Posted By AFIRST.SH , 2023年 February 23日

Lazarus グループが使用したアンチフォレンジック技法

約1年前から Lazarus 攻撃グループのマルウェアが韓国国内の防衛産業、人工衛星、ソフトウェア、マスコミなどの多数の業者から発見されており、AhnLab ASEC 分析チームは Lazarus 攻撃グループの活動および関連 TTP’s を継続的に追跡している。

本記事では最近の事例のうち、Lazarus グループが侵害したシステムから確認されたアンチフォレンジックの痕跡とその内容について公開する。

概要

アンチフォレッジングの定義

アンチフォレンジックとは、犯罪現場で証拠の存在を毀損し、否定的な影響を与えたり、証拠解析および調査プロセスを妨害、もしくは困難にさせたりする試みのことを指す。一般的に侵害事故の観点から見たアンチフォレンジックの目的は以下の通りである。

検知回避および情報収集の妨害
デジタルフォレンジックアナリストの解析時間の増加
デジタルフォレンジックツールが動作しないようにする、もしくはエラーの発生を誘発
使用した痕跡やツールの実行痕跡を発見できないようにロギングを遮断/回避、もしくは削除

Lazarus グループは自分の実行した不正な振る舞いを隠ぺいするための目的で、アンチフォレンジックを実行していた。

アンチフォレンジック技法

アンチフォレンジックの分類について、様々な基準が存在するが、本記事ではもっとも広く通用している Dr.Marcus Roger が提示したアンチフォレンジックカテゴリーを使用し、Lazarus グループが実行した隠ぺいの振る舞いをカテゴライズして解析した。

Dr. Marcus Roger はフォレンジックを妨害するアンチフォレンジック技法を、データの隠ぺい(Data Hiding)、痕跡削除(Artifact Wiping)、痕跡の難読化(Trail Obfuscation)、フォレンジックに対する攻撃(Attacks Against Computer Forensics)、物理的方法(Physical)の大きく5つに分類している。

上記の5つを基準に見た時、Lazarus グループはデータの隠ぺい(Data Hiding)、痕跡の削除(Artifact Wiping)、痕跡の難読化(Trail Obfuscation)の計3項目の技法を行っていた。

データの隠ぺい(Data Hiding)

データの隠ぺいは、データを簡単に検知できないように隠す技法のことを指し、代表的な例としてデータの難読化および暗号化、ステガノグラフィー、未割り当て領域のデータの隠ぺいなどがあげられる。

暗号化(Encryption)

Lazarus グループは使用するマルウェアを3つに分けて使用していた。それぞれローダー、実行ファイル、設定ファイルであり、各ファイルごとの主な機能は以下の通りである。

Loader : 暗号化された PE ファイルを復号化し、メモリにロード
Encrypted PE : ローダーメモリ上で実行されるマルウェアで、暗号化された設定ファイルを復号化し、C2 アドレスと通信
Encrypted Config : 暗号化された設定ファイルで、C2 情報が含まれたファイル

Lazarus グループはセキュリティ製品の検知を避けるために、C2 情報が含まれた設定ファイルと C2 通信を行う PE ファイルを暗号化した状態で伝達している。暗号化されたファイルはローダーファイルにとってメモリで復号化されて動作し、C2 から追加ファイルを受け取って不正な振る舞いを行う。

[図] バックドア動作プロセス

他の形態のデータの隠ぺい(Other Forms of Data Hiding)

Lazarus グループはマルウェアの隠ぺいのため、システムフォルダーを隠し場所として使用したり、正常なファイル名を詐称して使用したりしていた。マルウェアの隠ぺいのために主に使用されるフォルダーはシステムフォルダーで、フォルダーの下位に類似したフォルダーを生成して使用したり、基本的には隠し処理されたシステムファイルを正常なファイルに見せかけてマルウェアを隠していた。

C:\ProgramData\
C:\ProgramData\Microsoft\
C:\Windows\System32\

C:\ProgramData フォルダーはシステムフォルダーで、基本的には隠し処理されているフォルダーである。このフォルダーにシステムフォルダー名と類似したフォルダー(MicrosoftPackages)を生成し、マルウェアの隠し場所として使用したり、デフォルトのフォルダーに似たファイル名に偽装してマルウェアを隠ぺいしていた。

[図] 類似フォルダーを生成し、マルウェアの隠し場所として使用

[図] デフォルトフォルダーを詐称してマルウェアを隠ぺい

痕跡の削除(Artifact Wiping)

痕跡の削除とは、特定のファイルもしくは全体のファイルシステムを永久に削除するタスクのことを指し、基本的にはファイルの削除だけでなく、専門ツールを使用して使用の痕跡を削除することもある。例えば、ディスククリーンアップユーティリティ、ファイルの削除およびディスクの自己証拠/破壊などは、すべての痕跡を削除する内容に該当する。

