーシステンスの確立を示すPOCのデモを見ることができます。POCコードは、<a href="https://github.com/deepinstinct/VSTO-POC" target="_blank">GitHubの公開リポジトリ</a>でご覧いただけます。このテストの中では、シンプルで検知可能なMeterpreterペイロードを使用したことを留意していただく必要があります。そのため、上記のビデオを撮影するために、<a href="https://www.deepinstinct.com/ja/vs-microsoft-defender" target="_blank">Microsoft Windows Defender</a>を無効にする必要がありました。しかし、POCコンポーネントの残りの部分は完全に検出されませんでした。<h3>結論</h3>VSTOアドインは、脅威の世界ではまだ比較的珍しい存在ですが、その実行能力（理論的には、完全な機能を持つマルウェア全体をVSTOアドインとして.NETで記述・開発可能）と持続性の両面から、より多くの脅威者が採用し、利用が増えていくことを予想しています。特に、国家やその他の「ハイレベル」な脅威者は、盗んだ（あるいは入手した）信頼できる証明書などの手段によって、Windows環境に存在する信頼メカニズムを回避する能力を獲得する可能性が高いため、この傾向は顕著になるでしょう。<h3>IOCs</h3>5530F5D20016E3F0E6BBC7FAD83EEC56F118179D4C5D89FC26863C37482F8930 E74DD27FF0BA050BBC006FD579B8022E07B570804588F0E861CC4B1321A3EC48 0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151 B3282DC58AD961911D94B712CEA11F649B0BA785D7FF74D7ED9946E1260DD521 40C9D3D58CE5DB0C6D18184E5813C980CD7B72EFC7505C53CD13E60860EF8157 78D6A2C0B52E9E5AF8007BC824EFD5846585A3056B3A0E6EFDFA7E60EED48C8C hxxps://34.241.171.114/ hxxp://classicfonts.live/<h3>MITRE Mapping</h3><table><thead class="bg-grey"><tr><th style="width: 15%;">Tactic</th><th>Technique</th><th>Description</th><th>Observable</th></tr></thead><tbody><tr><td>Execution</td><td>T1204.002User Execution: Malicious File</td><td>User must open a malicious document</td><td>E74DD27FF0BA050BBC006FD579B8022E07B570804588F0E861CC4B1321A3EC48</td></tr><tr><td>Execution</td><td>T1059.001Command and Scripting Interpreter: PowerShell</td><td>PowerShell code is executed</td><td>0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151</td></tr><tr><td>Defense Evasion</td><td>T1553.005Subvert Trust Controls: Mark-of-the-Web Bypass</td><td>.ISO container file used</td><td>5530F5D20016E3F0E6BBC7FAD83EEC56F118179D4C5D89FC26863C37482F8930</td></tr><tr><td>Defense Evasion</td><td>T1027Obfuscated Files or Information</td><td>Obfuscation used; Password protected file used.</td><td>0526F63486DE882CCF33374DCA4B093219A8FD93014BABE794715F04FF49B151, 78D6A2C0B52E9E5AF8007BC824EFD5846585A3056B3A0E6EFDFA7E60EED48C8C</td></tr><tr><td>Persistence</td><td>T1137.006Office Application Startup: Add-ins</td><td>VSTO Add-In's may be used for persistence</td><td>E62E05D9DE5DAAB900FC32941727870C018D7CFD46E2BAC43EF360B80B3A0B31</td></tr></tbody></table>

