Web サーバーは、不特定多数のユーザーに Web サービスを提供することを目的として外部に公開しているため、攻撃者の代表的な攻撃対象となっている。AhnLab Security Emergency response Center(ASEC)は、脆弱性がパッチされていなかったり、不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしている。
本記事では、ここ数年、韓国国内企業の Web サーバーを攻撃し続けている APT 攻撃事例を整理した。また、攻撃に使用された様々なマルウェアおよびツールの IoC も一緒に公開する。攻撃者はほとんどの感染システムで「tripod」という名前のアカウントを悪用しており、これはこの攻撃者を特定できる数少ない特徴の一つである。
1. 概要
Windows Server を通じて Web サービスを提供する Web サーバーの代表例としては Internet Information Services(IIS) Web サーバー、Apache Tomcat Web サーバー、JBoss、Nginx などがある。このような Web サーバーは、脆弱性がパッチされていなかったり、不適切に管理されている場合、持続的に様々な攻撃者の攻撃対象となる。ASEC では、脆弱な Apache Tomcat Web サーバーや[1] JBoss ベースの PACS(Picture Archiving and Communication System)サーバーを攻撃して[2] Metasploit Meterpreter をインストールした攻撃事例を公開したことがある。
Windows Server を使用中の韓国国内企業の場合、IIS Web サーバーの割合が高く、これにより IIS サーバーを対象とする攻撃も多数確認されている。過去の中国を拠点とした攻撃グループである Dalbit の攻撃事例や[3]韓国国内企業の情報を窃取する中国ハッカーグループの攻撃事例でも[4] IIS Web サーバーが攻撃対象となっていた。それだけでなく、Kimsuky 攻撃グループが[5] IIS Web サーバーを攻撃したり、Lazarus 攻撃グループが感染後にマルウェア配布サーバーとして使用した事例も[6]ある。
今回確認された攻撃者もまた Windows IIS Web サーバーを攻撃対象としていた。攻撃は、少なくとも2019年から確認されており、Korea Internet & Security Agency(KISA)は2021年、「不正な広告挿入による侵害事故の事例および対応方法」[7]というテーマのレポートを発刊した。このレポートによると、攻撃者は特定企業のホームページを攻撃して無断で広告コードを挿入した。攻撃者は、放置されている Web サーバーの掲示板に存在するファイルアップロード脆弱性を利用して Web シェルをインストールした。その後、最終的に広告挿入インフラを構築し、アクセスユーザーに広告を見せた。攻撃者は、検知を回避するため、夕方の時間帯や管理者がサーバーからログオフするなど、特定の条件を満たすと、広告コードを挿入したページに変更し、朝方や管理者がサーバーにログオンするなどの条件を満たすと、再び正常なページに復旧される緻密さを見せた。
ASEC は、少なくとも2019年から最近までも攻撃者による韓国国内企業への持続的な攻撃が行われていることを確認した。攻撃が確認された韓国国内企業は、ホテル、通信機器メーカー、ネットショップ、外資系メーカーなど様々である。攻撃プロセスで大半が既知のマルウェアおよびツールを使用しているため、様々な攻撃の中からこの攻撃者を特定することは困難だが、攻撃に使用されたいくつかのツールが中国語版であることを確認した。これにより、攻撃者が中国語に慣れているユーザーであると推定できる。
また、KISA のレポートの事例では、攻撃者は最終的に正常な Web サービスに広告を挿入しようとしていた。しかし、ASEC で確認した事例では、広告に関わるファイルおよびログは確認されず、ボリュームシャドーコピーを削除する振る舞いが確認されることから、攻撃者が感染システムにランサムウェアをインストールするなどの別の目的がある可能性もある。
2. 攻撃者解析
脆弱なシステムは、様々な攻撃者の攻撃対象となる。特に IIS Web サーバーや MS-SQL サーバーの場合、持続的に違う攻撃者が同じシステムを攻撃する傾向がある。つまり、様々なマルウェアおよび攻撃ログの中から特定の攻撃者の振る舞いのみを抽出するには限界がある。ここでは、マルウェアおよび攻撃ログの中から、できる限りこの攻撃者の固有の特徴をもとに、短期間で行われた攻撃をベースに整理した。しかし、同じ時期に他の攻撃者が類似する攻撃を行った可能性、つまり違う攻撃者のマルウェアおよび攻撃ログが含まれている可能性もある。
2.1. 攻撃事例の共通点
一般的に IIS Web サーバーを対象とする攻撃事例では Web シェル、Potato、権限昇格脆弱性 PoC、Ladon などの共通したマルウェアが確認される。このようなツールのほとんどは、中国語を使用する攻撃者が攻撃によく使用する傾向があるが、インターネット上に公開されているものであるため、ファイルだけで攻撃者を特定することは困難である。
しかし、攻撃者がファイル検知を回避するため、マルウェアを VMP でパックしたり、直接開発して攻撃に使用する事例が存在する。これはこの攻撃者のみが持つ特徴であるため、これをベースに攻撃事例を分類した。他にも、攻撃者は主にマルウェアを以下のパスに生成するという特徴がある。
- %ALLUSERSPROFILE%\Microsoft\DeviceSync\
- %SystemRoot%\debug\WIA\
また Sy_Runas が攻撃に使用されるが、これは Web シェルを通じて特定のユーザーの権限でコマンドを実行するツールである。Sy_Runas を攻撃に使用する事例は、今のところはよく使用されず、主に以下のようなファイル名で生成されるという特徴がある。
- %SystemRoot%\debug\WIA\wiatrace.log
これ以外にも、韓国国内の特定の企業の Webサーバーをマルウェアのダウンロードサーバーとして使用している。攻撃者は、この企業を攻撃してマルウェアをアップロードした。その後、他の企業を攻撃する際にこれをダウンロードして使用しているものと推定される。このアドレスは、その後も制御権を維持するため NetCat の C&C サーバーとしても使用された。
