概要
一般的に攻撃者たちはスピアフィッシングメールの添付ファイルやマルバタイジング、脆弱性、正規ソフトウェアに偽装してマルウェアを Web サイトにアップロードする等、様々な方式でマルウェアをインストールさせる。インストールされるマルウェアには、感染先システムの情報を窃取するためのインフォスティーラーや、ファイルを暗号化して金銭を要求するランサムウェア、DDoS 攻撃に使用するための DDoS Bot 等がある。この他にも、バックドアや RAT も、攻撃者たちが使用する代表的なマルウェアの一つである。バックドアは感染先のシステムにインストールされ、攻撃者からコマンドを受け取って不正な振る舞いを実行することができ、これにより攻撃者は感染先のシステムを掌握することが可能になる。このようなバックドア型のマルウェアは単独システムだけでなく、ラテラルムーブメントによってネットワークを掌握し、最終的には企業内の情報を窃取したり、掌握した内部システムを暗号化する攻撃の中間段階として使用されたりすることもある。
RAT マルウェアも機能的な面では、実質的にバックドアと同じであると言える。しかし、RAT には独自の特徴が存在する。RAT が「Remote Access Trojan」または「Remote Administration Tool」のような復数の意味を持っているためである。一般的に「Remote Access Trojan」と称される場合は感染先のシステムに遠隔操作を提供するため、バックドア型マルウェアと類似していると言える。しかし、 AnyDesk、TeamView のように「Remote Administration Tool」と呼ばれるソフトウェアは、一般ユーザーや企業ユーザーが遠隔でシステムを制御するための目的でインストールする正常なプログラムと言える。このような混乱があるのため、Remcos RAT はキーロガー、スクリーンショットキャプチャ、Web カメラサポート、情報窃取のような不正な機能を含む「Remote Access Trojan」であるが、「Remote Administration Tool」として紹介している。[1]
ここでは、一般的に正常な目的で使用される AnyDesk、TeamViewer のような「Remote Administration Tool」を攻撃者たちが悪用し、感染先のシステムを掌握するのに使用する実際の事例を取り上げる。そのために、まずは代表的なバックドアおよび RAT(Remote Access Trojan)マルウェアのタイプと特徴を簡単に整理したあと、最近の攻撃で悪用されている様々な RAT(Remote Administration Tool)を実際の攻撃事例と共に紹介する。
バックドアと RAT (Remote Access Trojan)
リモートシェル (REMOTE SHELL)
最もシンプルな形態から説明すると、リモートシェルマルウェアがある。リモートシェルは通信方式により Reverse Shell と Bind Shell に分かれるが、その目的はどちらも感染先システムのシェルを攻撃者に提供するという点である。すなわち、感染先システムにリモートシェルがインストールされると、攻撃者は渡されたシェルを利用してコマンドを実行させることができ、これは当該システムを掌握したということを意味する。

バックドアおよび RAT (REMOTE ACCESS TROJAN)
バックドアは包括的な分類であるため、ここでは RAT タイプと共に分類する。ASEC 週間統計のブログを見ると、最近を基準にしても様々なタイプのバックドアが攻撃に使用されている。[2] 商用 RAT および深層 Web で販売されている代表的な RAT タイプには、Remcos RAT、AveMaria(Warzone RAT)、BitRAT、RedLine 等があり、NanoCore は過去にビルダーのクラックバージョンが公開され、最近でも様々な攻撃者たちが使用している。このほかにも、オープンソースで公開された Gh0st RAT、Async RAT、Quasar RAT 等、数多くの種類が存在する。
このようにビルダーやオープンソースによって公開された形ではないとしても、攻撃者たちが自ら製作したバックドアは多数存在する。代表的なものとして、Kimsuky および NukeSped 攻撃グループが主に使用するマルウェアも、バックドア型マルウェアである。例を挙げると、AppleSeed、PebbleDash、NukeSped がある。
CobaltStrike・Metasploit - Meterpreter
CobaltStrike と Metasploit - Meterpreter はペネトレーションテストを目的とするフレームワークである。企業や機関のネットワーク、およびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。すなわち、一般的なバックドア型マルウェアのように感染先システムの制御機能を提供するほかにも、最初の感染のための様々な形のペイロード生成からアカウント情報窃取、イントラネットの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。