Macroが使えない？でも大丈夫。VSTOを武器にする脅威者たち

chatgpt-malicious-wishes-blog.png

OpenAIの「ChatGPT」は、2022年11月のリリース以来、量子コンピュータの説明の仕方から誕生日の詩の書き方まで、あらゆることをチャットボットに聞けるようになり、人気を博しています。しかしサイバーセキュリティの観点では、ある大きな疑問があります。それは、ChatGPTが攻撃者にとって高度な攻撃を行い、それを加速させるためのツールになるのではないかという懸念です。以下の調査は、ChatGPTが悪用された場合、どれほど危険なものになるかを実証しています。また、リサーチャーがこのツールを使って攻撃を阻止したり、ソフトウェア開発者がコードを改善したりする可能性もあります。しかし、私たちは、AIがマルウェアを検知する方法よりも、マルウェアを作ることに長けていることを発見しました。多くの技術の進歩と共に、マルウェアの開発者は、ChatGPTを悪用してマルウェアを拡散する方法を発見しています。フィッシングメッセージ、情報漏洩、暗号化ソフトウェアなど、AIツールによって作成された悪意のあるコンテンツの例は、すべてオンラインで共有されています。OpenAIは、新しいツールの悪用を防ぐためにいくつかの対策を講じ、ユーザーが悪意あるコンテンツ/コードの作成を依頼したときに、ソフトウェアが認識できるような仕組みを実装しています。例えば、ChatGPTにランサムウェアの作成を依頼した場合、ソフトウェアは「盗む」「身代金」といったフラグ付きの単語をチェックし、それに従わないようにします。しかし、以下に示すように、これらの制御を突破する方法があります。それは、質問の仕方にあります。<h3>すべては言い方次第</h3>ChatGPTは、悪意のあるコードを提供することを避けようとします。下の画像は、私がこのソフトウェアにGoキーロガーの提供を依頼した際の返答です：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltf04bbd046f350972" alt="図1: キーロガーの提供を拒否するChatGPTの返答" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf04bbd046f350972/63c8427ae6cd4a7779d9f929/fig01-chatgpt-refused-to-provide-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図1: キーロガーの提供を拒否するChatGPTの返答</figcaption></figure> しかし、私がリクエスト内容を言い直し、「キーロガー」という言葉を使わずに、どういうことをするプログラムが欲しいかを説明すると、私のリクエストは受理されました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt198cc2bb388f3945" alt="図2：Goキーロガーの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt198cc2bb388f3945/63c8427a1864e26d0032af7d/fig02-chatgpt-successfully-creating-go-keylogger.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：Goキーロガーの入手に成功</figcaption></figure><h3>AV回避を目指せ</h3>新しい子犬が他にどんな芸当ができるのか、またマルウェア対策ソリューションがどの程度対処できるのかを確認するために、私はより破壊的なマルウェアであるランサムウェアをAIにリクエストことにしました。当然のことながら、ランサムウェアをそのままリクエストすることはできず、以下のように、少し曖昧な表現でリクエストする必要がありました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltd641b177c5591cf9" alt="図3：Goランサムウェアの入手に成功" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltd641b177c5591cf9/63c8427a3431f93ff7f79ecc/fig03-chatgpt-successfully-creating-go-ransomware.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：Goランサムウェアの入手に成功</figcaption></figure> 上記の返信には、リクエストされたことをすべて実行するGoスクリプトが添付されていました。不足していた2つのインポートを追加し、デフォルトのAESキーと、ドロップされるテキストファイルのコンテンツとして使用されるデフォルトの文字列ChatGPTを変更するだけで、ランサムウェアの一部を動作させることができたのです。また、ボットのコメントも削除し、プログラムの検出をより困難にしました。そして、スクリプトをPE32ファイルとPE64ファイルにコンパイルし、問題なく実行できることを確認した後、VirusTotalにアップロードしてマルウェア対策ソリューションがどの程度対処できるかをチェックしました。その結果は驚くべきものでした。69のエンジンのうち4つだけがPE32を検出し、71のエンジンのうち2つだけがPE64バージョンを検知したのです。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt41a233c745211f9b" alt="図4：VirusTotalにおけるPE32亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt41a233c745211f9b/63c8427a83026010f1038cae/fig04-pe32-variant-detection-rate-on-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：VirusTotalにおけるPE32亜種の検知率</figcaption></figure> <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1230d55deef0ef1d" alt="図5：VirusTotalにおけるPE64亜種の検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1230d55deef0ef1d/63c8427a08b84c3d9e4c9a63/fig05-pe64-variant-detection-rate-virustotal.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：VirusTotalにおけるPE64亜種の検知率</figcaption></figure> このファイルを作成するためにコンパイルされたスクリプトがGoで書かれていたため、ファイルが見逃された可能性があります。Goはまだ一般的とは言えない言語ですが、まさにこの理由からこの検知回避の研究に選ばれました。 もう一つの可能性は、対称型暗号化アルゴリズム（AES）を使用していて、最近のランサムウェアのようにリモートアドレスにファイルをアップロードせず、特定のファイルタイプの暗号化を避けることもしないというシンプルなランサムウェアであることが挙げられます。いずれにせよ、これはランサムウェアであり、ほとんどのマルウェア対策ソリューションが少なくとも静的に検出できないことは、ChatGPTが悪用された場合にいかに危険であるかを明確に示しています。<h3>設計上のバグ</h3>前述したように、Goランサムウェアを動作させるためには、いくつかのインポートを追加する必要がありました。ChatGPTにキーロガーの作成を依頼した際にも同様のことが起こり、以下の画像に見られるように、ある関数の実装を私に任せてしまいました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt747488b5780f7d87" alt="図6：ファイル転送の実装が省略されている" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt747488b5780f7d87/63c8427ae97936109ef2be6d/fig06-omitted-file-transfer-implementation.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6：ファイル転送の実装が省略されている</figcaption></figure> 私は、これはバグではなく、AIソリューションが実際に動作するマルウェアの提供を回避するためのやり方ではないかと考えていました。