AhnLab Security Emergency response Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしている。Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、攻撃者たちの代表的な攻撃対象となっている。
Windows 環境をサポートする Web サービスには、代表的なものとして Internet Information Services(IIS)や Apache、Apache Tomcat、そして Nginx 等がある。Apache Web サービスは主に Linux Web サーバーで使用する傾向があるが、Windows OS もサポートしているため、Windows 環境でサービスを提供するケースも少数存在する。
ASEC では最近、Apache Web サービスを運用する Windows Web サーバーを対象に XMRig コインマイナーをインストールする攻撃キャンペーンを確認した。攻撃者は、感染システムを操作する目的で CobaltStrike マルウェアを使用することが特徴である。CobaltStrike は商用のペネトレーションテストツールであり、最近では APT やランサムウェアを含む大多数の攻撃において内部システムを掌握するための中間段階として使用されている。
1. Apache Web サーバーを対象とする攻撃
攻撃対象となったシステムは、すべて古いバージョンの Apache Web サービスと PHP がインストールされた環境である。具体的な攻撃方式は確認されていないが、パッチが適用されていない Apache Web サーバーに対する様々な脆弱性攻撃が可能であったものと推定され、PHP Web シェルマルウェアがインストールされた履歴も確認されている。
攻撃者はインストールした Web シェルや脆弱性攻撃によりマルウェアをアップロードし、実行した。攻撃対象は Apache Web サーバーである httpd.exe プロセスであり、これにより httpd.exe がマルウェアの生成および実行のような悪意のある振る舞いを実行することになる。
Web サービスを担当するプロセスのファイル生成およびプロセス実行のような振る舞いは、悪意を持った使われ方だけをされるものではない。正常なアップデートプロセスにおいて発生したり、管理者が Web サーバーを管理するために作業中に発生することがある。これにより、V3 のようなアンチウイルス製品ではこれらの振る舞いを完全に遮断するには限界がある。
AhnLab EDR(Endpoint Detection and Response)は、韓国唯一の振る舞いベースの解析エンジンをベースに、エンドポイント領域に対する強力な脅威モニタリングと解析、対応能力を提供する次世代型エンドポイント脅威検知・対応ソリューションである。AhnLab EDR は疑わしい振る舞いのタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じて原因把握と適切な対応、再発防止プロセスを策定できる。
以下は攻撃者が Apache Web サービスを攻撃して CobaltStrike をインストールする振る舞いに対する EDR 検知画面であり、Apache Web サーバーのプロセスである httpd.exe が CobaltStrike を実行させる振る舞いを、証跡を通じて確認できる。
2. 攻撃に使用された CobaltStrike
CobaltStrike でバックドアの役割を担うのはビーコン(Beacon)である。CobaltStrike は beacon を様々な形で提供するが、この方式によって Stager と Stageless 方式に区分できる。
Stager 方式は外部から beacon をダウンロードしてメモリ上で実行するダウンローダーマルウェアを使用する方式であり、beacon を直接含まないためサイズが小さく、追加で beacon をダウンロードするプロセスが必要となる。一方で Stageless 方式で製作された CobaltStrike は内部に beacon を含んでいるため、一定のサイズ以上であることが特徴である。
攻撃者は、ファイル検知を回避するために使用したマルウェアを難読化し、Go 言語や PyInstaller を使用した。攻撃に使われたマルウェアの大半が Stageless 方式だが、PyInstaller で開発されたマルウェアは CobaltStrike をメモリ上でダウンロードして実行させる Stager 方式のダウンローダーマルウェアである。
beacon は http、https、dns 等のようなプロトコルを利用して C&C サーバーと通信できる。ラテラルムーブメント(Lateral Movement)のプロセスで内部イントラネットにインストールされる beacon は外部と接続されていないため、SMB プロトコルを利用して通信を行う SMB beacon が使用される。攻撃に使用された CobaltStrike は、すべて初期侵入後に感染システムを操作する目的で使用されたため、C&C サーバーとの通信に HTTP プロトコルを使用する。以下は、攻撃に使用された CobaltStrike において CobaltStrikeParser を利用して [1](英語外部サイト) 設定データを抽出した結果であり、C&C サーバーアドレスだけでなく、User-Agent、インジェクション対象のプロセス等、様々な設定を確認できる。
攻撃に使用された CobaltStrike は Go、PyInstaller 等の様々なフレームワークを持っているが、C&C サーバーはすべて同じ IP アドレスが使われている。AhnLab では、過去から CobaltStrike の攻撃に使用されてきた当該 C&C アドレスを不正な URL として検知しており、これは AhnLab EDR でも確認が可能である。以下は、不正な URL に接続する振る舞いを脅威として検知した証跡データであり、不正な URL アドレスと不正な URL に接続したプロセスの情報だけでなく、送信したペイロードデータも確認が可能である。
3. 追加マルウェアのインストール