最も大きな特徴は「5.持続性の維持」の項目で扱うが、持続性を維持するため、Web シェルを追加でインストールするマルウェアが確認されるという点である。これにより、感染システムはタスクスケジューラにこの Batch ファイルを実行するコマンドが登録されている。
攻撃者は、感染システムを掌握した後、Administrator のアカウント情報を窃取して使用したり、UserClone で Guest アカウントに Administrator 権限を付与して使用することもあるが、「tripod」という同じアカウント名が様々なシステムから確認されていることから「tripod」というアカウントを生成し、使用しているものと推定される。
2.2. 攻撃に使用された中国語のツール
攻撃に使用されたツールの多くは、すでに公開されているツールであり、攻撃者が直接製作したと思われるファイルもすべて PDB のような付加情報が存在しない。しかし、攻撃者が攻撃に使用したツールや直接製作したマルウェアから中国語環境との関連性が確認された。
攻撃者は、持続性維持プロセスで WinRAR を使用して Web シェルをインストールする。いくつかの事例では、一般的な英語版 WinRAR が使用されたが、2019年に確認された攻撃では中国語版 rar を使用した履歴を確認できる。
攻撃者は攻撃プロセスにおいて、テストを目的とするプログラムを製作し、使用した事例が存在する。テストプログラムは WinRAR SFX 形式の実行ファイルであり、一部のファイルは単純に同じパスに「test.txt」という名前の空のファイルを生成する振る舞いをするだけであるが、一部のファイルは同じパスに「test」という名前の空のファイルを作成するだけでなく、以下のパスに存在する「sd2.bat」ファイルを実行するコマンドが含まれている。このパスは攻撃に使用されるパスであり、もしこのパスに Batch ファイルが存在する場合、実行させる Launcher 機能を担う可能性もある。
| > “C:\Windows\System32\cmd.exe” /c C:\WINDOWS\System32\spool\drivers\color\sd2.bat |
上記の WinRAR SFX 実行ファイルは、中国語版で製作されており、実行ファイルのリソース領域を見ると、中国語版 WinRAR 文字列を確認することができる。
3. 初期侵入
KISA のレポートによると、攻撃者は被害を受けた企業のホームページにファイルアップロード脆弱性を利用して Web シェルを添付ファイルとしてアップロードした。攻撃者は最初にアップロードした1次 Web シェルを利用し、アップロードパスではない一般のパスに2次 Web シェル(1.asp)を追加でアップロードしたという。当社 AhnLab Smart Defense (ASD)ログの検知ログを見ると、KISA のレポートと類似したファイル名である「1.aspx」が存在する。
| Web シェルのパス名 |
|---|
| D:\***Root_DB\1.aspx |
| D:\**trust\www\photo_upload..1.aspx |
| D:\**trust\www\photo_upload\1(0).aspx |
| E:\****Hotel\upload\thanks\test.asp |
| C:\***Pay15\source\source.asp |
攻撃者はこの後、2次 Web シェルで権限昇格ツールである Potato マルウェアや UserClone、Mimikatz などのマルウェアを生成したという。実際、当社 ASD のログを見ると、Web シェルがアップロードされてから、様々なマルウェアがアップロードされた履歴が存在する。
以下は、攻撃プロセスで確認された Web シェルの中から収集されたタイプで、実際の攻撃においては以下のタイプ以外にも、はるかに多いと思われる。
4. 権限昇格
4.1. Potatos
Potato マルウェアは、権限昇格機能を担うマルウェアであり、権限昇格方法によって JuicyPotato、RottenPotato、SweetPotato など様々なタイプが存在する。攻撃者は、Web シェルや辞書攻撃を通じて感染システムを制御できたとしても w3wp.exe プロセスに適切な権限が存在しないため、意図した不正な振る舞いは実行できない。これは MS-SQL サーバーの sqlservr.exe プロセスにおいても同じだが、攻撃者はこのような問題を解決するため、攻撃プロセスで権限昇格のマルウェアを同時に使用する傾向がある。
特に IIS Web サーバーや MS-SQL データベースサーバーを対象とする攻撃では、主に Potato 権限昇格のマルウェアが使用される。Potato は、特定の権限が有効になっている一部のプロセスを悪用する方式で権限を昇格させる。その後、攻撃者は昇格された権限で不正な振る舞いを実行することができる。
攻撃者は BadPotato、EfsPotato、GodPotato、JuicyPotato、JuicyPotatoNG、PetitPotato、PrintNotifyPotato、SharpEfsPotato、SweetPotato など、ほとんどの Potato タイプを攻撃に使用した。最近は、韓国国内の特定の企業の Web サーバーにマルウェアをアップロードし、他のシステムに対する攻撃プロセスで、これをダウンロードして使用した。攻撃者は、すでに制御権を獲得したシステムをマルウェア配布サーバーとして活用しているものと見られる。
攻撃に使用された Potato マルウェアの中には、すでに数年前から確認されているファイルだけでなく、攻撃者が直接 VMProtect でパックしたファイルも存在する。最近は GitHub に公開されているパックツールである「go-shellcode」でパックされた Potato マルウェアが攻撃に使用されている。[8]「go-shellcode」は、Go 言語で開発されており、以下のように様々な技法を利用してシェルコードを実行させるツールである。
最近、攻撃者はファイル検知を回避することを目的に Go 言語でマルウェアをパックする傾向があり、「go-shellcode」もまた攻撃者が指定したマルウェアを暗号化して保存し、実行中にメモリ上で復号化して実行させてくれるツールである。以下の図の左側は「go-shellcode」で EtwpCreateEtwThread() 関数を利用してシェルコードを実行するルーティンであり、右側は CreateFiber() 関数を利用してシェルコードを実行するルーティンである。攻撃者は Potato マルウェアを「go-shellcode」のコードを利用してパックした。
攻撃者は Potato マルウェアを利用して様々なコマンドを実行しており、ログの中からは Windows Defender の検知を回避するためのコマンドも確認される。
| e:\win64_*****_client\client\stage\cmd.exe /c cd /d c:\quarantine_mz\& etwpcreateetwthread1.gif -t * -p c:\windows\system32\cmd.exe -a “/c powershell set-mppreference -disablerealtimemonitoring $true” -l 1500& echo [s]&cd&echo+[e] |
4.2. その他権限昇格のマルウェア
攻撃者の多くは、権限昇格のために Potato マルウェアを使用したが、これ以外にも PrintSpoofer や脆弱性 PoC マルウェアも多数確認されている。特に PrintSpoofer マルウェアの場合、ほとんどの感染システムから確認されていることから、攻撃者は権限昇格を目的として Potato マルウェアと一緒に PrintSpoofer を主に使用していると見られる。
もちろん、これ以外にも COMahawk(CVE-2019-1405、CVE-2019-1322)[9]、CVE-2020-0787[10]、IIS LPE(by k8gege)[11]など様々なツールが攻撃に使用されている。
5. 持続性維持
5.1. 追加 Web シェルのインストール
KISA のレポートによると、攻撃者は「CredentialTask」、「CertificateTask」というタスクを登録して管理者の仕事が終わる時間帯に企業のホームページに無断で広告ページを表示させた。登録されているタスクは Batch ファイルを実行させ、Web シェルをインストールし、広告ページを登録する機能を担う。無断広告は、特定の時間帯にホームページのソースコードを広告コードが挿入されたスクリプトに変更したり、再び元の状態に戻す方式で行われる。
現在の調査対象のシステムの場合、タスクスケジューラによって実行される Batch のファイル名は「winrmr.cmd」であり、設定ファイルである「SCFConfig.dat」を読み込んで不正な振る舞いを実行する。このシステムで攻撃者は、無断で広告を表示させる機能を有効化していないものと推定されるが、これは設定ファイルに Web シェルを担う最初のラインが存在するだけで、広告を挿入した Web ページに対する他のラインは存在していないからである。また、設定ファイルに指定された圧縮ファイル「winrnr.cmd」にも Web シェルファイルのみ存在し、広告を挿入した Web ページファイルは存在しない。
| SCF1.dat|”D:\***demo\www\cscenter\ajaxNoticefaq.asp”|AA3A20597084944FDCBE1C3894FD7AB5 |
Batch ファイルは、圧縮ファイル「winrnr.cmd」内に保存されている Web シェル「SCF1.dat」の MD5を取得した後、設定ファイルの3番目のフィールドに存在する値と比較して検査を行う。同じハッシュの場合、2番目のフィールドに指定されたパスで Web シェルをコピーし、権限を設定する。
このようなプロセスを通じてシステムに定期的に Web シェルがインストールされ、攻撃者はこれを利用して感染システムを制御することができる。Web シェルは、正常なスクリプトであると思われる注釈の一番下に挿入されている。
| Web シェルのインストールパス |
|---|
| C:\Webservice\****do\board\notice\board_write.asp |
| C:\WebService\****do\products\inquiry\board_view.asp |
| d:\*****cokr\www\member\login.asp |
| d:\*****shop\www\product\product.asp |
| d:\style\www\assets\fontawesome\font\font.asp |
| d:\*****bie\www\about\index.asp |
| d:\*****allen\www\customer_service\notice.asp |
| D:\***demo\www\cscenter\ajaxNoticefaq.asp |
| E:\****Hotel\include\check8.asp |
| E:\****no\www\iprice\iprice.asp |
5.2. 権限コピーマルウェア
攻撃者は、権限をコピーするマルウェアを利用して Guest アカウントに Administrator 権限を付与した。これは、レジストリに存在する SAM キーの F 値をコピーする方式で行われる。SAM キーの F 値には RID を含む情報が保存されるが、Guest アカウントの RID 値を Administrator アカウントの RID 値に変更し、Guest アカウントを使用する攻撃者が管理者権限で不正な振る舞いを実行できるようになる。
5.3. UserClone
UserClone は、管理者グループのアカウントを生成したり、特定のアカウントの権限を他のアカウントにコピーする機能を提供するツールである。/Clone オプションを使用する場合、2番目の引数で渡されたアカウントの権限を1番目の引数で渡されたアカウントにコピーするが、上記で取り扱った権限をコピーするマルウェアと同じ方法を使用する。実際に KISA のレポートでも攻撃者が Guest アカウントの権限を Administrator アカウントの権限に変更するため UserClone を使用したという内容を確認できる。
6. 자격 증명 정보 수집
6.1. Mimikatz / ProcDump
攻撃者はこの後、現在の感染システムに存在する資格証明情報を収集するため、Mimikatz をインストールした。上記のように直接管理者アカウントを生成したり、UserClone ツールを利用して権限を昇格することもあるが、攻撃プロセスで Administrator アカウントを悪用するログが確認されることから窃取したアカウントも使用していると思われる。
Mimikatz は、Windows OS 環境における資格証明情報を抽出する機能をサポートするツールである。Windows システムに存在する平文パスワードやハッシュ情報を抽出するだけでなく、取得した資格証明情報を利用したラテラルムーブメント攻撃もサポートする。そのため、企業の内部ネットワークを掌握して情報を窃取したり、ランサムウェアをインストールするための手段として頻繁に使用されている。
