AnyDesk 遠隔操作ツールを悪用した攻撃事例(Cobalt Strike、Meterpreter)

Windows システムのデータベースである MS-SQL サーバーは攻撃対象として代表的なものである。攻撃者は適切に管理されていない脆弱な MS-SQL サーバーを対象にスキャニングを行い、制御権の獲得に成功するとマルウェアをインストールする。攻撃のためにインストールされるマルウェアは、コインマイナーやランサムウェア、バックドア型マルウェアなど目的に合わせて様々なタイプが存在している。

[図1] 2022年四半期の MS-SQL を対象としたマルウェアの分類

バックドア型マルウェアは Remcos RAT や Gh0st RAT のような遠隔操作されるものが大半を占めているが、Cobalt Strike や Meterpreter のような企業の内部システムを掌握するために使用されるペネトレーションテストのツールも確認されている。

本記事で扱う攻撃事例では、攻撃者が脆弱な MS-SQL サーバーをターゲットとして Cobalt Strike や Meterpreter をインストールして制御権を獲得したのち、感染システムをリモートデスクトップ環境で扱うために AnyDesk ユーティリティをインストールしている。参考として、以下のブログで紹介しているように Kimsuky グループも Meterpreter を利用して制御権を獲得し、リモートデスクトップの用途で VNC マルウェアを使用したことがある。Kimsuky グループは GitHub に公開された TinyNuke の HVNC および TightVNC をカスタマイズして使用していた。

AnyDesk は TeamViewer のような遠隔操作アプリケーションとして、リモートデスクトップ、ファイル送信などの様々な機能を提供している。リモートデスクトップは、RDP のような AnyDesk がインストールされる環境に遠隔でアクセスし、GUI 環境での操作をサポートしているプログラムである。

[図2] AnyDesk リモートデスクトップアプリケーション

特定のユーザー環境に AnyDesk がインストールされており、外部から当該システムにアクセスしようとすると、メッセージがポップアップで表示され、ユーザーがこれを許可すると外部から当該システムへの遠隔操作が可能になる。このような方法以外にも AnyDesk ではパスワードを設定できるが、この時はパスワードを入力するだけでユーザーの許可なく遠隔操作が可能になる。このような特徴により、実際のところ AnyDesk は Conti ランサムウェアグループと同様、企業のイントラネットを掌握することを目標とする攻撃者の Cobalt Strike と共に使用されることが分かっている。

感染が確認されたシステムは、以前から Remcos RAT を含む、様々な攻撃ログが確認されている。つまり、当該システムはアカウント情報を適切に管理していなかったため、以前から様々な攻撃者から攻撃対象にされていたと推測できる。以下は、当社 ASD(AhnLab Smart Defense)のログであり、攻撃者が Cobalt Strike をインストールしようとしている振る舞いが確認できる。

[図3] CobaltStrikeの当社 ASD のログ

攻撃者はその後 Meterpreter をインストールしていた。Meterpreter はペネトレーションテストのためのフレームワークである Metasploit から提供されているツールであり、Cobalt Strike のように攻撃者からの命令を受けて様々な不正な振る舞いを実行することができるバックドア型のマルウェアである。感染システムでは、以下のような Meterpreter の Elevator DLL が確認されている。

[図4] 感染システムに生成された Meterpreter の Elevator DLL

Elevator DLL は Meterpreter の初回実行後、システムで権限昇格するために使われる DLL である。具体的には GetSystem コマンドのうち、Dropper 方式を使用するときに使われている。

[図5] Meterpreter からの権限昇格コマンド
[図6] Dropper 方式の GetSystem コマンド使用時のプロセスツリー

権限昇格後の Meterpreter は rundll32.exe プロセスで動作し、最終的には AnyDesk をインストールする PowerShell スクリプトをダウンロード、実行する。

[図7] AnyDesk をインストールする Meterpreter のログ

Meterpreter によってインストールされる PowerShell スクリプトの「wc.ps1」の内容は以下の通りであり、公式ホームページから Silent モードで AnyDesk をインストールしたのち、AnyDesk に「wpcaoybb」のパスワードを設定する機能を担っている。

[図8] AnyDesk のインストール PowerShell ルーティン

このような方式によって AnyDesk が感染システムにインストールされると、攻撃者は以下のように感染システムにアクセスしてパスワードを入力し、これによってユーザーの同意なしに遠隔操作が可能になる。

[図9] AnyDesk をインストールするリモートシステムにログインするプロセス
[図10] AnyDesk を利用した遠隔操作

データベースサーバーをターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。一般的にこれらの方法が攻撃の大半を占めているように見えるが、これ以外にも脆弱性に対するパッチが適用されていないシステムへの脆弱性攻撃が発生する可能性がある。

そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。

AhnLab V3 製品では、当該タイプに対して以下の通り検知している。

[ファイル検知]
– Malware/Win.Exploit.C5159648 (2022.06.05.01)
– Downloader/PowerShell.Generic (2022.06.27.02)

[ビヘイビア検知]
– Malware/MDP.Behavior.M2330
– Fileless/MDP.CobaltStrike.M3650

[メモリ診断]
– Backdoor/Win.CobaltStrike.XM78

[IOC]
MD5
Meterpreter Elevator DLL

– 5d3ae879e4bd09f824f48b49f4782e75

AnyDesk インストール PowerShell
– 0863ab6d606dea63b76eaa846ca9effd

C&C
AnyDesk インストール PowerShell のダウンロードアドレス

– hxxp://3.101.101[.]56/wc.ps1

Cobalt Strike C&C
– hxxp://212.193.30[.]228:8080/a11
– hxxp://212.193.30[.]228:11280/ca

Meterpreter C&C
– 194.31.98[.]133:12443

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments