AhnLab Security Emergency response Center(ASEC)は、正常なホームページを侵害して様々なファイル名を利用し、ユーザーの実行を誘導するマルウェアの配布状況を確認した。最近、マルウェアの配布媒体としてよく使用される LNK ファイルを通した配布方式に関して AhnLab EDR 製品で解析および検知する内容を紹介する。
| Pomerium プロジェクト関連問い合わせ資料.txt.lnk |
| 23年 iris 協約前変更申込関連資料.txt.lnk |
| オ・スヨン陳述書資料.txt.lnk |
| 問い合わせ内容確認件.txt.lnk |
| ディープブレイン ai インタビュー案内.txt.lnk |
| 採用関連情報.txt.lnk |
[表1] 配布ファイル名
マルウェアは[表1]と同じファイル名の圧縮ファイル形態で配布され、ダウンロードおよび実行を誘導し、実行される。この攻撃者の特徴としては、正常なホームページを侵害して配布元として使用されているという点がある。ファイルの変更が自由ではない PE ファイルとは違って、比較的に内容の変更が簡単な NON-PE ファイルを使用する。また、正常に運営されているホームページを通してダウンロードされる方式を利用するため、EDR のような振る舞いベースの記録および検知製品を通して備える必要がる。
図1. 流入/流出検知
AhnLab EDR 製品は、このようなファイルの流入/流出を記録している。[図1]は流入/流出機能を通して検知した画面であり、流入経路とファイル情報を一目で確認することができる。
図2. ダウンロードされたファイルの内容
図3. LNK ファイルの内容
ダウンロードされたファイルは[図2]のように圧縮ファイル形態であり、圧縮ファイルを解凍すると .txt 拡張子に偽装した .txt.lnk ファイルが作成される。メモ帳アイコンに偽装した LNK ファイルの内部には、CAB ファイルとスクリプトが含まれている。
[図3]は LNK ファイルの内容であり、左の図は LNK の実行コマンドラインで、右の図は LNK ファイル内にある HTML スクリプトである。LNK ファイルは Windows に標準搭載されている mshta を通して内部の HTML スクリプトを実行する。HTML スクリプトは難読化された VBS スクリプトを実行する。
図4. LNK 実行 EDR 検知画面
[図4]は上記で紹介した[図3]の実行画面である。上記で紹介した LNK ファイルを通して実行される mshta のコマンドラインを確認することができ、mshta で実行される HTML 内 VBS スクリプトの難読化が解除された実行コマンドラインを確認することができる。主な機能としては、PowerShell プロセスを通して LNK ファイルを読み込み、LNK 内部に挿入された CAB ファイルのドロップ、expand プロセスを通した解凍および実行がある。
図5. Expand プロセスを通した解凍
[図5]はドロップされた CAB ファイルを expand プロセスで解凍する内容を検知した画面である。expand プロセスを悪用して解凍するコマンドラインと不正なファイルの作成位置を確認することができる。
図6. BAT スクリプトの不正な振る舞い
図7. BAT スクリプトの不正な振る舞い EDR 検知
[図6]は CAB ファイルで圧縮解凍されたスクリプトの不正な機能である。主な内容としては、CAB ファイルで解凍された他のスクリプトの実行とシステム情報の収集、自動実行レジストリ登録および送信機能がある。[図7]でこのような実行内容を AhnLab EDR 製品が検知した内容を確認することができる。以外にも、追加ファイルのダウンロード試行、ダウンロードファイル certutil を通したデコードおよび実行などの機能がある。
図8. EDR ダイアグラム画面
正常なホームページを侵害し、様々なファイル名を利用することでユーザーの実行を誘導するマルウェアの配布方式に関して紹介した。[図8]はこのような配布の全体ダイアグラムである。上記で紹介した内容を一目で確認することができ、攻撃フローを確認することができる。
様々なファイル名を使用することでユーザーの実行を誘導する配布方式は現在多く使用される方式である。同時に配布元として正常なホームページを侵害して使用するため、ユーザーが区分するには困難である。このような方式の配布を検知するためには、エンドポイントアンチウイルスの V3 振る舞い検知を有効化し、感染した場合には EDR 製品を通して詳細内容を確認した上での措置が必要である。
正常なホームページを侵害して配布に活用しているため、IOC 情報の中から配布元のアドレスは公開されない。関連情報は関係機関などの情報提供のため、AhnLab TIP(Threat Intelligence Platform) の ASEC Notes に別途掲示する予定である。
[振る舞い検知]
Execution/MDP.Powershell.M2514
Injection/EDR.Behavior.M3695
Fileless/EDR.Powershell.M11335
[ファイル検知]
Downloader/BAT.Agent.SC194060
Infostealer/BAT.Agent.SC194061
Downloader/BAT.Agent.SC194060
[HASH]
04d9c782702add665a2a984dfa317d49
453e8a0d9b6ca73d58d4742ddb18a736
8f3dcf4056be4d7c8adbaf7072533a0a
c2aee3f6017295410f1d92807fc4ea0d
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知