このような特徴のために、最近では大多数の APT 攻撃グループが CobaltStrike のようなツールを利用して企業内部に侵入し、イントラネットを掌握し、最終的には企業内部の情報を窃取、またはランサムウェアをインストールして掌握したシステムを暗号化している。
遠隔操作ツール(Remote Administration Tool)の悪用事例
上記で、一般ユーザーや企業ユーザーがリモートでシステムを操作するための目的で使用する遠隔操作ツール(Remote Administration Tool)と呼ばれるソフトウェアがあることについて述べたっz触れた。このようなタイプには、代表的に Windows が提供する RDP だけでなく、AnyDesk や TeamViewer といった独自のプロトコルを利用する商用プログラムもあり、VNC プロトコルを利用するタイプ等、様々な製品が存在する。
遠隔操作ツールのほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意のある機能は有していないとしても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。
バックドア型マルウェアは、セキュリティ製品による検知を回避したとしても、既知の正常なプログラムではないために、セキュリティ製品によって検知される可能性も存在する。しかし、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識されることがほとんどである。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に GUI 環境で感染先システムを操作できるというメリットがある。
ここでは、実際の攻撃に使われた遠隔操作ツールをそれぞれの事例と共に紹介する。
ANYDESK
AnyDesk は Conti ランサムウェア攻撃グループ[3]、DarkSide ランサムウェア攻撃グループ[4]を含む様々な APT 攻撃で悪用されている代表的な遠隔操作ツールである。このほかにも ASEC ブログで取り上げたことのあるように、最近でも管理状況が不適切な MS-SQL サーバーを狙った攻撃にも使用されている。[5]

攻撃者は MS-SQL サーバーの操作権限を獲得したあと、以下のような PowerShell コマンドを実行するが、当該スクリプトは公式ホームページで AnyDesk を Silent モードでインストールしたあと、AnyDesk にパスワード「wocaoybb」を設定する機能を担う。

このような方式によって AnyDesk が感染先システムにインストールされると、攻撃者は以下のように感染先システムにアクセスしてパスワードを入力し、これによってユーザーの同意なしに遠隔操作が可能になる。

TODESK, RUDESKTOP
最近では AnyDesk のインストール後、中国の遠隔操作ツールである ToDesk や、ロシアの遠隔操作ツールである RuDesktop をインストールする事例も確認されている。どちらも正常なプログラムであるが、公式ホームページではなく以下のようなアドレスからダウンロードされており、その後インストールが行われる。

上記の AnyDesk の事例のようにインストールスクリプトやコマンドが詳細に確認されてはいないものの、どちらの製品もシステムにインストールされると、ランダムで生成される ID とパスワードをもとにリモートシステムに接続が可能であるため、類似した方法で使われた可能性がある。


TEAMVIEWER
TeamViewer も AnyDesk と共に様々な攻撃者により使用されている代表的な遠隔操作ツールである。ここでは、SmokeLoader により利用された事例を紹介する。SmokeLoader は数年前から拡散が続いており、ASEC 統計基準で今日まで高い占有率を誇っているマルウェアである。最近では、主に正常なソフトウェアの Crack 及び Serial 生成プログラムに偽装した配布サイトから、ユーザーが直接ダウンロードする方式で配布されている。
SmokeLoader はダウンローダーマルウェアに分類され、機能的には追加のマルウェアをダウンロードする機能を備えているが、独自のプラグインもサポートしている。[6]確認されたプラグインの種類はおよそ10個ほどで、そのほとんどが情報窃取機能を担う。このほかにも DDoS Bot で動作させたり、ユーザーに認知させずに TeamViewer をインストールする機能を担うプラグインが存在する。
AnyDesk と同じく TeamViewer もインストールされた環境において生成された ID およびパスワードが分かれば接続が可能になる。問題は、生成されたアカウント情報が GUI ウィンドウに表示されるという点であるが、この文字列を窃取するために SetWindowsTextW() 関数をフックして、ウィンドウに表示される時の当該文字列を収集する。

このようにして収集した ID およびパスワードは C&C サーバーに伝達され、攻撃者は伝達されたアカウント情報を利用して感染先システムにリモートアクセスが可能になる。
AMMYY ADMIN
Ammyy Admin は様々な方式で悪用されている代表的な遠隔操作ツールの一つである。正常なユーティリティとして悪用されることもあるが、特定バージョンのソースコードがハッキングされて公開されたことにより、以降 TA505 グループにより使用されたこともあった。攻撃者たちはソースコードをカスタマイズして、感染先システムを操作するための目的で使用したが、このようなタイプは FlawedAmmyy と名付けられた。スピアフィッシングメールの添付ファイルを通じてダウンローダーマルウェアを経て FlawedAmmyy がインストールされ、その後 CobaltStrike および Mimikatz のようなツールを利用してイントラネットを掌握し、最終的に CLOP ランサムウェアをインストールして攻撃対象の企業のシステムを暗号化した。
最近では、管理状況が不適切な MS-SQL サーバーを狙った攻撃でも使用された履歴が存在する。MS-SQL サーバーであるため、攻撃者は Ammyy Admin を含む権限昇格目的の SweetPotato のような様々なマルウェアをインストールした。