最新 Windows 環境では、基本的に WDigest セキュリティパッケージを利用した平文パスワードの取得は不可能であり、UseLogonCredential レジストリキーを設定しないと平文パスワードを取得することはできない。これにより、攻撃者は UseLogonCredential レジストリキーを追加するために以下のようなコマンドを実行した。
| > reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f |
一般的に Mimikatz は、現在実行中の lsass.exe プロセスのメモリを読み込んで復号化してから資格証明情報を取得するが、メモリダンプファイルが存在する場合は、これを引数で渡されて資格証明情報を取得することができる。最近、攻撃者はセキュリティ製品の検知を回避するため、正常なプログラムである Sysinternals 社の ProcDump を利用することもある。Mimikatz のようなマルウェアが lsass.exe プロセスのメモリにアクセスできない場合は、代わりに正常なプログラムである ProcDump にメモリをダンプしてファイルを生成し、これを Mimikatz で読み込んで復号化する方法である。以下のように ProcDump を利用して lsass.exe プロセスのメモリをダンプするコマンドが確認されることから、攻撃者もまたこのような方法で Mimikatz を使用したものと推定される。
| パス名 | 引数 |
|---|---|
| E:\****Hotel\faq\f.asp | -accepteula -ma lsass.exe e:\****hotel\faq\lsass.dmp |
| %ALLUSERSPROFILE%\microsoft\devicesync\procdump64.exe | -accepteula -ma lsass c:\programdata\microsoft\devicesync\lsass.dmp |
6.2.Runas マルウェア
Runas タイプのマルウェアは、引数で特定のユーザーのアカウント情報を渡された後、情報を渡されたアカウントの権限でコマンドを実行する機能を担う。このようなマルウェアには RunasCs や Sy_Runas があり、攻撃者は両方とも攻撃に使用している。ログ上では Sy_Runas の割合が高いが、.NET で開発された RunasCs も多くのシステムから一緒に確認される。
攻撃者は Web シェルを利用してコマンドを実行する場合、Potato のような権限昇格ツールを使用したり、Runas マルウェアを使用する。Runas を使用する場合は、Mimikatz を通じて収集した既存のアカウントの資格証明情報を利用したり、UserClone を通じて昇格された権限を持つ Guest アカウントを利用したりする。さらに、直接追加したものと思われるアカウントを使用することもある。攻撃プロセスでは、このように様々なアカウントが使用されるが、中でも目立つアカウントとしては「tripod」というアカウントがある。このアカウントは、ほとんどの感染システムで確認できる共通点の一つであるが、攻撃者が直接追加したアカウントであると推定される。
| パス名 | 引数 |
|---|---|
| %ALLUSERSPROFILE%\oracle\java\java.txt | tripod “c!!l)0w101” “whoami” |
| %ALLUSERSPROFILE%\oracle\java\java.txt | tripod “c!!l)0w101” “query user” |
| %SystemRoot%\debug\wia\wiatrace.log | tripod c!!l!0w111 “query user” |
| %SystemRoot%\debug\wia\wiatrace.log | tripod ww28win “whoami” |
| %SystemRoot%\debug\wia\wiatrace.log | tripod “c)!l(4w096” “query user” |
| %SystemDrive%***pay50\sample\popup_img\bg1.gif | tripod “c)!l!2w011” “query user” |
7. 遠隔操作
7.1. NetCat
攻撃者は、WebShell を利用して追加のマルウェアを生成して実行した。しかし、これ以外にも NetCat をインストールしてリバースシェルとして使用した。攻撃に使用された C&C アドレスは IP フォーマットであるが、実際は、上記で取り扱ったダウンロードアドレス、つまりすでに侵入してマルウェアをアップロードした企業のアドレスと同じである。
7.2. Ladon
攻撃者は、これ以外にも攻撃プロセスでオープンソースのハッキングツールである Ladon を使用した。[12] Ladon は、以下のような GitHub ページでも確認できるように中国語をベースにする攻撃者が主に使用するツールの一つである。[13] Ladon は、攻撃プロセスに必要な様々な機能をサポートするため、攻撃者は攻撃対象のシステムを掌握した後、Ladon を利用してスキャニング、権限昇格、アカウント情報の窃取のような様々な不正な振る舞いを実行することができる。
実行ファイルフォーマットの Ladon だけでなく、PowerShell フォーマットである PowerLadon も一緒に攻撃に使用された。[14]攻撃者は、PowerShell コマンドを利用して、すでに侵害を受けた韓国国内の企業の Web サイトから PowerLadon をダウンロードした後、badpotato コマンドで権限昇格が正常に行われているかを検査した。
8. 攻撃の後
KISA のレポートによると、攻撃者は「CredentialTask」、「CertificateTask」というタスクを登録して管理者の仕事が終わる時間帯に企業のホームページに無断で広告ページを表示させた。少なくとも2021年まで攻撃者の目的は広告ページを表示して収益を得ることであったと思われる。実際に当社 ASD のログでも感染システムのうち、このタスクがタスクスケジューラに登録され、実行されるログも確認できる。