ボットから受け取った下のメッセージは、私の推測をより確かなものにしました。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt1ac3ef584c795933" alt="図7：メッセージの内容に関する情報" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt1ac3ef584c795933/63c8427ab2a32b3f99e44c16/fig07-information-about-message-content.png" /><figcaption style = "text-align: center;" style="text-align: center;">図7：メッセージの内容に関する情報</figcaption></figure> ご覧の通り、ChatGPTは提供されたランサムウェアのコードが実行できないことを認識しており、それを実行させるために必要なライブラリまで知っていました。これは、AIになぜこれらのライブラリを自分でインポートしなかったのかと尋ねた後に得られた答えと相まって、ボットが意図的に実行不可能なコードを提供したのだという確信を持ちました。<h3>ジキルとハイド</h3>ChatGPTはマルウェアの作成に利用されることもありますが、セキュリティ リサーチャーがマルウェアを防御するのにも利用されます。たとえば、さまざまな攻撃手法を検知するためのYARAルールを記述することなどが可能になるのです。下の画像は、MITRE ATT&CKのサブテクニックT1055.002（プロセスインジェクション）を検知するために作成されたYARAルールの例です。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt9aff6f0361088df1" alt="図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9aff6f0361088df1/63c8427a1327af10d8774158/fig08-yara-rule-to-detect-process-injection-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図8：プロセスインジェクションを検出するYARAルール、このままでは誤検知しやすい</figcaption></figure> このルールは一般的すぎて誤検出が多くなりそうなので、より具体的なルールをAIに求めたところ、以下のような回答が返ってきました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blte277265c707d0169" alt="図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blte277265c707d0169/63c8427a7dbd6a1641ea2d84/fig09-make-above-yara-rule-less-prone-to-false-positives.png" /><figcaption style = "text-align: center;" style="text-align: center;">図9：プロセスインジェクションを検出するYARAルール、見逃しが発生しやすい</figcaption></figure> これだと誤検知は少なくなりますが、プロセスインジェクションを行うマルウェアを見逃すことが多くなります。いずれにせよ、私はボットが自身のルールを回避するコードを書くかどうかを確認したかったのですが、以下に示すように、ボットはいくつかの注意書きを付けた上で、リクエストを実行しました。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt96a5835ed986ed03" alt="図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt96a5835ed986ed03/63c8427aca4ee4418bab9b69/fig10-chatgpt-agreement-to-write-malware-that-bypasses-its-own-yara-rule.png" /><figcaption style = "text-align: center;" style="text-align: center;">図10：ChatGPTが自身のYARAルールによる検知を回避するマルウェアを書くことに同意している様子</figcaption></figure>どうやらChatGPTは、マルウェアを書くのが上手すぎて、自作を検知できるYARAルールを書くことができず、代わりに誤検知しやすいルールを提供してしまったようです。結局のところ、AIソリューションは、マルウェアを検知する方法を提供するよりも、マルウェアを作成することに長けているようです。 <figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt7f1475512190800e" alt="図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt7f1475512190800e/63c842845156964aea434e3c/fig11-chatgpts-inability-to-write-yara-rule-to-detect-its-own-work.png" /><figcaption style = "text-align: center;" style="text-align: center;">図11：ChatGPTが自作マルウェアを検出するYARAルールを書けない件</figcaption></figure><h3>調査・分析ツールとしてのChatGPT</h3>多くの最新ツールと同様に、ChatGPTには、サードパーティアプリケーションがAIに問い合わせ、オンラインユーザーインターフェースの代わりにスクリプトを使用して返信を受け取ることを可能にするAPIがあります。このAPIを利用して、サイバーセキュリティ研究者の仕事を大幅に楽にするオープンソースの分析ツールを作成した個人もすでにいます。そのようなツールの顕著な例として、<a href="https://github.com/JusticeRage/Gepetto" target="_blank">Gepetto</a>と<a href="https://github.com/moyix/gpt-wpre" target="_blank">GPT-WPRE</a>があり、それぞれIDAとGhidraを使って逆コンパイルしたコードに意味のあるコメントを追加します。また、PEファイルからIAT（Import Address Table）の内容を抽出し、インポートされたライブラリを使用して実装できるMITRE ATT&CK技術に関する情報を追加するスクリプトである<a href="https://github.com/fr0gger/IATelligence" target="_blank">IATelligence</a>も有用なツールの1つです。これらは、ChatGPTが持つ解析ツールとしての可能性のほんの一例に過ぎず、アイデアと努力次第では、このAIはSIEMシステムに統合され、現在で優秀なアナリストが行っている作業の多くを代理で行うことさえ可能になるかもしれません。<h3>もつれあった未来</h3>ChatGPTは、マルウェアの実行方法を知らない日常生活者のために悪意のあるコードを構築することはありませんが、そのような人たちの攻撃を加速させる可能性はあります。ChatGPTは今後も対策を練っていくと思いますが、前述のように、求めている結果を得るための質問の仕方を変えるやり方も出てくるでしょう。AIを使ったソリューション全般の進歩と、ChatGPTが示した能力から、マルウェアの作成と検知の将来は、今後のAI分野の進歩と、その一般化に大きく影響されると思われます。私たちの見立てでは、脅威者はこれらのツールを自分たちに有利になるように活用する方法を見つけていき、サイバーセキュリティの専門家は（少なくとも現時点では）これらのツールの恩恵をあまり受けられずに、これらのツールを使って作成されたマルウェアを防御する新しい方法を見つけなければならなくなるでしょう。<h3>生成されたランサムウェアのハッシュ値 </h3>894853e4422fcc697ec25dc4a6132cda800f66cd77994c0d4918bb7dec33bad3 eddie4-32.exe bedcf4cf0e16da111220f5239b55960847d3893f13a6db6aa7f97ca01150fc77 eddie4-54.exe