VNC
VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP と同じく、遠隔で他のシステムに接続して操作するための目的で使用されている。TightVNC や TigerVNC のような商用プログラム以外にも、AveMaria RAT や TinyNuke (HVNC)のようなマルウェアも、VNC 機能をサポートしている。
TINYNUKE
TinyNuke は2016年から確認されているバンキング型マルウェアであり、HVNC(HiddenDesktop/VNC)、Reverse SOCKS4 プロキシ、Web ブラウザのフォームグラビング(入力フォームの情報を窃取)のような機能を含んでいる。TinyNuke は2017年頃にソースコードが公開されたことにより、様々な攻撃者によって使用されており、その中でも HVNC 機能は AveMaria、BitRAT のような他のマルウェアによって部分的に借用する方式で使用されている。
最近では Kimsuky グループで TinyNuke マルウェアを使用している。Kimsuky グループが使用する TinyNuke は既存の様々な機能の中で、HVNC (Hidden VNC)機能のみが有効化されている。参考に、一般的な VNC と TinyNuke が使用する HVNC の違いは、感染したユーザーが自分の画面が制御されているという事実を認知できないという点である。

参考に、TinyNuke はサーバーとクライアント間の HVNC 通信を確立する際、「AVE_MARIA」という文字列を利用して検証する。すなわち、HVNC クライアントからサーバーへ「AVE_MARIA」文字列を送信すると、サーバー側でこれを検証し「AVE_MARIA」が一致した場合に HVNC 通信が可能となる。

これは Kimsuky グループが使用する HVNC においても同様だが、このほかにも以下のように「LIGHT’S BOMB」という文字列を使用する HVNC が確認されている。

AVEMARIA
AveMaria(Warzone RAT)はスパムメールを通じて拡散する代表的なマルウェアの一つであり、C&C サーバーから攻撃者のコマンドを受け取ってプロセス/ファイルのタスクおよびリモートシェル、キーロガー、Web カメラ制御等、様々な不正な振る舞いを実行できる。[7] AveMaria はほとんどの RAT 機能をサポートしているが、攻撃者の立場では GUI 形式のリモートデスクトップ機能が必要なことがあるため、ほとんどの RAT はリモートデスクトップ機能を提供している。
AveMaria は VNC を利用してリモートデスクトップを提供するが、Remote VNC コマンドがこれを担う。参考に、AveMaria は TinyNuke の HVNC 機能を借用している。上記で取り上げたように、TinyNuke は初期通信確立のプロセスで「AVE_MARIA」という文字列を使用するのだが、AveMaria の本来の名称は Warzone RAT である。しかし、この文字列の特徴から AveMaria という名前が付けられた。
Remote VNC コマンドを実行すると、AveMaria は vncdll.dll をメモリ上でダウンロードしてロードする。これにより、AveMaria のプロセスにおいて VNC サーバーが動作し、攻撃者はその後 TightVNC や TigerVNC のような VNC クライアントで感染先システムにアクセスし、遠隔操作を実行できるようになる。

TIGHTVNC
Kimsuky グループは、オープンソース VNC ユーティリティである TightVNC をカスタマイズして使用している。TightVNC も一般的な VNC ユーティリティだと言えるが、上記で取り上げた Reverse VNC 機能をサポートする点が特徴である。
TightVNC はサーバーモジュールである tvnserver.exe とクライアントモジュールである tvnviewer.exe で構成されている。一般的な環境では遠隔操作対象に tvnserver をインストールし、ユーザー環境で tvnviewer を利用して操作対象に接続するのである。Reverse VNC 機能を使用するためには、クライアント側で tvnviewer をリスニングモードで実行し、その後、接続対象のシステムにサービスとしてインストールされた tvnserver を利用して controlservice および connect コマンドでクライアントのアドレスを設定することで接続させることができる。
Kimsuky グループが拡散しているのは tvnserver であり、感染環境でサービスをインストールすることなく単独で Reverse VNC 機能を使用できるようにカスタマイズされた形式である。これにより、単に tvnserver を実行するだけでも C&C サーバーで動作する tvnviewer に接続し、攻撃者は感染システムの画面制御が可能となる。