しかし、「5.持続性の維持」項目で取り扱ったシステムでは、持続性を維持するため、Web シェルをインストールする以外にも広告が含まれた Web ページに変更する機能が存在しない場合もある。また、特定のシステムでは攻撃者が Sy_Runas を利用して感染システムのボリュームシャドーコピーを削除するログも確認された。
このように攻撃者の初期の目的は、無断で広告を表示して収益を得ることだったが、最近ではランサムウェア攻撃など別の目的を持っている可能性もある。
9. 結論
最近、持続的に韓国国内企業の Webサーバーを対象とする APT 攻撃が確認されている。攻撃者は、少なくとも2019年から攻撃を開始しており、主に企業のホームページに広告を挿入することを目的としていた。しかし、最近確認される攻撃ログを見ると、ランサムウェアのインストールといった別の目的が追加された可能性がある。
攻撃者は、不適切に管理されていたり、脆弱性がパッチされていない Web サーバーを攻撃して Web シェルをインストールした。KISA のレポートによると、主にファイルアップロード脆弱性を利用して Web シェルをアップロードしたものと推定される。その後、権限昇格、持続性の維持、資格証明情報の窃取などのプロセスを経て感染システムに対する制御権を獲得した。
管理者は、Web サーバーに存在するファイルアップロード脆弱性をチェックし、初期侵入パスである Web シェルのアップロードを事前に遮断できるようにしなければならない。また、パスワードを定期的に変更し、アクセス制御を設定して窃取されたアカウント情報を利用したラテラルムーブメント攻撃に備えなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払うべきである。
ファイル検知
– Dropper/Win32.Agent.C106924 (2011.10.12.00)
– Exploit/Win.Agent.C5224192 (2022.08.17.01)
– Exploit/Win.Agent.C5404633 (2023.04.04.00)
– Exploit/Win.Agent.C5404635 (2023.04.04.00)
– Exploit/Win.BadPotato.R508814 (2022.08.04.01)
– Exploit/Win.DcomRpc.R554379 (2023.01.28.00)
– Exploit/Win.JuicyPotato.C2724641 (2022.08.09.00)
– Exploit/Win.JuicyPotato.C5417758 (2023.04.25.01)
– Exploit/Win.JuicyPotato.C5417761 (2023.04.25.01)
– Exploit/Win.JuicyPotato.C5445175 (2023.06.23.03)
– Exploit/Win.JuicyPotato.R495502 (2022.06.03.01)
– Exploit/Win.PetitPotato.C5418234 (2023.04.26.00)
– Exploit/Win.PetitPotato.C5418237 (2023.04.26.00)
– Exploit/Win.PetitPotato.R575177 (2023.04.26.00)
– Exploit/Win.PetitPotato.R588349 (2023.06.23.03)
– Exploit/Win.Potato.C5444398 (2023.07.29.00)
– Exploit/Win.PrintNotifyPotato.C5418245 (2023.04.26.00)
– Exploit/Win.PrintNotifyPotato.R561362 (2023.03.10.00)
– Exploit/Win.PrintSpoofer.C5404637 (2023.04.04.00)
– Exploit/Win.PrintSpoofer.C5445168 (2023.06.23.03)
– Exploit/Win.PrintSpoofer.R346208 (2020.07.29.04)
– Exploit/Win.PrintSpoofer.R358767 (2020.12.18.06)
– Exploit/Win.PrintSpoofer.R456477 (2021.12.07.00)
– Exploit/Win.SharpEfsPotato.C5418239 (2023.04.26.00)
– Exploit/Win.SharpEfsPotato.C5418240 (2023.04.26.00)
– Exploit/Win.SharpEfsPotato.C5418242 (2023.04.26.00)
– Exploit/Win.SharpEfsPotato.C5418243 (2023.04.26.00)
– Exploit/Win.SweetPotato.C5405993 (2023.04.06.02)
– Exploit/Win.SweetPotato.C5418244 (2023.04.26.00)
– HackTool/PowerShell.Ladon.SC187629 (2023.04.04.00)
– HackTool/Win.Ladon.R442618 (2021.09.25.00)
– HackTool/Win.Netcat.C5283500 (2022.10.18.03)
– HackTool/Win.RunAs.C4406737 (2021.04.07.03)
– HackTool/Win.RunAs.C5404638 (2023.04.04.00)
– HackTool/Win.RunAs.C5417759 (2023.04.25.01)
– HackTool/Win.RunAs.C5418233 (2023.04.26.00)
– HackTool/Win.RunAs.C5445161 (2023.06.23.03)
– Malware/Win.Generic.C4432989 (2021.04.22.01)
– Trojan/BIN.Generic (2023.07.28.03)
– Trojan/CMD.Agent.SC191319 (2023.07.28.03)
– Trojan/Win.Agent.C5418231 (2023.04.26.00)
– Trojan/Win.Agent.C5418232 (2023.04.26.00)
– Trojan/Win.Escalation.R524707 (2022.10.04.02)
– Trojan/Win.Generic.C4491018 (2021.05.26.01)
