正常な履歴書のように見えるが、実行した瞬間に感染開始

最近、履歴書ファイルを装った悪意のあるショートカット (LNK) ファイルが拡散されており、企業ユーザーの注意が求められている。攻撃者は企業名や職種名を含む履歴書文書のようなファイル名を使用し、実行時には正常なデコイ (Decoy) 文書を表示することで、ユーザーの警戒心を低下させる。その後、追加の悪意のあるファイルをダウンロードしてバックドアマルウェアの実行を試みるほか、タスクスケジューラへの登録、スタートアップへの登録、DLL Side Loading などによって持続性を確保する。
特に、履歴書を装った文書ファイルは業務環境で容易に開かれる可能性があるため、セキュリティ担当者および従業員には慎重な確認が求められる。
本ブログでは、履歴書ファイルを装って拡散されている悪意のある LNK ファイルの主な特徴と対策について解説する。

今回確認された履歴書偽装ファイルは、特定の企業名と職務名を含む形式で作成されていた。

• (RESUME)_企業名_職務名_***.LNK

当該 LNK ファイルには正常なデコイ文書が含まれており、ユーザーがファイルを実行すると、正常な文書に見える履歴書が表示される。そのため、ユーザーは実際の履歴書を閲覧していると認識するが、その裏では悪意のあるスクリプトや追加ファイルが生成され、感染プロセスが進行する。

正常な文書を同時に表示する手法は、ユーザーの疑念を和らげるためのソーシャルエンジニアリング手法である。特に採用、人事、営業、顧客対応など、外部から文書を受け取る機会の多い部署では同様の手法が悪用される可能性があるため、ファイルを実行する前に拡張子と送信元を必ず確認する必要がある。

スクリプトの生成とタスクスケジューラへの登録

悪意のある LNK ファイルが実行されると、C:\Users\Public\Videos\ 配下にランダムな名称のバッチファイル (.bat)、PowerShell スクリプト(.ps1)、VBScript ファイル(.vbs) が生成される。これらのファイルの内容は LNK ファイル内部に含まれており、その後生成された PowerShell スクリプトが実行される。

この PowerShell スクリプトは、「office365」という名前のタスクスケジューラを登録し、10分ごとに VBScript ファイルが実行されるよう設定する。その後、VBScript ファイルがバッチファイルを実行し、次の段階の悪意のある動作が実行される。

このように、正常な業務サービスに似た名前のスケジュールタスクを登録してスクリプトを定期的に実行することで、攻撃者はシステム再起動後や一部の悪意のあるプロセスが終了した後でも、再び悪意のある動作を実行できるよう持続性を確保する。

[図1] 登録されたタスクスケジューラ

追加ファイルのダウンロードと実行フロー

VBScript によって実行されたバッチファイルは、curl コマンドを利用して外部サーバーから追加ファイルをダウンロードする。ダウンロード URL は本文では公開しないが、これらのファイルは後続のマルウェア実行のための構成要素として利用される。

ダウンロードされたファイルの一部は Base64 でエンコードされており、デコード後に「C:\Users\Public\Pictures\p2.ps1」へ追加の PowerShell スクリプトとして保存される。その後、p2.ps1 はスタートアップフォルダーにショートカットファイルを作成し、先にダウンロードしたファイルを復号して正常な実行ファイル、DLL ファイル、データファイルを生成する。

今回の事例で確認された生成ファイルは以下のとおりである。

• ProximityUxHost.exe
• ProximityCommon.dll
• settings.dat
• MicrosoftBing.lnk

MicrosoftBing.lnk によって正規プログラムである ProximityUxHost.exe が実行され、この過程で DLL Side Loading 手法が利用される。
DLL Side Loading とは、正常な実行ファイルが特定の DLL を読み込む仕組みを悪用する攻撃手法であり、攻撃者はこれにより正規プログラムが実行されているように見せかけながら、悪意のある DLL を同時に実行することができる。

今回の事例では、ProximityCommon.dll が読み込まれた後、Xctdoor系バックドアマルウェアである settings.dat が正規プロセスへインジェクションされて実行される流れが確認された。このマルウェアは特定の外部 C2 サーバーとの通信を試みることが確認されている。

[図2] p2.ps1 ファイルの一部

[図3] Xctdoor コードの一部

攻撃の流れをまとめると以下のとおりである。

履歴書を装った悪意のある LNK ファイルを実行

↓

正常な文書に見えるデコイ文書を表示

↓

C:\Users\Public\Videos\ 配下にスクリプトファイルを生成

↓

「office365」という名称でタスクスケジューラを登録

↓

外部サーバーから追加ファイルをダウンロード

↓

ダウンロードファイルを復号し、悪意のあるファイルを生成

↓

スタートアップフォルダーを利用して持続性を確保

↓

正常な実行ファイルを悪用した DLL Side Loading を実行

↓

Xctdoor 系バックドアマルウェアを実行

このような攻撃フローは、単一のマルウェア実行と比べて検知や分析が困難である。正常な文書、正規プログラムに似たファイル名、スケジュールタスクへの登録など、複数の偽装要素が組み合わされているため、ユーザーが感染に気付くことは容易ではない。

対応ガイド

1) タスクスケジューラの確認と削除

セキュリティ担当者は、タスクスケジューラに不審なタスクが登録されていないか確認する必要がある。今回の事例では、正常なサービスに見える名称 (Office 365) のスケジュールタスクが登録され、スクリプトを定期的に実行するよう設定されていた。当該タスクが確認された場合は、速やかに削除する必要がある。

2) 不審なファイルの有無を確認し削除する

ユーザープロファイル配下の以下のパスに不審なファイルが生成されていないか確認する。

• C:\Users\{User}\AppData\Local\Packages\Microsoft.BingSearch365_8wekyb3d8bbwe\Appdata\

上記パスに以下のファイルが存在する場合、悪意のあるファイルである可能性があるため削除を推奨する。

• ProximityCommon.dll
• settings.dat
• MicrosoftBing.lnk

3) 履歴書を装ったファイルの実行に注意する

今回の攻撃は、正常な文書を装った LNK ファイルを実行した後、タスクスケジューラやスタートアップ機能を利用して持続性を確保し、さらに正常な実行ファイルを悪用してバックドアマルウェアを実行する手法である。

そのため、出所が不明な履歴書ファイルや文書形式の添付ファイルを開く際には、実際の拡張子と実行の有無を必ず確認することが重要である。