ファイルの削除(File Wiping)

Lazarus グループはバックドア目的のマルウェアを除いて、使用したマルウェアおよび不正な振る舞いを行う間に発生したアーティファクトを削除していた。マルウェアの場合、データを上書きし、ファイル名を変更して削除していた。

ファイル削除時にデータ部分を上書きすることになると、ファイルの復元やデータカービング技法を通してデータの復旧を難しくするため、元の内容が確認できなくなる。

[図] USNJrnl で確認されたマルウェアの削除記録

Lazarus グループはマルウェアの実行関連アーティファクトの削除における振る舞いも並行していた。例えばアプリケーション実行関連アーティファクトであるプリフェッチ(Prefetch)ファイルを一括削除することで、使用したマルウェアの実行の痕跡を削除していた。

[図] プリフェッチファイルの一括削除記録

痕跡の難読化(Trail Obfuscation)

痕跡の難読化とは、フォレンジック解析を困難にさせ、不正な振る舞いを隠すタスクのことを指す。ログの改造/削除、スプーフィング、誤情報の挿入、バックボーンポッピングなどの解析を妨害したり、アナリストの判断を困難にさせる振る舞いがこの例としてあげられる。

時間情報の操作(Timestamp Changes)

Lazarus グループは痕跡削除の過程でほぼすべての記録と使用したファイルを削除していたが、唯一システムに残していたマルウェアが存在し、これがバックドアマルウェアである。バックドアマルウェアの特性上、存在を知られることなく長時間システムを維持しなければならないため、Lazarus グループは被害システムに生成したマルウェアの時間情報を操作して隠ぺいしていた。

時間情報を操作した最も大きな理由は、タイムライン解析を避けるためであると推定される。タイムライン解析とは、事件が起きた時点を中心として、生成/修正/削除/接近したファイルを追跡して解析する技法のことを指すが、時間情報を操作すると、解析過程でマルウェアの記録漏れが発生し、解析の方向性を不透明にしたり、誤った判断をする結果につながることがある。

被害システムで発見されたマルウェアとシステムに存在する一部ファイルの時間情報が、完全に一致することが確認された。

[図] システムのデフォルトファイル(notepad.exe)とマルウェア(DapowSyncProvider.dll)の時間情報の比較

Windows のファイルシステム(NTFS)には $STANDARD_INFORMATION プロパティと $FILE_NAME プロパティでそれぞれ4つの時間情報を持っており、それぞれファイルの生成、修正、接近、エントリ修正時間である。Windows ファイルプロパティ情報に表記された時間情報は $STANDARD_INFORMATION の情報である。

$STANDARD_INFORMATION : すべてのファイルにデフォルトで存在するプロパティで、ファイルの時間情報、特性、所有者およびセキュリティ ID のようなファイルについての基本的なプロパティ情報を持つ。
$FILE_NAME : すべてのファイルにデフォルトで存在するプロパティで、ファイル名を保存するためのプロパティであり、ファイル名と様々な追加情報が含まれている。

詳しい時間情報を比較するため、$MFT を抽出して時間情報を比較した結果、システムファイル(notepad.exe)とマルウェア(DapowSyncProvider.dll)の $STANDARD_INFORMATION プロパティ時間情報が正確に一致することが確認された。

[表] マルウェアとシステムデフォルトファイルの時間情報の比較

Lazarus グループはタイムライン解析を回避するために時間情報をシステムデフォルトファイルと同じく変更し、システムデフォルトファイルのように偽装していた。

最近、Lazarus グループによって侵害されたシステムで確認されたマルウェアにおいて、時間情報が操作された内容は以下の通りである。

[図] マルウェアの時間情報の操作

整理した内容を使って、Lazarus グループのマルウェアの時間情報の操作方式の特徴をあげると、以下のようになる。

すべてのマルウェアの時間情報を操作するわけではない。
時間情報は任意で保存したものではなく、システムデフォルトファイルの時間情報をコピーして変更する。
同じケースでも時間操作が発生したシステムと発生しなかったシステムがあると見られ、時間の変更は選択事項であると推測される。
同じマルウェアでも時間をコピーするシステムファイルの対象が異なるとみられ、対象の選択が可能であるように見られる。

時間情報操作技法は、Lazarus グループだけでなく、他の APT グループでもマルウェアを隠ぺいするための方法として使用されていることが確認された。

APT Group	Description
APT28	APT28 has performed timestomping on victim files.
APT29	APT29 modified timestamps of backdoors to match legitimate Windows files.
APT32	APT32 has used scheduled task raw XML with a backdated timestamp of June 2, 2016. The group has also set the creation time of the files dropped by the second stage of the exploit to match the creation time of kernel32.dll. Additionally, APT32 has used a random value to modify the timestamp of the file storing the clientID.
Chimera	Chimera has used a Windows version of the Linux touch command to modify the date and timestamp on DLLs.
Kimsuky	Kimsuky has manipulated timestamps for creation or compilation dates to defeat anti-forensics.
Lazarus	APT38 has modified data timestamps to mimic files that are in the same folder on a compromised host. Several Lazarus Group malware families use timestomping, including modifying the last write timestamp of a specified Registry key to a random date, as well as copying the timestamp for legitimate .exe files (such as calc.exe or mspaint.exe) to its dropped files.
Rocke	Rocke has changed the timestamp of certain files.
TEMP.Veles	TEMP.Veles used timestomping to modify the $STANDARD_INFORMATION attribute on tools