– Trojan/Win.Generic.C5228587 (2022.08.27.01)
– Trojan/Win.Generic.R529888 (2022.10.15.04)
– Trojan/Win.Mimikatz.R563718 (2023.03.16.02)
– Trojan/Win.MSILMamut.C5410538 (2023.04.13.01)
– Trojan/Win.PrintSpoofer.R597367 (2023.08.12.03)
– Trojan/Win.UserClone.C5192153 (2022.07.04.02)
– Trojan/Win32.HDC.C111465 (2011.10.19.00)
– Trojan/Win32.Mimikatz.R271640 (2019.05.21.05)
– Unwanted/Win32.NTSniff_v110 (2005.03.08.00)
– WebShell/ASP.Agent.SC191320 (2023.07.28.03)
– WebShell/ASP.Generic (2023.01.27.03)
– WebShell/ASP.Generic.S1855 (2022.06.22.03)
ビヘイビア検知
– Malware/MDP.SystemManipulation.M1471
– Execution/MDP.Powershell.M2514
– CredentialAccess/MDP.Mimikatz.M4367
IOC
MD5
WebShell
– 612585fa3ada349a02bc97d4c60de784 : D:\***Root_DB\1.aspx
– eb1c6004afd91d328c190cd30f32a3d1 : D:\**trust\www\photo_upload..1.aspx, D:\**trust\www\photo_upload\1(0).aspx, E:\****Hotel\upload\thanks\test.asp, C:\***Pay15\source\source.asp
Potato (BadPotato)
– 9fe61c9538f2df492dff1aab0f90579f : %SystemRoot%\debug\wia\badpotatonet2.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\BadPotatoNet2.exe, %ALLUSERSPROFILE%\BadPotatoNet2.exe
– ab9091f25a5ad44bef898588764f1990 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\BadPotatoNet4.exe
Potato (EfsPotato)
– 9dc87e21769fb2b4a616a60a9aeecb03 : E:\app\Administrator\product\EfsPotato2.0.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\EfsPotato2.0.exe
Potato (GodPotato)
– 5f3dd0514c98bab7172a4ccb2f7a152d : C:\Oracle\GodPotato-NET2.exe
– c7c0e7877388f18a771ec54d18ac56e6 : E:\app\g.exe
Potato (JuicyPotato)
– 2331a96db7c7a3700eb1da4c730e8119 : %SystemRoot%\debug\WIA\jpms.log
– 8e228104d545608e4d77178381324a0b : %SystemRoot%\debug\wia\juicypotatomsmsmsmsms.exe
Potato (JuicyPotatoNG)
– 7756312d5da2cfb6a4212214b65b0d9a : %ALLUSERSPROFILE%\microsoft\devicesync\createfiber.log
– 15aa2aea896511500027c5b970454c10 : %ALLUSERSPROFILE%\usoshared\etwpcreateetwthread1.gif
– 72eee0b89c707968fb41083f47739acf : %ALLUSERSPROFILE%\microsoft\devicesync\juicypotatong_ms.exe, %ALLUSERSPROFILE%\USOShared\jpng.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\JuicyPotatoNG_ms.exe, C:\Windows\debug\WIA\JuicyPotatoNG_ms.exe
– f530974b0cf773dc2efdff66c2b57e7f : %SystemDrive%\quarantine_mz\registries\1.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\JuicyPotatoNG_ms_ok.exe
– 19c5eb467633efb48ceb49db2870de72 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\JuicyPotatoNG.exe, C:\Windows\debug\WIA\JuicyPotato_x64.exe
– 0ea582880c53419c8b1a803e19b8ab1f : %ALLUSERSPROFILE%\Microsoft\DeviceSync\EtwpCreateEtwThread.log, %ALLUSERSPROFILE%\USOShared\EtwpCreateEtwThread.log
– 8017f161b637cb707e3e667252c2235d : %ALLUSERSPROFILE%\USOShared\j.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\JuicyPotatoNG.exe, %SystemRoot%\debug\WIA\JuicyPotatoNG.exe
Potato (PetitPotato)
– 659d5c63ae9a1a3c5a33badc53007808 : %SystemDrive%\quarantine_mz\sd2.gif
