MeshAgent と SuperShell を悪用した韓国国内の Web サーバーを対象とした攻撃事例

最近、国内の Web サーバーを対象に MeshAgent と SuperShell を悪用した攻撃事例が確認されている。マルウェア配布アドレスに ELF 形式のマルウェアが共存しているのを見ると、攻撃者は Windows Server だけでなく Linux Server も攻撃していると考えられる。攻撃者はファイルアップロード脆弱性を利用して Web シェルをインストールしたと推定されており、これを利用して追加のペイロードをインストールしたが、探索および側面移動攻撃により感染システムのみならず組織の他のシステムにも攻撃を試みた。

攻撃に使用されたマルウェアの配布アドレスでは WogRAT も確認されており、WogRAT は Rekoobe と似ているオープンソースマルウェアである「Tiny SHell」のルーチンを流用して開発されたバックドアマルウェアである。最近確認された WogRAT の C&C サーバーアドレスが過去 aNotepad を悪用して配布されていた攻撃事例の WogRAT と C&C サーバーアドレスが同じである点から、両方の事例とも同じ攻撃者の仕業であると推定される。

攻撃に使用された Web シェルを含むほとんどのマルウェアは公開ツールであるため、使用されたツール基準では両方の事例の関連性以外に攻撃者に関する正確な情報は分からない。もちろん、Ladon や Fscan、MeshAgent、SuperShell などのマルウェアは昔から中国語を使う攻撃者たちが頻繁に使用しているツールであるという点は特徴である。

図1. フローチャート

1. Initial Access

侵入の初期手段は不明だが、次のようなパスに Web シェルがインストールされていることから、Web サーバーのファイルアップロードの脆弱性を悪用したものと推定される。攻撃者はインストールされた Web シェルを使用して探索コマンドを実行した後、追加ペイロードをインストールした。

2. Persistence

攻撃者は初期の侵入過程で Web シェルをインストールして感染システムを制御しただけでなく、その後もコマンドを実行するための持続性維持目的で Web シェルを活用した。Windows IIS Web サーバーが攻撃対象であることから、使用された Web シェルはすべて ASP、ASPX フォーマットの Web シェルである。攻撃ログでは Chopper、Godzilla、Regeorg など様々な Web シェルのログが存在する。

図2. 攻撃に使用された Web シェル

3. Discovery

攻撃者は WebShell をインストールした後、次のようなコマンドを使用して感染システムに関する情報を収集した。

その後、Fscan を使用して感染システムが含まれるネットワークをスキャンする。

図3. 中国語で開発された Fscan ツール

4. Privilege Escalation

権限昇格プロセスではLadonが悪用されており、Ladonもまた中国語を使用する攻撃者が主に使用するツールである。攻撃プロセスで必要なさまざまな機能をサポートするため、攻撃者は攻撃対象システムを掌握した後、Ladonを使用してスキャン、権限昇格、アカウント情報の窃取など、さまざまな悪意のある行為を行うことができる。実行ファイルフォーマットのLadonの他にも、PowerShellで作成されたPowerLadonも存在するが、該当の攻撃事例ではPowerLadonが使用された。

攻撃者はWebシェルを通じて感染システムでコマンドを実行できるとし ても、w3wp.exeプロセスが適切な権限を持っていないため、望ましい悪意のある行為を実行できない。このような問題を解決するために、攻撃者は攻撃プロセスで権限昇格マルウェアを一緒に使用する傾向があり、主にPotatoタイプのマルウェアを使用する。今回の攻撃事例では、LadonがサポートするSweetPotatoコマンドで権限を昇格させた。

5. Command and Control

攻撃者は web shell のみならず SuperShell と MeshAgent をインストールして感染システムを制御し、プロキシツールをインストールすることもあった。SuperShell は Go 言語で開発され、Windows と Linux、Android を含むさまざまなプラットフォームをサポートする。実質的な機能はリバースシェルであり、攻撃者はこれを利用して感染システムをリモートで制御できる。SuperShell は不適切に管理される Linux サーバーを対象とした攻撃事例でも悪用され、UNC5174 のような APT 攻撃者が使用した事例も知られている。[1] [2]

図4. GitHub の SuperShell リポジトリ

MeshAgent はリモート管理に必要なシステムの基本情報を収集し、電源およびアカウント制御、チャットやメッセージのポップアップ、ファイルのアップロード/ダウンロード、コマンド実行などの機能を提供する。それ以外にもリモートデスクトップをサポートしており、特に RDP や VNC などのリモートデスクトップ機能もウェブベースでサポートされる。一般的なユーザーはリモートでシステムを管理するためにこれを利用するが、このような機能のために悪意のある目的で使用される可能性がある。

図5. MeshAgent の設定ファイルおよび C&C アドレス

なお、攻撃者がマルウェアをダウンロードしたアドレスでは Linux サーバー向けのマルウェアも一緒に存在する。SuperShell の場合 PE フォーマットのみならず ELF フォーマットのマルウェアも一緒にアップロードされており、WogRAT が確認された。WogRAT は過去に無料オンラインメモ帳プラットフォームである aNotepad を悪用して配布されていたマルウェアであり、攻撃者が作成時に使用した “WingsOfGod” 文字列が特徴である。WogRAT は Windows のみならず Linux バージョンも存在するが、Linux バージョンは Rekoobe に類似したオープンソースマルウェア “Tiny SHell” のルーチンを流用して開発された。WogRAT に関する詳細な分析情報は既存ブログに整理されている。[3]

WogRAT の C&C サーバーアドレスが過去の事例と同じドメインであることから、2つの攻撃事例は同一の攻撃者によるものと推定される。既存事例では Windows システム基準で正常ユーティリティを偽装した名前で配布されたが、今回確認された事例では脆弱なウェブサーバーを攻撃したことが違い点である。

6. Credential Access

感染システムだけでなく感染システムが属するネットワークを支配するための側面移動段階では、資格情報を収集する必要がある。実際に WMIExec と Ladon を利用した側面移動段階が確認されたことから、資格情報の盗難に成功したと推測される。攻撃者はさまざまな方式を使用したと考えられるが、確認されたツールとしては Network Password Dump が存在する。このツールはシステムに保存されたネットワーク認証情報を収集して表示する機能を担当する。

図6. Network Password Dump ツール

7. Lateral Movement

攻撃者は管理者アカウントの NT Hash を取得することに成功し、これを基に WMIExec を活用して組織の他のシステムに対して横移動を行った。

その他にも MS-SQL サーバーも攻撃対象となっており、次のように Ladon を活用したサイドムーブメント攻撃コマンドを確認することができた。

8. 結論

最近、韓国国内の IIS サーバーを対象に発生した攻撃の中で WogRAT 攻撃者と同じ攻撃者の仕業と推定される事例が確認された。攻撃者は Windows のみならず Linux も攻撃対象としているようであり、初期侵入段階から始めて側面移動段階まで進行し、感染システムが属するネットワークを掌握しようと試みた。最終的な目的は不明であるが、組織のネットワーク掌握に成功した場合、敏感な情報を窃取したりランサムウェアを感染させる恐れがある。