Windows システムのデータベースである MS-SQL サーバーは攻撃対象として代表的なものである。攻撃者は適切に管理されていない脆弱な MS-SQL サーバーを対象にスキャニングを行い、制御権の獲得に成功するとマルウェアをインストールする。攻撃のためにインストールされるマルウェアは、コインマイナーやランサムウェア、バックドア型マルウェアなど目的に合わせて様々なタイプが存在している。
バックドア型マルウェアは Remcos RAT や Gh0st RAT のような遠隔操作されるものが大半を占めているが、Cobalt Strike や Meterpreter のような企業の内部システムを掌握するために使用されるペネトレーションテストのツールも確認されている。
本記事で扱う攻撃事例では、攻撃者が脆弱な MS-SQL サーバーをターゲットとして Cobalt Strike や Meterpreter をインストールして制御権を獲得したのち、感染システムをリモートデスクトップ環境で扱うために AnyDesk ユーティリティをインストールしている。参考として、以下のブログで紹介しているように Kimsuky グループも Meterpreter を利用して制御権を獲得し、リモートデスクトップの用途で VNC マルウェアを使用したことがある。Kimsuky グループは GitHub に公開された TinyNuke の HVNC および TightVNC をカスタマイズして使用していた。
AnyDesk は TeamViewer のような遠隔操作アプリケーションとして、リモートデスクトップ、ファイル送信などの様々な機能を提供している。リモートデスクトップは、RDP のような AnyDesk がインストールされる環境に遠隔でアクセスし、GUI 環境での操作をサポートしているプログラムである。
特定のユーザー環境に AnyDesk がインストールされており、外部から当該システムにアクセスしようとすると、メッセージがポップアップで表示され、ユーザーがこれを許可すると外部から当該システムへの遠隔操作が可能になる。このような方法以外にも AnyDesk ではパスワードを設定できるが、この時はパスワードを入力するだけでユーザーの許可なく遠隔操作が可能になる。このような特徴により、実際のところ AnyDesk は Conti ランサムウェアグループと同様、企業のイントラネットを掌握することを目標とする攻撃者の Cobalt Strike と共に使用されることが分かっている。
感染が確認されたシステムは、以前から Remcos RAT を含む、様々な攻撃ログが確認されている。つまり、当該システムはアカウント情報を適切に管理していなかったため、以前から様々な攻撃者から攻撃対象にされていたと推測できる。以下は、当社 ASD(AhnLab Smart Defense)のログであり、攻撃者が Cobalt Strike をインストールしようとしている振る舞いが確認できる。
攻撃者はその後 Meterpreter をインストールしていた。Meterpreter はペネトレーションテストのためのフレームワークである Metasploit から提供されているツールであり、Cobalt Strike のように攻撃者からの命令を受けて様々な不正な振る舞いを実行することができるバックドア型のマルウェアである。感染システムでは、以下のような Meterpreter の Elevator DLL が確認されている。
Elevator DLL は Meterpreter の初回実行後、システムで権限昇格するために使われる DLL である。具体的には GetSystem コマンドのうち、Dropper 方式を使用するときに使われている。
権限昇格後の Meterpreter は rundll32.exe プロセスで動作し、最終的には AnyDesk をインストールする PowerShell スクリプトをダウンロード、実行する。
Meterpreter によってインストールされる PowerShell スクリプトの「wc.ps1」の内容は以下の通りであり、公式ホームページから Silent モードで AnyDesk をインストールしたのち、AnyDesk に「wpcaoybb」のパスワードを設定する機能を担っている。
このような方式によって AnyDesk が感染システムにインストールされると、攻撃者は以下のように感染システムにアクセスしてパスワードを入力し、これによってユーザーの同意なしに遠隔操作が可能になる。
データベースサーバーをターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。一般的にこれらの方法が攻撃の大半を占めているように見えるが、これ以外にも脆弱性に対するパッチが適用されていないシステムへの脆弱性攻撃が発生する可能性がある。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。
AhnLab V3 製品では、当該タイプに対して以下の通り検知している。
[ファイル検知]
– Malware/Win.Exploit.C5159648 (2022.06.05.01)
– Downloader/PowerShell.Generic (2022.06.27.02)
[ビヘイビア検知]
– Malware/MDP.Behavior.M2330
– Fileless/MDP.CobaltStrike.M3650
[メモリ診断]
– Backdoor/Win.CobaltStrike.XM78
[IOC]
MD5
Meterpreter Elevator DLL
– 5d3ae879e4bd09f824f48b49f4782e75
AnyDesk インストール PowerShell
– 0863ab6d606dea63b76eaa846ca9effd
C&C
AnyDesk インストール PowerShell のダウンロードアドレス
– hxxp://3.101.101[.]56/wc.ps1
Cobalt Strike C&C
– hxxp://212.193.30[.]228:8080/a11
– hxxp://212.193.30[.]228:11280/ca
Meterpreter C&C
– 194.31.98[.]133:12443
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] AnyDesk は Conti ランサムウェア攻撃グループ[3]、DarkSide ランサムウェア攻撃グループ[4]を含む様々な APT 攻撃で悪用されている代表的な遠隔操作ツールである。このほかにも ASEC ブログで取り上げたことのあるように、最近でも管理状況が不適切な MS-SQL サーバーを狙った攻撃にも使用されている。[5] […]