[表] 時間情報操作技法を使用するグループ ( https://attack.mitre.org/)

結論

Lazarus グループは攻撃プロセスでセキュリティプログラムの検知を回避するために、マルウェアを暗号化したり、システムファイル名に偽装したりしており、解析を妨害するために時間情報を操作していた。また、実行の痕跡削除を行う際も、データを上書きする方法を使用しており、データの復旧を妨害するなどの緻密な振る舞いを見せていた。

Lazarus 攻撃グループが使用中のアンチフォレンジック技法を解析すると、Lazarus グループ以外にも様々な APT グループが自身の攻撃の痕跡を削除するための目的で使用していることが確認された。

ケース調査および解析時には、攻撃者がアンチフォレンジック技法を実行する可能性を認識しながら解析しなければならず、アンチフォレンジック技法が適用された場合にも、これを追跡できる方向について継続して研究が必要である。

[ファイル検知]

Trojan/Win.LazarShell (2021.11.30)
Trojan/BIN.Encoded (2021.12.15)
Trojan/BIN.Encoded (2021.12.15)
Trojan/Win.LazarLoader (2022.09.06)
Data/BIN.EncPe (2022.09.06)
Data/BIN.Encoded (2022.10.04)
Backdoor/Win.Lazardoor (2022.09.06)
Data/BIN.EncPe (2022.09.06)
Data/BIN.Encoded (2022.10.04)
Trojan/Win.LazarLoader (2022.09.06)
Data/BIN.EncodedPE (2022.09.06)
Trojan/Win.Lazardoor (2022.12.09)
Data/BIN.Lazarus (2022.12.09)
Trojan/Win.Lazardoor (2022.12.09)
Data/BIN.Lazarus (2022.12.09)
Data/BIN.Lazarus (2022.12.10)
Trojan/Win.Lazardoor (2023.01.11)
Data/BIN.EncodedPE (2023.01.12)
Data/BIN.Encoded (2023.01.12)
Trojan/Win.Lazardoor (2023.01.11)
Data/BIN.EncodedPE (2023.01.12)
Data/BIN.Encoded (2023.01.11)

[ファイル MD5]

B3E03A41CED8C8BAA56B8B78F1D55C22
1E7D604FADD7D481DFADB66B9313865D
7870DECBC7578DA1656D1D1FF992313C
B457E8E9D92A1B31A4E2197037711783
1F1A3FE0A31BD0B17BC63967DE0CCC29
C16A6178A4910C6F3263A01929F306B9
202A7EEC39951E1C0B1C9D0A2E24A4C4
1F1A3FE0A31BD0B17BC63967DE0CCC29
8543667917A318001D0E331AEAE3FB9B
CA9B6B3BCE52D7F14BABDBA82345F5B1
97BC894205D696023395CBD844FA4E37
C7256A0FBAB0F437C3AD4334AA5CDE06
FC8B6C05963FD5285BCE6ED51862F125
27DB56964E7583E19643BF5C98FFFD52
61B3C9878B84706DB5F871B4808E739A
6EA4E4AB925A09E4C7A1E80BAE5B9584
BD47942E9B6AD87EB5525040DB620756
67D306C163B38A06E98DA5711E14C5A7
C09B062841E2C4D46C2E5270182D4272
747177AAD5AEF020B82C6AEABE5B174F
E73EAB80B75887D4E8DD6DF33718E3A5
BA741FA4C7B4BB97165644C799E29C99
064D696A93A3790BD3A1B8B76BAAEEF3

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:侵害事故,Lazarus

5 2 votes

評価する

1 コメント

Inline Feedbacks

View all comments

Lazarus 脅威グループの Volgmer、Scout マルウェア解析レポート - ASECブログ

1 month ago

[…] Dropper は Volgmer DLL を %SystemDirectory% パスに生成した後、メモ帳(notepad.exe)ファイルの時間情報と同じように設定する。このような時間情報の操作(Timestamp Changes)手法は、タイムライン解析を回避する目的で使用される代表的なアンチフォレンジック手法の一つである。Lazarus グループは攻撃プロセスにおいて、時間情報の操作手法の他にもファイル削除、データ隠ぺいなど、様々なアンチフォレンジック手法を使用している。これは最近までも続いている。[11] […]