– 9dc62c3a97269f780eb54ebcd43c77a8 : %ALLUSERSPROFILE%\microsoft\devicesync\test.gif
– bffe140d2e2a7f44cbe3e3bf9b50f3b5 : %ALLUSERSPROFILE%\microsoft\devicesync\1.exe
– d66dfce79df451f797775335fac67e9d : %ALLUSERSPROFILE%\microsoft\devicesync\3.exe
– 435351d097dcc253e48b89575a40427c : E:\****check_ASP_N\123.doc
– 66379480d44ad92c07f6b5a9dfb3df3d : E:\****check_ASP_N\test.gif
– 4875e5a46aec782f7e4cfb2028e6426a : E:\****check_ASP_N\p.gif
Potato (PrintNotifyPotato)
– fad4ea01a92d0ede3f75d13b1a96238b : %ALLUSERSPROFILE%\PrinterNotifyPotato.exe
– 7600f8875fb23a6057354c3426b1db79 : %ALLUSERSPROFILE%\ahnlab\ais\p.log, %ALLUSERSPROFILE%\USOShared\p.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\PrintNotifyPotato2.0.vmp.exe
– 98154aeaec8aba3c376c7c76e11a2828 : %ALLUSERSPROFILE%\USOShared\pp.exe
Potato (SharpEfsPotato)
– 661126f645c5eb261b0651744a17e14b : %ALLUSERSPROFILE%\microsoft\devicesync\20230404.log, %ALLUSERSPROFILE%\ahnlab\ais\v3.log
– 63294f453901077fcb62eeb5c84e53d1 : %ALLUSERSPROFILE%\ahnlab\ais\sep_vmp.sln
– 69bde490dc173dbed98b2decacd586c4 : %ALLUSERSPROFILE%\ahnlab\ais\result.log
– e8e00a5771cafa4fb9294fea549282de : E:\****check_ASP_N\NtQueueApcThreadEx.log
– 227df13221db37ab9673ae1af4e6278a : E:\****check_ASP_N\HeapAlloc.jpg, %ALLUSERSPROFILE%\USOShared\h.gif
– c9dc55872982efcadba4ce197ba34fbd : E:\****check_ASP_N\pp.gif
Potato (SweetPotato)
– 021924959a870354cc6c9a54fe7dcf83 : C:\Quarantine_MZ\123.gif, %ALLUSERSPROFILE%\Microsoft\DeviceSync\SweetPotato_4.7.2.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\SweetPotato_4.7.2_original.exe
– bcb6dbd50b323ea9a6d8161a7e48f429 : E:\****check_ASP_N\EtwpCreateEtwThread.jpg
– a7db0665564b2519ef5eef6627c716db : %ALLUSERSPROFILE%\USOShared\Logs\vmp1.log
PrintSpoofer
– 7e9125c89d7868f17813ed8c1af2e2c1 : %ALLUSERSPROFILE%\USOShared\PrintSpoofer928.exe, %ALLUSERSPROFILE%\microsoft\devicesync\printspoofer911.exe, %SystemRoot%\debug\wia\printspoofer928.exe, %ALLUSERSPROFILE%\usoshared\logs\vmp2.log, C:\Windows\debug\WIA\p.log
– 96b3b2ccb2687a9e2a98ac87a788dda8 : %SystemRoot%\debug\WIA\PrintSpoofer.exe
– 108da75de148145b8f056ec0827f1665 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\PrintSpoofer64.exe
– 2a74db17b50025d13a63d947d8a8f828 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\PrintSpoofer32.exe
– a9b21218f4d98f313a4195a388e3bfbb : C:\Windows\debug\WIA\PrintSpoofer928.exe, C:\Windows\debug\WIA\12.zxz, C:\Windows\debug\WIA\928.exe, %ALLUSERSPROFILE%\AhnLab\AIS\2.log, %ALLUSERSPROFILE%\USOShared\Logs\vmp2.log, %ALLUSERSPROFILE%\USOShared\2.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\PrintSpoofer928.exe, E:\****check_ASP_N\p.log
COMahawk (CVE-2019-1405, CVE-2019-1322)
– 6a60f718e1ecadd0e26893daa31c7120 : %SystemRoot%\debug\WIA\COMahawk64.exe
CVE-2020-0787
– d72412473d31ec655ea88833fe596902 : %SystemRoot%\debug\wia\cve-2020-0787-x64.exe