ChatGPTとマルウェア：悪意のある願いが現実になる

malicious-JARs-blog.png

2022年を通じてDeep Instinctは、悪意あるJARを持つ<a href="https://en.wikipedia.org/wiki/Polyglot_(computing)" target="_blank">polyglot</a>ファイルのさまざまな組み合わせを確認しました。最初の手法は少なくとも2018年頃、署名付きMSIファイルを使用してMicrosoftのコード署名検証をバイパスしていました。2019年、Virus TotalはMSI+JARのpolyglot テクニックについて書きましたが、Microsoftはその時点でこの問題を修正しないことを決定しました。<a href="https://www.securityinbits.com/malware-analysis/interesting-tactic-by-ratty-adwind-distribution-of-jar-appended-to-signed-msi" target="_blank">2020</a>年、このテクニックは悪意あるキャンペーンで悪用されたため、Microsoftが<a href="https://medium.com/@TalBeerySec/glueball-the-story-of-cve-2020-1464-50091a1f98bd" target="_blank">CVE-2020-1464</a>を割り当て、この問題を修正しました。修正されたにもかかわらず、Deep Instinctは2022年にこの手法がまだ使用されており、必ずしもCVEを悪用しない新しいタイプの polyglotが含まれていることを観察しました。むしろ、攻撃者は現在、JARファイル形式を適切に検証しないセキュリティソリューションを混乱させるためにpolyglotテクニックを使用しているのです。<h3>polyglotとは？</h3>polyglotファイルは、少なくとも2つのファイル形式を、それぞれの形式がエラーなく解釈できるように組み合わせることによって構成されます。任意のファイル形式の組み合わせからpolyglotを作ることができるわけではないため、少し面倒ですが、かなり多くの<a href="https://github.com/Polydet/polyglot-database" target="_blank">選択肢</a>の中から選ぶことができます。<h3>JARとは？</h3><a href="https://en.wikipedia.org/wiki/JAR_(file_format)" target="_blank">JAR</a>ファイルは基本的にZIPアーカイブです。ZIPファイルについて特別なことは、ZIPファイルはアーカイブの最後に位置するend-of-centralディレクトリレコードの存在によって正しく識別されることです。これは、私たちがファイルの始めに追加したどんな「junk」も無視され、アーカイブはまだ有効であることを意味します。この2つを組み合わせると、有効なMSIと有効なJARの両方を持つファイルができあがります。他のファイル形式では、ファイルの先頭に特別なマジックヘッダがあり、JARとは異なり、最初から読み込まれる必要がありますが、これらの形式の1つがMSIです。<h3>2022のキャンペーン</h3>2022年、Deep Instinctは、<a href="https://www.jaiminton.com/reverse-engineering/strrat" target="_blank">StrRAT</a>と<a href="https://www.youtube.com/watch?v=YJ8PZ6elyLE" target="_blank">Ratty</a> のサンプルが、polyglotとして、またはjunkを先頭に付加したJARファイルとして配布されていることを確認しました。両方のRATは既知の脅威であり、StrRATについては設定抽出ツールがあり、Rattyについては私たちが独自に設定抽出ツールを作成し、GitHubコミュニティにも共有しています。 <a href="https://github.com/deepinstinct/RattyConfigExtractor" target="_blank">https://github.com/deepinstinct/RattyConfigExtractor</a>これらのファイルが単一の脅威者のものか、複数の脅威者のものかは判断できませんでしたが、多くのサンプルでブルガリアのホスティング会社「BelCloud LTD」の利用が確認されました。また、RattyとStrRATのサンプルには、同じC2サーバを共有しているものがいくつか見受けられました。簡単にするために、ファイルに付加されている内容で分類します。<h3>#1 MSI:</h3>サンプル 5e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f8197991Linuxのfileコマンドでファイルを検査すると、このファイルはMSIファイルであると書かれていることがわかります：<figure style = "margin: auto; text-align: center;width: 614px;"><img asset_uid="blt2e9f9f745ae627ca" alt="図1：LinuxのファイルがサンプルをMSIファイルとして識別している様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2e9f9f745ae627ca/63bee84a47588310a1913f9b/fig1-linux-file-indentifies-sample-as-msi-file.png" height="auto" /><figcaption style = "text-align: center;" style="text-align: center;">図1：LinuxのファイルがサンプルをMSIファイルとして識別している様子</figcaption></figure>しかし、このファイルには有効なJARも含まれており、我々のRatty設定抽出ツールは、C2サーバ情報を正常に抽出することができました。このサンプルは、<a href="https://sendgrid.com/" target="_blank">Sendgrid</a>を使用して送信されていることが確認されていますが、これは特別なことではなく、MSI+JARpolyglot を使用したStrRATサンプルの一部もSendgridを使用して送信されています。MSI+JARpolyglot を使用したStrRATサンプルの一部は、cutt.lyやrebrand.lyなどのURL短縮サービスを使って拡散されていることが確認されています。また、サンプルはDiscord上でホストされているケースもありました。<h3>#2 CAB:</h3><a href="https://www.file-recovery.com/cab-signature-format.htm" target="_blank">CAB</a> ファイルは独自のマジックヘッダを持ち、最初から最後まで解釈されるため、JARファイルとのpolyglot には最適な候補となります。RattyとStrRATの両サンプルがCAB+JARのpolyglot を使用しているのを確認しました。特に、Rattyのサンプルであるf620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14de と StrRAT サンプルである　2f4c6eb0a307657fb46f4a8f6850842d75c1535a0ed807cd3da6b6678102e571 は共にCAB+JAR polyglotを使用し、同じC2サーバーdonutz.ddns[.]netを使用しています：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="bltfb077af360e7081e" alt="図2：StrRATとRatty（CAB+JAR）が同じC2サーバdonutz.ddns[.]netにリンクしている様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltfb077af360e7081e/63bee84a7a6762171d821d17/fig2-strRAT-and-Ratty-linked-to-the-same-c2-server.png" /><figcaption style = "text-align: center;" style="text-align: center;">図2：StrRATとRatty（CAB+JAR）が同じC2サーバdonutz.ddns[.]netにリンクしている様子</figcaption></figure><h3>#3 HEX Trash / Fake PE:</h3>脅威者が誤って作ったのか、それとも意図的に作ったのかはわかりませんが、これらのJARファイルには、HEX値が付加されています。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt05d5b955bdf7dc33" alt="図3：HEX値が付加されたサンプル19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt05d5b955bdf7dc33/63bee84a98b11c3ccecf6af5/fig3-sample-with-hex-values-appended.png" /><figcaption style = "text-align: center;" style="text-align: center;">図3：HEX値が付加されたサンプル19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf</figcaption></figure>この16進数の値は、実行可能なファイルであり、これらのファイルは、添付された16進数が単なる「junk」テキストであるため、polyglot ではありませんが、Linuxの”file”コマンドは、そのようなファイルのファイルタイプとして「データ」を返します。こうすれば、攻撃者はLinuxの "file "コマンドを使用してファイルの種類をチェックするセキュリティ・ソリューションを混乱させ、回避することができるのです。<h3>#4 Binary Junk:</h3><figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt8585c56be6e04e2b" alt="図4：バイナリデータを付加したサンプル8d801f58d10ddbc52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt8585c56be6e04e2b/63bee84ad7b1d54534245dfa/fig4-sample-with-appended-binary-data.png" /><figcaption style = "text-align: center;" style="text-align: center;">図4：バイナリデータを付加したサンプル8d801f58d10ddbc52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad</figcaption></figure>この内容は、ポリグラフを目的としたものではないため、これがミスなのか、それとも意図的に行われたものなのかは不明です。追記された内容は何らかのバイナリの一部であるようですが、追記されたデータは追記されたファイルの先頭が欠落しているようです。最終的な結果は同じで、ファイルタイプをチェックすることで「データ」として検出される有効なJARファイルです。<h3>この手法は攻撃者にとって有用だと思いますか？ (もちろんです！) </h3>RattyとStrRATはよく知られた脅威ですが、これらの付加されたJARファイルのいくつかは、VirusTotalでは非常に低い検知率を示しています。<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt14594c18eb515964" alt="図5：CAB+JA Rpolyglot の低い検知率" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt14594c18eb515964/63bee84aab6fbb46e5b71f9c/fig5-low-detection-rate-for-cab-jar-polyglot.png" /><figcaption style = "text-align: center;" style="text-align: center;">図5：CAB+JA Rpolyglot の低い検知率</figcaption></figure>VirusTotalの検知率は、特定のベンダーの真の検知能力を示すものではありません、ファイルが動的に実行された場合の挙動が異なる製品もあるからです。とはいえ、コンテンツが追加されたJARファイルは、既知の脅威であっても、少なくとも実行されるまでは検知されないことがあることは明らかです。<h3>これ以上の悪用を避ける方法はあるのでしょうか？ (もちろんあります！)</h3>もし、Linuxの "file "コマンドのような単純なファイルタイプチェックに頼ってJARファイルを識別できなかったとしたら、簡単な解決策は、JAR拡張子を持つすべてのファイルを「スキャン」することだけでしょう。しかし、これではまだ十分ではありません。JAVAはファイル拡張子を気にせず、どんな拡張子を持つ有効なJARファイルでも喜んで実行します。拡張子".jar "の名前を変更する唯一の欠点は、JARを単にクリックして実行するのではなく、コマンドラインから実行する必要があることです。私たちは、HTML+JARのpolyglot を作成し、これを実証しています：<figure style = "margin: auto; text-align: center;width: autopx;"><img asset_uid="blt234fc58952190333" alt="図6：拡張子がhtmlのHTML+JARポリグラフがブラウザで適切に表示され、JREで適切に実行される様子" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt234fc58952190333/63bee84a438f80612c397515/fig6-html-jar-polyglot-with-html-extension-properly-rendered-in-the-browser-and-properly-executed-by-jre.png" /><figcaption style = "text-align: center;" style="text-align: center;">図6：拡張子がhtmlのHTML+JARポリグラフがブラウザで適切に表示され、JREで適切に実行される様子</figcaption></figure>このファイルは、<a href="https://github.com/deepinstinct/RattyConfigExtractor" target="_blank">Ratty</a>マルウェア設定抽出ツールとともに、弊社の<a href="https://github.com/deepinstinct/JAR-Polyglot-POC">GitHub</a>でも公開しています。<h3>まとめ</h3>JARファイルの適切な検出は、静的および動的の両方であるべきです。なぜなら、すべてのファイルをスキャンして、ファイル末尾の中心ディレクトリレコードの存在を確認するのは非効率的だからです。防衛者は、「java」プロセスと「javaw」プロセスを監視し、そのプロセスが引数として”-jar”を持つ場合、引数として渡されたファイル名は、ファイル拡張子やLinuxの”file”コマンドの出力にかかわらず、JARファイルとして扱われるべきです。また、インシデント対応者やサイバーコミュニティの皆様は、感染時にDeep Instinct社が提供するRattyマルウェア設定パーサーを使用して、迅速にIOCを取得し、改善策を講じることができます。<h3>MITRE ATT&CK:</h3><table><thead class="bg-grey"><tr><th style="width: 15%;">タクティクス</th><th>テクニック</th><th>概要</th><th>オブサーバブル</th></tr></thead><tbody><tr><td>初回アクセス</td><td>T1566.002 Phishing: Spearphishing Link</td><td>攻撃者は、ペイロードに誘導するURL短縮サービスを利用します</td><td>Rebrand[.]ly/afjlfvp</td></tr><tr><td>防衛回避</td><td>T1036.001 Masquerading: Invalid Code Signature</td><td>攻撃者は、署名されたMSIファイルを追加します</td><td>85d8949119dad6215ae0a21261b037af</td></tr><tr><td>防衛回避</td><td>T1027.001 Obfuscated Files or Information: Binary Padding</td><td>攻撃者は、ファイルの先頭にジャンクデータを追加し、"file" コマンドが異なるファイルタイプを返すようにします</td><td>cb17f27671c01cd27a6828faaac08239</td></tr><tr><td>コマンド コントロール</td><td>T1102 Web Service</td><td>攻撃者は、Discordのコンテンツデリバリーネットワーク（CDN）を利用してマルウェアを配信しています</td><td>https://cdn[.]discordapp[.]com/attachments/938795529683480586/941658014962823208/Package_info[.]jar</td></tr></tbody></table>&nbsp;<h3>IOC:</h3>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