CobaltStrike のインストールを試みたあとは、さらに Gh0st RAT をインストールしようと試みた。これは、セキュリティ製品により CobaltStrike が正常に動作しなかったことが原因と推定される。これらの試みによって感染システムを掌握したあとは、最終的にモネロコインを採掘するマイナーをインストールした。
遠隔操作マルウェアとコインマイナーのインストール以外には追加のログが確認されていないことから、攻撃者の最終目標は不適切に管理されている Web サーバーのリソースを利用してモネロコインを採掘し、収益を創出することであると推定される。
4. 結論
最近、Apache Web サービスがインストールされた Windows サーバーを対象に CobaltStrike をインストールする攻撃キャンペーンが確認されている。ログを通じて推定したところ、攻撃者は不適切に管理されている、または脆弱性に対するパッチが適用されていない Web サーバーを攻撃したものと推定される。
CobaltStrike は商用のペネトレーションテストツールであり、最近では APT やランサムウェアを含む大多数の攻撃において内部システムを掌握するための中間段階として使用されている。AhnLab 製品では、CobaltStrike を活用し、初期のペネトレーション段階から内部拡散時に使用される beacon のバックドアについて、プロセスのメモリベースの検知方式と振る舞いベースの検知技術を保有している。
管理者は、Web サーバーに存在するファイルアップロードの脆弱性を点検し、初期侵入経路となる Web シェルのアップロードを事前に防止できるように努めなければならない。また、パスワードを定期的に変更してアクセス制御を設定し、窃取されたアカウント情報を利用したラテラルムーブメント攻撃に対処する他、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
ファイル検知
– Backdoor/Win.CobaltStrike.C5538818 (2023.11.08.00)
– Trojan/Win.Generic.R605627 (2023.09.15.01)
– Malware/Win64.RL_Backdoor.R363496 (2021.01.18.05)
– Downloader/Win.CobaltStrike.C5538917 (2023.11.09.01)
– Downloader/Win.CobaltStrike.C5538829 (2023.11.08.00)
– Backdoor/Win.Gh0stRAT.C4976986 (2023.06.04.01)
– Malware/Win32.RL_Generic.R356011 (2020.11.22.01)
– CoinMiner/Win.XMRig.C5539322 (2023.11.09.01)
– WebShell/PHP.Generic.S1912 (2022.09.27.02)
– WebShell/PHP.Small.S1690 (2021.10.26.02)
振る舞い検知
– InitialAccess/DETECT.Event.M11450
– Connection/EDR.Behavior.M2650
メモリ検知
– Backdoor/Win.CobaltStrike.XM79
– Downloader/Win.CobaltStrike.XM83
IOC
MD5
– 719253ddd9c49a5599b4c8582703c2fa : CobaltStrike Beacon (3JONXp.exe)
– 594365ee18025eb9c518bb266b64f3d2 : CobaltStrike Beacon (3JONXp-Signed.exe)
– d4015f101a53555f6016f2f52cc203c3 : CobaltStrike Beacon (256.exe)
– 1842271f3dbb1c73701d8c6ebb3f8638 : CobaltStrike Beacon (256-Signed.exe)
– 36064bd60be19bdd4e4d1a4a60951c5f : CobaltStrike Stager (test.exe)
– 5949d13548291566efff20f03b10455c : CobaltStrike Stager (artifact_x64.exe)
– c9e9ef2c2e465d3a5e1bfbd2f32ce5cd : CobaltStrike Stager (artifact_x64-signed.vmp.exe)
– 85e191a1fff9f6d09fb46807fd2dea37 : Gh0st RAT (1.exe)
– b269dd0b89d404d5ad20851e0d5c322e : Gh0st RAT (server.exe)
– 205c12fabb38b13c42b947e80dc3d53a : XMRig (svchost.exe)
– 6b837fafaa1fbc2a4ddb35a748f4c11e : PHP WebShell (helper.php)
– f9d6a75875991086e1fb5985fc239df3 : PHP WebShell (s.php)
C&C アドレス
– hxxp://121.135.44[.]49:808/ptj : CobaltStrike Beacon
– hxxp://121.135.44[.]49:808/updates.rss : CobaltStrike Beacon
– hxxp://121.135.44[.]49:808/ga.js : CobaltStrike Beacon
– 202.30.19[.]218:521 : Gh0st RAT
– gd.one188[.]one:520 : Gh0st RAT
ダウンロードアドレス
– hxxp://121.135.44[.]49:808/a4vR : CobaltStrike Stager
– hxxp://www.beita[.]site/api/2:2053 : CobaltStrike Stager
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知