TMATE
Tmate はターミナルを共有できるユーティリティであり、WatchDog グループにより悪用されている。[8]WatchDog グループは管理状況が不適切な Linux のクラウド環境を対象に XMRig モネロコインマイナーをインストールする。だが、この他にも Tsunami のようなバックドア型マルウェアや Tmate 遠隔操作ツールをインストールして悪用している。
Tmate をインストールすると、リモート管理ツールのようにリモートで感染先システムにアクセスし、操作権限を取得できる。攻撃者は以下のように tmate をインストールしたあと、攻撃者の API キーを指定してランダムな文字列でセッションを生成する。「-k」は API を指定するオプションであり、「-n」は各セッションを指定するオプションである。

以下は、攻撃者の API キーとランダムなセッション名で tmate を実行した結果である。出力された結果を見ると、当該 API キーは「HildeGard」アカウントに含まれているものと推定できる。実際に tmate を実行した後の出力結果を見ると、HildeGard アカウントおよびランダムで指定したセッション名で構成された URL を確認でき、当該 URL に接続するとコマンドの実行、すなわち操作権限を取得できる。WatchDog はランダムで生成した URL トークンを C&C サーバーに転送することにより、攻撃者が新たなセッションを確認できる。
- 攻撃者のtmate API Key : tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2

結論
攻撃者たちは、初期侵入プロセスを経て攻撃対象のシステムを掌握するために、バックドア型マルウェアをインストールする。最近では、既知のものや新たなバックドア型マルウェアを製作する方法よりも、正常なユーティリティを悪用する特徴がある。そのため、一般的に多くのユーザーが使用している遠隔操作ツールが使用される。そのような方法によって攻撃者たちはセキュリティ製品の検知を回避することができ、GUI 環境で感染先システムを操作できる。
ユーザーは、疑わしいメールを受信した場合は添付ファイルを開かないようにしなければならず、外部からプログラムをインストールする時は公式ホームページから購入、またはダウンロードすることを推奨する。そして、アカウントのパスワードを複雑な形式で使用し、定期的に変更しなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
– Win-AppCare/RemoteAdmin.Exp (2019.01.28.06)
– HackTool/Linux.RAdmin.3135320 (2021.02.05.08)
[ビヘイビア検知]
– Malware/MDP.Download.M1197
IOC
MD5
– fe1bb6811f5c808414c4a357031c2718 : Ammyy Admin
– 1aeb95215a633400d90ad8cbca9bc300 : tmate
ダウンロードアドレス
– hxxp://106.250.168[.]50/rd.exe : RuDesktop
– hxxp://106.250.168[.]50/todesk.rar : ToDesk
– hxxp://183.111.148[.]147/mscorsvw2.exe : Ammyy Admin
– hxxp://119.201.213[.]146/mscorsvw2.exe : Ammyy Admin
– hxxp://58.180.56[.]28/mscorsvw2.exe : Ammyy Admin
– hxxp://bbq.zzhreceive[.]top/tmate : tmate
参考
[1] [ASEC Blog] スパムメールで拡散しているRemcos RATマルウェア
[2] [ASEC Blog] ASEC 週間マルウェア統計 ( 20220926~20221002 )
[3] [The DFIR Report] BazarLoader and the Conti Leaks
[4] [Cyware] DarkSide: A Deep Dive Into The Threat Actor That Took Colonial Pipeline Down
[5] [ASEC Blog] AnyDesk 遠隔操作ツールを悪用した攻撃事例(Cobalt Strike、Meterpreter)
[6] [ASEC Report] Vol.101 さらにアップグレードした最新版 Smoke Loader(Smoke Loader)、電撃解剖
[7] [ASEC Blog] スパムメールで拡散しているAveMariaマルウェア
[8] [AhnLab TIP] 脆弱なクラウド環境をターゲットにしたコインマイナーのインストール(WatchDog グループ)のマルウェア解析レポート
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] ブログ「様々な遠隔操作ツールを悪用する攻撃者たち」[1]では、攻撃者が感染先システムの操作権限を取得するために、システム管理目的で使用される様々な遠隔操作ツールを悪用する事例を取り上げた。ここでは、Windows OS がデフォルトで提供する RDP(Remote Desktop Protocol)を利用する事例を取り扱う。実際にほとんどの攻撃では RDP が頻繁に使用されているが、これは追加のインストールプロセスが必要な遠隔操作ツールに比べて初期侵入プロセスやラテラルムーブメントに有用であるためだ。 […]
[…] https://asec.ahnlab.com/jp/40292/ […]