IIS LPE (by k8gege)
– 347742caff6fb0f8c397c0a772e29f3f : %SystemRoot%\debug\WIA\716.logs
Persistence
– aa3a20597084944fdcbe1c3894fd7ab5 : WebShell (SCF1.dat)
– bff58f5b6e3229d11b6ffe5b5ea952b5 : Config (SCFConfig.dat)
– 9cea04db9defe9e4f723c39a0ca76fb3 : Scheduled Batch (winrmr.cmd)
権限コピーマルウェア
– 95a0ea8e58195d1de2e66ca70ab05fe5 : %SystemDrive%\quarantine_mz\guest.exe
– 47ea1e6b805ba9c3f26a39035b3d35a0 : %SystemDrive%\quarantine_mz\folders\guestreg.exe
User Clone
– 0d341f48a589ef7d42283c0aa2575479 : %ALLUSERSPROFILE%\AhnLab\AIS\1.log, %ALLUSERSPROFILE%\Microsoft\DeviceSync\UserClone912.exe, %ALLUSERSPROFILE%\Microsoft\DeviceSync\UserClone.exe, C:\Windows\debug\WIA\UserClone.exe
– 5fd57ab455c62373e2151f7b46b183d2 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\UserClone9111.exe
– 29ad1b38046f5af2fb715c21741e6878 : %ALLUSERSPROFILE%\Microsoft\DeviceSync\UserClone911.exe, C:\Windows\debug\WIA\UserClone911.exe
Mimikatz
– 3c051e76ba3f940293038a166763a190 : E:\****Hotel\mimikatz.exe, E:\****Hotel\m.gif, C:\Oracle\product\m.exe
– e387640e3f911b6b41aa669131fa55d4 : C:\Oracle\product\mz64_ms_all.log, %ALLUSERSPROFILE%\Microsoft\DeviceSync\mz64_ms_all.log
– 7353af8af2d7ce6c64018d9618161772 : C:\***\****lus\mz64_ms_all.exe, C:\Windows\debug\WIA\mz64_ms_all.exe
RunasCs
– 4d04fa35ed26b113bb13db90a7255352 : E:\****Hotel\app\runascs_net2.exe
– 09ab2d87eb4d3d8ea752cbe6add18fd2 : E:\****Hotel\app\Runas.exe
– 80f5d6191c8cc41864488e2d33962194 : C:\***pay50\sample\sample.html, C:\**Update\bin\Upddater.dll, C:\Windows\debug\WIA\dllhost.exe, C:\***das\FreeLibs\AspUpload\Clash.exe, C:\***\****lus\bin\kcp.dll, C:\***Pay40\source\Clash.exe, C\Windows\debug\WIA\wiatrace.log
Sy_Runas
– 5a163a737e027dbaf60093714c3a021f : e:\app\sy_runas_.exe, %SystemRoot%\system32\spool\drivers\color\d35.camp, %ALLUSERSPROFILE%\microsoft\devicesync\1.exe
– a49d10b6406a1d77a65aa0e0b05154c3 : %ALLUSERSPROFILE%\oracle\java\java.txt, %SystemRoot%\debug\wia\wiatrace.log, C:\Windows\debug\WIA\Sy_Runas.exe
– c7c00875da50df78c8c0efc5bedeaa87 : E:\****Hotel\app\sy_runasnew.exe, %ALLUSERSPROFILE%\usoshared\logs\user\notifyicon.000.etl, e:\win64_*****_client\client\stage\services.exe, e:\win64_*****_client\client\stage\setup.exe, e:\****hotel\app\s.exe, e:\****hotel\app\app.asp
– e77093c71dc26d0771164cdaa9740e49 : C:\Windows\debug\WIA\wiatrace.log
NetCat
– 5584853a1191ad601f1c86b461c171a7 : %SystemRoot%\debug\wia\nc1.exe, %SystemDrive%\oracle\product\nc1.exe
– e2b4163992da996ca063d329206a0309 : %SystemRoot%\debug\wia\nc.exe
– 523613a7b9dfa398cbd5ebd2dd0f4f38 : E:\****check_ASP_N\nc64.exe
Ladon (by k8gege)
– 2b399abe28dbe11ca928032bea30444a : %SystemRoot%\debug\WIA\Ladon911.exe
– 734c96f4def9de44aa6629df285654d9 : %SystemRoot%\debug\WIA\Ladon.exe
– 47d59e43e1485feb98ff9c84fc37dc3b : PowerLadon (メモリ)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認することができる。
Categories:マルウェアの情報