6月8日、ハッカーニュース(thehackernews.com)により DogWalk という新たな Windows ゼロデイ脆弱性が公開された。MS Office ドキュメントを対象とした Follina 脆弱性と同じく、MSDT(Microsoft Support Diagnostic Tool)において発生する脆弱性であり、圧縮形式の「.diagcab」拡張子のファイルを実行すると Windows のスタートアップフォルダーに不正なファイルがコピーされる危険性が確認されている。不正なファイルが動作するためには再起動が必要であるという制約事項があるが、Microsoft によるセキュリティパッチが公開されていない状況においては攻撃にさらされる可能性のある、危険な状態である。
AhnLab 分析チームからは、この脆弱性を利用した攻撃に対し V3 の行為検知機能を使用すれば、事前検知が可能であることを紹介する。Web ブラウザや Outlook を通じて配布された「.diagcab」ファイルをダウンロードしたあと実行すると、msdt.exe プロセスにより Windows スタートアップフォルダーに実行ファイルがコピーされる振る舞いを検知し、削除を行う。
- スタートアッププログラムのパス:C:\Users\ユーザーアカウント\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
以下の画像は、この脆弱性を発現した際に、V3 行為検知機能によって検知する様子を示している。
msdt.exe の振る舞いを遮断する詳細内容は以下の通りである。
[V3 行為検知]
– InitialAccess/MDP.Event.M4331 (V3: 2022.06.15.00)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報