悪意のあるJARファイルとPolyglot ファイル:  悪性JARって何なんジャー


Deep Instinctが新しいMuddyWater(意味：泥水。スラングで“物事を理解しにくくするために関係ないことを持ち出す“という意味もある)の脅威キャンペーンを発見しました。この脅威の分析を紹介します。

MuddyWater-Blog.png

SpyAgent-Malware-Blog.png

Deep InstinctのThreat Labの研究者は、以下の歴史的なタイムラインに基づき、10年以上前に発生したと言われているマルウェアSpyAgent (A.K.A. TeamSpy/TVRat/TeamBot/Sheldor) の配布スキームに変化があったことを見つけました。SpyAgentは、正規の有名なリモートアクセスツール(RAT)を悪用するマルウェアです。私たちのチームが観測した最近の変化は、このマルウェアに多くのセキュリティ製品を回避し、回避しながらステルス性を保つことができるようになっている点です。私たちは、攻撃者が既存のセキュリティ制御を回避することが、増加傾向にあると見ています。これは業界にとって問題であり、「侵入を前提」として開発されたほとんどのセキュリティ・ソリューションは、被害を食い止められずに手遅れになるまで、こうしたステルス型の攻撃を見過ごすことになるからです。<h3>SpyAgentの歴史的背景：</h3><ul><li>2011年のレポートで、「Sheldor」という名前のマルウェアがDLL検索順序のハイジャックを行い、TeamViewer 5.0を悪用し、悪質な活動を行うことが報告されました</li><li>2013年の報告では、「TeamSpy」と名付けられたマルウェアが、DLLの検索順序のハイジャックを利用して、TeamViewer 6.0を悪用し、悪質な活動を行いました。このレポートでは、「Sheldor」と「TeamSpy」の関係も示されています</li><li>2016年のレポートでは、「Spy-Agent」という名前のマルウェアがDLL検索順序ハイジャックを利用してTeamViewer 6.0を悪意のある活動に悪用していました。このレポートには、マルウェアがC&Cサーバーと通信するために使用するユニークなURIパターンが含まれています</li><li>SpyAgentの主な機能は、正規のアプリケーションで使用される機能の一部をフックすることで、TeamViewerの利用を強化するために活用されています</li><li>SpyAgentが行う最も重要なことは、TeamViewerを使用してコンピュータに接続するために必要なクライアントの固有IDを取得することです</li><li>その他のフックは、ログを無効にし、アプリケーションのGUIを隠して、検出されないようにステルス化します</li></ul><h3>あれから10年：</h3><ul><li>2021年に発表されたレポートによると、「Spy-Agent」マルウェアは、TeamViewerのハイジャックから、TeamViewerのロシア版レプリカである「Safib Assistant」のハイジャックに移行することが確認されています</li><li>この報告書では、偽の暗号通貨関連アプリケーションを使ったマルウェアの配布スキームが示されています</li><li>偽のアプリケーションは、実際には複数のマルウェア・ファミリーのダウンローダーであり、RedLineなどの異なるRATやステイラーを含んでいます。「SpyAgent」は、ダウンロードされたマルウェア・ファミリーの1つです</li></ul><h3>最近の変化</h3>2022年5月、2021年に初めて見られた偽の暗号通貨キャンペーンに小さな変化が観察されました。NSISやInno Setupドロッパーを使用する代わりに、700MBを超える実行可能ファイルが検出を回避するために使用されました。これは、多くのセキュリティ製品がパフォーマンスの問題を補うために、スキャンされるファイルのサイズを制限しているためです。これは、2021年の報告書で指摘された、「Quartz.dll」SpyAgentファイルを1GB以上に膨らませる方法と似ています。これは、ファイルにゼロの大きなオーバーレイを付加するだけで、この手法により、オーバーレイを除いた実際のサイズ近くにまで該当ファイルを圧縮することができます。<figure style = "float: none;width: 595px;max-width:auto;"><img asset_uid="blt102c6360c03796fb" alt="図1：ファイルサイズを膨らませるためにファイル末尾に付加されたゼロの重なりで検知を回避" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt102c6360c03796fb/63459a085e9a09115c79d6c9/russian-spyagent-fig1.png" /><figcaption >図1：ファイルサイズを膨らませるためにファイル末尾に付加されたゼロの重なりで検知を回避</figcaption></figure>このファイルはサイズが大きいため、公開されているマルウェアレポジトリやサンドボックスには保存されていません。この大きなオーバーレイ実行ファイルは、マイクロソフトの.NET ClickOnce起動ユーティリティ「<a href="https://app.any.run/tasks/379dee24-c7f4-4255-a581-64d218fbe9f5/" target="_self">AppLaunch.exe</a>」を使用して、Web上からマルウェアファイルをダウンロードし、実行するドロッパー（送信プログラム）です。この変更に関連するその他の悪意のあるファイルは、ZIP 内に含まれる txt ファイルを<a href="https://www.virustotal.com/gui/file/0cfdd88e61fc93fbdc189de21b2cdaec357c2d8a82cddb532db894530d7d9a66/relations" target="_self">検索すること</a>で見つけることができます：<figure style = "float: none;width: 395px;max-width:auto;"><img asset_uid="blt8ce5dfe10c64c982" alt="図2：ZIPアーカイブに含まれるテキストファイルの内容" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt8ce5dfe10c64c982/63459a078c820a10568b92e0/russian-spyagent-fig2.png" /><figcaption >図2：ZIPアーカイブに含まれるテキストファイルの内容</figcaption></figure><figure style = "float: none;width: autopx;max-width:auto;"><img asset_uid="bltccc00e625446508b" alt="図3：同じテキストファイルを含む他のアーカイブ" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltccc00e625446508b/63459a08b8e4f9110c2ef96c/russian-spyagent-fig3.png" /><figcaption >図3：同じテキストファイルを含む他のアーカイブ</figcaption></figure>テキストはロシア語からに翻訳されます：&nbsp;<ol><li>アーカイブの中でクライアントを実行する</li><li>支払いを受け取るためにウォレットを入力する</li><li>それだけで毎日利益が得られて幸せに</li></ol>2022年6月、さらなる変化が観察されました。SpyAgentのテーマは、もはや暗号通貨アプリケーションに関連していません。ドロッパーファイルは再びInno Setupファイルですが、「Safib Assistant」にバンドルされた「SpyAgent」以外の追加のマルウェアをダウンロードしなくなりました。「Safib Assistant」は、TeamViwerと同様、知名度が低いだけで正規のツールであるため、この変更により、実際のマルウェアは「SpyAgent」のみとなり、キャンペーンの検知率が下がります。しかし、以前報告されたように、「SpyAgent」のDLLファイルは非常に大きなサイズです。<a href="https://attack.mitre.org/techniques/T1027/001/" target="_self">T1027.001</a> は、敵対者が「大きなファイルをスキャンするように設計または構成されていない特定のツールや検知機能の有効性を低下させる」ために使用する、MITREの既知の手法です。また、解析のために収集される可能性も低下させる可能性があります。VirusTotal などの公開ファイルスキャンサービスでは、分析対象としてアップロードできるファイルの最大サイズが制限されています。ファイル例&nbsp; 1565d137d235b65af1d1e4963ebc02eaf36cc81f870534674983bc6f67e5e274 は Inno Setup ファイルで、この記事の執筆中に4つのセキュリティベンダによって検知されました：&nbsp;&nbsp;<figure style = "float: none;width: 595px;max-width:auto;"><img asset_uid="blteafcc1b7aee600af" alt="図4：このファイルは3つの異なるzipファイルの中にあり、暗号のテーマとは関係ありません" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blteafcc1b7aee600af/63459a073aad9e1061a0b515/russian-spyagent-fig4.png" /><figcaption >図4：このファイルは3つの異なるzipファイルの中にあり、暗号のテーマとは関係ありません</figcaption></figure>ドロッパーは「Safib Assistant」を静かにインストールし、このソフトウェアの主な実行可能ハッシュはb8dde42c70d8c4a3511d5edffbc9f7f0c03dbda980e29693e71344f76da6bb0f、SpyAgent DLLなしでは悪質ではないもののわずか2社のセキュリティベンダによって検知されています：&nbsp;&nbsp;<figure style = "float: none;width: 470px;max-width:auto;"><img asset_uid="blta72402839e4df85a" alt="図5：「Safib Assistant」メイン実行ファイルのメタデータ" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blta72402839e4df85a/63459a0759c8ec116d140164/russian-spyagent-fig5.png" /><figcaption >図5：「Safib Assistant」メイン実行ファイルのメタデータ</figcaption></figure>SpyAgentのC&Cサーバは、分析中にIPアドレス185.125.206[.]172に解決したthief[.]lolです。調査中、C&Cはまだ動作していたため、「Safib Assistant」にバンドルされているマルウェアが本当に「SpyAgent:」であることを確認することができました。<figure style = "float: none;width: autopx;max-width:auto;"><img asset_uid="blt8e6b9196b6a5b3b1" alt="図6：SpyAgent C2パネル" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt8e6b9196b6a5b3b1/63459a089bac8c116ac5aaba/russian-spyagent-fig6.png" /><figcaption >図6：SpyAgent C2パネル</figcaption></figure><h3>結論</h3>TeamViewerと "Safib Assistant "はどちらも正規のリモート管理ツールですが、ステルス性を高めるスパイエージェント型マルウェアDLLがなければ、サイバー犯罪者にとってはあまり役に立ちません。一方、ステルス性を高めるために悪意のあるDLLファイルを追加する必要のない正規のリモート管理ツールは他にもいくつかあり、サイバー犯罪者がそのまま使用しているものもあります。Deep Instinctは、このようなツールを、悪意を持って使用される可能性があるため、必ずしも企業ネットワークでの使用が許可されていないサードパーティ製ソフトウェアであることから、デュアルユースに分類しています。Deep InstinctはSafib Assistantアプリケーションをブロックします。<img asset_uid="blt9330fd6adbcf9974" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9330fd6adbcf9974/6345b7bfa75f39138053b89d/russian-spyagent-fig7_new.png" height="auto"/><h3>MITRE ATT&CK:&nbsp;</h3><table><thead class="bg-grey"><tr><th width="15%" style="width: undefined; height: auto;height: auto;"> タクティクス</th><th width="20%" style="width: undefined; height: auto;height: auto;"> テクニック</th><th width="40%" style="width: undefined; height: auto;height: auto;"> 解説</th><th width="25%" style="width: undefined; height: auto;height: auto;"> オブザーブ</th></tr></thead><tbody><tr><td>ディスカバリー&nbsp;</td><td>T1082 システム情報の検知</td><td>SpyAgentは、以下の文字列を連結したMD5を環境ハッシュとして計算します：&nbsp;Value 1 = to_uppercase(crc32(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid))&nbsp;Value 2 = to_uppercase(crc32(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName))&nbsp;Value 3 = to_uppercase(crc32(user name))&nbsp;Value 4 = to_uppercase(crc32(computer name))&nbsp;</td><td>&lt;C&C domain&gt;/&lt;C&C path&gt;?id=&lt;9digit number&gt;&stat=&lt;environment hash&gt;&nbsp;</td></tr><tr><td>防衛回避&nbsp;</td><td>T1027.001 難読化されたファイルまたは情報：バイナリパディング</td><td>SpyAgentのquartz.dllが1GBのサイズに人為的に膨らんでいたこと</td><td>e2eea1960d77aa8a7153ff448601974c&nbsp; – 7z file containing “Safib Assistant” bundled with SpyAgent’s quartz.dll&nbsp;</td></tr><tr><td>&nbsp;</td><td>&nbsp;</td><td>SpyAgentのドロッパーの実行ファイルは、700MBのサイズに人為的に膨らんでいました&nbsp;</td><td>c72710b4c1f85eca7d1441e1191faa9b – zip file containing dropper.&nbsp;</td></tr><tr><td>&nbsp;</td><td>T1574.002 ハイジャック実行フロー：DLLサイドローディング</td><td>TeamViewerとSafib Assistantが使用するオリジナルのDLLから呼び出される様々なAPI関数をSpyAgentがフックし、パッチを適用します</td><td><a href="https://www.welivesecurity.com/2011/01/14/sheldor-shocked/" target="_self">tv.dll</a>&nbsp;<a href="https://blog.avast.com/a-deeper-look-into-malware-abusing-teamviewer" target="_self">msimg32.dll</a>&nbsp;avicap32.dll&nbsp;quartz.dll&nbsp;</td></tr><tr><td>&nbsp;</td><td>T1140 ファイルまたは情報の難読化／復号化</td><td>SpyAgentには、暗号化された設定を含む設定ファイル(.cfg)が付属しています。ビットマップファイル(.bmp)は、設定ファイルを復号するための鍵を導き出すために使用されます</td><td>80896fc71f5f9825a554858e15988713 – bmp file&nbsp;6f496789009980fe92070f4e0d670797 – cfg file&nbsp;</td></tr><tr><td>コマンド＆コントロール</td><td>T1219 リモートアクセスソフトウェア</td><td>SpyAgentのquartz.dllは、"Safib Assistant "を使用しています</td><td>8002d9e5851728eb024b398cf19de390 - Assistant.exe&nbsp;</td></tr><tr><td>&nbsp;</td><td>&nbsp;</td><td>SpyAgentのavicap32.dllはTeamViewerを使用しています</td><td>28c4c35aed7949277a9c68a04a113114 - TeamViewer.exe&nbsp;</td></tr><tr><td>&nbsp;</td><td>T1071.001 Webプロトコル</td><td>SpyAgentはHTTPを利用してコマンド・アンド・コントロールを行っている</td><td>&lt;C&C domain&gt;/&lt;C&C path&gt;?id=&lt;9digit number&gt;&stat=&lt;environment hash&gt;&nbsp;</td></tr></tbody></table>&nbsp;<h3>IOC&nbsp;</h3>1565d137d235b65af1d1e4963ebc02eaf36cc81f870534674983bc6f67e5e274&nbsp;Active Spy Agent C2:&nbsp; 23.19.227[.]217&nbsp; 45.66.151[.]237&nbsp; 108.62.118[.]48&nbsp; jmai[.]ink&nbsp;

ロシアのスパイエージェント - 10年経った今も変わらないRATツールの危険性

bumblebee-blog.png

Deep Instinct Threat Lab

From Deep Instinct Threat Lab.