EDR 製品を通じた RokRAT 拡散リンクファイル(*.lnk)の追跡および対応

AhnLab Security Emergency response Center(ASEC)は先月、韓国国内の金融企業セキュリティメールを詐称した CHM マルウェアを配布した RedEyes 攻撃グループ(also known as APT37、ScarCruft)に関する内容を公開した。

LNK ファイルは内部に PowerShell コマンドを含んでおり、temp パスに正常なファイルとともにスクリプトファイルを生成して実行し、正常な pdf ファイルのユーザーに感染事実を気づかれることなく不正な振る舞いを実行する。

AhnLab EDR は、不正な LNK ファイルがユーザーのシステムに流入して実行された場合に、以下のように疑わしい PowerShell 実行を検知している。

[図] 疑わしい Powershell.exe プロセスの実行検知(正常な pdf 実行状況)

上記の図の下にある cmd.exe をクリックすると、以下の図のように .bat ファイルの実行履歴と bat ファイルのコマンドを確認できる。

[図] .bat 実行履歴と bat ファイルのコマンド
[図] bat ファイルによって実行された Powershell 検知画面

バッチ(.bat)ファイルによって実行された疑わしい Porshell.exe コマンドを検知すると、ユーザーは右上のホスト情報からどんなシステムに誰がログインしてこのコマンドを実行したかを確認できる。

この PC に対する調査を継続すると、追加で以下のようなマルウェアのダウンロード URL アドレスを確認できた。

[図] マルウェアのダウンロード URL

担当者は疑わしいログを確認する場合、EDR のプロセスの終了、システムのネットワーク遮断機能を使って対応することができる。

[図] EDR プロセスの終了機能
[図] 疑わしいシステムへの対応(ネットワーク遮断およびマルウェアチェック機能など)

RokRAT マルウェアは以前から配布され続けているが、上記の事例のように正常なファイルと一緒に実行されるため、ユーザーは感染の事実を認知しにくい。高度化するマルウェアに対応するためには、疑わしい振る舞いの検知から対応までできる EDR 製品が欠かせない。

[ファイル検知]
Dropper/LNK.Agent (2023.04.08.00)
Downloader/BAT.Agent (2023.04.08.00)

[IOC]
0f5eeb23d701a2b342fc15aa90d97ae0 (LNK)
aa8ba9a029fa98b868be66b7d46e927b (LNK)
657fd7317ccde5a0e0c182a626951a9f (LNK)
be32725e676d49eaa11ff51c61f18907 (LNK)
8fef5eb77e0a9ef2f97591d4d150a363 (bat)
461ce7d6c6062d1ae33895d1f44d98fb (bat)
hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content

振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。

Categories:AhnLab 検知

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments