韓国国内の医療機関の脆弱なサーバをターゲットに拡散する Meterpreter

ASEC 分析チームは、脆弱なサーバーをターゲットに拡散しているマルウェアのモニタリング中、韓国国内の医療機関で使われている PACS(Picture Archiving and Communication System) サーバーを攻撃した事例を確認した。

PACS(Picture Archiving and Communication System)は、患者の医療用画像をデジタル化して管理、送信するシステムであり、病院ではこのシステムを医療用画像をどこからでも照会、判断できるようにするために使っている。

そのため、多くの病院では PACS を使用中であるが、この PACS システムはいくつかの専門業者がいるため、医療機関によって使用している PACS 製品が異なる場合がある。

今回確認された事例では、「dcm4che」と呼ばれる JAVA ベースのオープンソースアプリケーションを使用して、サーバーを構築している製品をターゲットに攻撃を行っていた。

dcm4che は医療用画像処理をサポートするツールで、医療用画像の変換および管理のサポートを行うオープンソースプログラムである。このアプリケーションは、画像の管理のために Web インターフェースを提供しており、PACS サーバーを簡単に構築できるように働きかける。この時に使用される Web コンテナが JBoss アプリケーションである。

攻撃者は「JexBoss」というツールを利用して「JBoss」アプリケーションの脆弱なサーバーをターゲットに攻撃を行っていた。

JexBoss(JBoss Verify and EXploitation tool)は GitHub に公開されている脆弱性攻撃ツールである。そのターゲットには、Jboss アプリケーションサーバーを含む、様々な Java プラットフォーム、フレームワーク、アプリケーションが存在する。JexBoss はこのような Java ベース環境に対する脆弱性のスキャニングをサポートしており、脆弱であることが確認されると、そこを攻撃して WebShell をインストールし、当該システムの制御権を獲得することができる。

オープンソースであり、アクセシビリティが良いことから、JexBoss は実際に様々な攻撃者によって使用されている。例えば、2016年頃に SamSam ランサムウェアの攻撃者グループが脆弱性に対するパッチを適用していない Jboss サーバーを攻撃し、ランサムウェアをインストールした事例がある。

[参考] 2016年のランサムウェアの事例 : https://www.tetradefense.com/incident-response-services/samsam-ransomware-what-to-do-if-youre-infected/embed/#?secret=nLhM3njwmW#?secret=6mIbyNU6lF

今回確認された事例では、攻撃者が JexBoss を利用して WebShell をインストールし、偵察プロセスを経て最終的には Meterpreter バックドアをインストールしていた。

これは、デフォルトで設定されているアカウント情報を変更していない Jboss 環境や、脆弱性に対してパッチを適用していない過去のアカウントバージョンを使い続けている場合、攻撃者が JexBoss ツールを利用してシステムを掌握することができることを示している。JexBoss は受け取ったアドレスをスキャニングした後、以下のような結果を示して簡単に WebShell のインストール過程まで進めることができてしまう。

攻撃者は JexBoss を利用してスキャニングを行った後、その結果をベースに脆弱性攻撃を行うことができる。以下は JexBoss でサポートしている脆弱性攻撃によって、攻撃対象のシステムに WebShell をインストールするプロセスについての当社 ASD のログである。脆弱な「javaservice.exe」プロセスが JexBoss から提供される URL によって WebShell をインストールするログを確認できる。参考に、war ファイルは Java Web アプリケーションファイルであり、WebShell は war ファイルの中に存在する。

JSP によって作成された　WebShell は、Windows か Linux かに応じて「cmd.exe」もしくは「bash」を利用し、攻撃者から受け取ったコマンドを感染システムで実行する機能を担っている。

WebShell のインストールが終わると、攻撃者はコマンドを入力していることが確認できる。まず、net コマンドを利用して感染環境でユーザーアカウントのリストを入手し、「smoke」という名前のユーザーを消去している。その後、tasklist コマンドを利用して実行中のプロセスのリストを確認している。

また、攻撃者は Meterpreter をインストールするために、以下のような試みを行っている。これは、certutil.exe 悪用して PE(実行ファイル)および PowerShell 形式の Metasploit Stager をダウンロードするログである。

「de4444.exe」は Metasploit Stager として C&C サーバーにアクセスし、メモリ上に Meterpreter ペイロードをダウンロードして実行する PE フォーマットのマルウェアである。Stager を利用すると、実際にバックドア機能を担うペイロードが必要になった時にダウンロードできるため、以下のように簡単な形式でかつ小さいサイズでも攻撃に使われることがある。

現在「w.ps1」は確認されていないが、当社 ASD ログ上では PowerShell 形式の Stager であると推測できる。そのため、PE フォーマットの Stager と機能が実質的に同じため、Meterpreter は powershell.exe プロセスのメモリ上で実行される。以下は、PowerShell プロセスにロードされた Meterpreter が winlogon プロセスにインジェクションして C&C サーバーと通信しているログである。

Meterpreter はバックドアマルウェアとして C&C サーバーから攻撃者の命令を受けて不正な機能を実行できる。すなわち、Meterpreter マルウェアのインストールさえ完了すると、攻撃者は Metasploit フレームワークを利用して、感染システムの制御権を完全に獲得できるのである。

そのため、管理者はデフォルトとして設定しているアカウント情報を変更する必要があり、サーバー構成環境が脆弱である場合は最新バージョンのパッチを適用し、既知の脆弱性による被害を事前に防止しなければならない。また、外部に開放されているサーバーの場合、セキュリティ製品を利用して、部外者からのアクセスを制限する必要がある。

AhnLab V3 製品では、当該タイプに対して以下の通り検知している。

[検知]

ファイル検知

• Downloader/Win.Meterpreter
• WebShell/JSP.Generic

ビヘイビア検知

• Malware/MDP.Download.M1900

[IOC]

MD5

• 3f156bd68b2a32a1b5cb03af318667f0 (jews.war)
• acda46759d7c3526df2a6c59803586a4 (jexws4.jsp)
• 8fe01532bfa9803f1a9b174289c2cbbc (de4444.exe)

URL & C2

• 62.138.7[.]234:4444
• hxxp://62.138.7[.]234:2468
• hxxp://34.220.245[.]178/de.ps1
• hxxp://62.138.7[.]234:5555

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。