AhnLab Security Emergency response Center(ASEC)は、給与明細書に偽装した Remcos 遠隔操作マルウェアがメールを通して配布されている状況を発見した。
確認された Remcos RAT マルウェアは、[図1]のように「給与振込確認証です」という件名で受信者を欺き、配布された。添付されている cab 圧縮ファイルの内部には、[図2]のように PDF ファイルアイコンに偽装した EXE ファイル(Remcos RAT)が存在していた。
[図1] フィッシングメールの本文
[図2] 添付されている cab 圧縮ファイル内部の Remcos RAT(.exe)
Remcos RAT マルウェアは、[図3]のように攻撃者のコマンドに応じてキーロガー、スクリーンショットキャプチャ、Web カメラおよびマイクの制御だけでなく、インストールされたシステムに存在する Web ブラウザの履歴およびパスワードの抽出機能のような、悪意のある遠隔操作ができる。[1]
遠隔操作機能を実行する特性上、Remcos RAT マルウェアには攻撃者サーバー(C2)でコマンドを受け取る前までは悪意のある振る舞いが発生しないという特徴がある。しかし、C2 のコマンドがなくても、感染と同時に開始される Offline Keylogger のキーロガー振る舞いを通してサンドボックスデバイスからも検知が可能である。
[図3] Remcos 遠隔操作サーバーの様々な制御機能(Remcos v2.6.0)
[図4]は、C2 のコマンドなしに実行される Remcos RAT のオフラインキーロガー(Offline Keylogger)機能の関数である。詳細を見ると、[図5]のように SetWindowHookExA API を使用し、WH_KEYBOARD_LL 引数を通してキーボード入力イベントをモニタリングするフックプロシージャをインストールする。
[図4] Remcos RAT の offline keylogger 機能
[図5] Remcos RAT キーボード入力フックコード(SetWindowsHookExA)
[MDS 製品の検知]
[図6]は、AhnLab MDS がサンドボックス環境において上記に説明した Remcos RAT のオフラインキーロガー機能を検知した画面である。 [図7]のように、キーボード入力をフックする不正な振る舞いが検知されたことを確認できる。
[図6] AhnLab MDS を利用した Remcos RAT マルウェアの検知画面(1)
[図7] AhnLab MDS を利用した Remcos RAT マルウェアの検知画面(2)
RAT マルウェアは、攻撃者のコマンドを通して不正な振る舞いを実行する。そのため、サーバーとの通信を通して攻撃者のコマンドが実行される前までは感染を認知しにくいという特徴がある。したがって、セキュリティ担当者は MDS のような APT ソリューションを使用する以外にも、エンドポイントで発生する異常な振る舞いに対して EDR のような製品でモニタリングし、企業のセキュリティ事故に備え、侵害時には素早く対応する必要がある。
[IoC]
[MD5]
– 1e378b5dc586175e1b5e5931b8727ae3 (Remcos RAT v3.8.0 Pro)
[ファイル検知]
– Trojan/Win.Generic.R611702 (2023.10.14.00)
[振る舞い検知]
– SystemManipulation/MDP.Hooking.M10055
– Execution/MDP.Remcos.M11099
– DefenseEvasion/MDP.AntiAnalysis.M912
サンドボックスベースの動的解析によって未知の脅威を検知して対応する AhnLab MDS に関する詳しい情報は、AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知