AhnLab EDR を活用した Proxy ツールの検知 Posted By ATCP , 2024년 11월 29일 攻撃者は、感染システムの操作権限を獲得したあとも、RDP を利用して遠隔地から画面操作を行うことがある。これは利便性のためでもあるが、持続性の維持が目的である場合もある。そのため、攻撃プロセスでは、RDP サービスが有効にされていない場合は RDP Wrapper をインストールすることもあり、既存のアカウントの資格情報を奪取する、または新たなバックドアアカウントを追加することもある。 しかし、感染システムがプライベートネットワーク、すなわち NAT 環境の内部に存在する場合は、IP およびアカウント情報を知っていたとしても外部からリモートデスクトップを利用した接続は不可能である。そのため、攻撃者はシステムを外部に公開させてくれる機能を担当する Proxy ツールを追加でインストールする場合もある。…
遠隔操作ツールを利用した感染システムの制御 – EDR 検知 (2) Posted By ATCP , 2024년 11월 25일 遠隔操作ツールは RAT(Remote Administration Tool)とも呼ばれ、遠隔地の端末を管理し、操作する機能を提供するソフトウェアである。最近、初期侵入プロセスやラテラルムーブメントのプロセスで攻撃対象のシステムを操作するため、バックドアマルウェアの代わりに遠隔操作ツールをインストールする事例が増加している。 これはファイアウォールや検知を回避するための意図的なもので、AntiVirus 製品では一般的なマルウェアとは異なり、これらのツールを単純に検知して遮断することに限界があるためである。そのため攻撃者はこれらの点を悪用しており、このような攻撃に備えるためには EDR を活用して、疑わしい振る舞いをモニタリングし、対応する必要がある。 AhnLab EDR(Endpoint…
フィッシングメールを通じて配布される SVG(Scalable Vector Graphics)フォーマットのマルウェアに注意 Posted By ATCP , 2024년 11월 25일 ASEC(AhnLab SEcurity intelligence Center)は最近、SVG(Scalable Vector Graphics)フォーマットのマルウェアが多数配布されている状況を確認した。SVG ファイルとは、拡張可能なベクターグラフィックを表す XML ベースのファイル形式である。主にアイコン、チャート、グラフなどに使用されるものであり、コード内に CSS および JS…
JAR 署名ツール(jarsigner.exe)によって実行される XLoader Posted By ATCP , 2024년 11월 19일 最近 AhnLab SEcurity intelligence Center(ASEC)では、DLL Side-Loading 手法を利用する XLoader マルウェアの拡散状況を確認した。DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL…
正常なプログラムをもとに作成され拡散している LummaC2 情報窃取型マルウェア Posted By ATCP , 2024년 11월 18일 LummaC2 は、クラックなどの違法ソフトウェアに偽装して活発に拡散している情報窃取型マルウェアであり、配布方法、作成方法が持続的に変化している。最近では正常なプログラムにマルウェアを挿入した形で配布されており、注意が必要である。 LummaC2 マルウェアが実行されると、ブラウザに保存されたアカウント情報、メール情報、暗号通貨ウォレットの情報、オートログインプログラムの情報などのプライベートな情報が攻撃者の C&C サーバーに転送され、窃取された情報はダークウェブで取引されたり、さらなるハッキング攻撃に利用されるなどの2次被害が発生するおそれがある。個人用 PC から窃取された情報により、企業のシステムまで攻撃を受ける侵害事故も絶えず発生し続けている。 従来はマルウェア専用のビルダー(Builder)を使用してマルウェアを作成し、バージョン情報、アイコン情報などのリソース部分のみ正常なファイルと同様に偽装する形で主に配布されていた。そのため、ファイルのリソースは正常であるかのように見えても、内部コードやデータは全く異なる形式になっており、見分けがつきやすかった。 しかし、現在出回っているタイプは、正常なファイルの一部領域にマルウェアを挿入する方法により作成されている。この場合、大半のファイル内容および構造が正常なファイルと同じであるため、見分けがつきにくい。…
Grafana の脆弱性が露呈した韓国国内サーバーの現況(CVE-2024-9264) Posted By ATCP , 2024년 11월 18일 Grafana 製品に対する重要なセキュリティ脆弱性が公開され、多数の韓国国内サーバーが脆弱なバージョンであることが確認された。Grafana はデータを視覚化し、モニタリングを行うことができるオープンソースプラットフォームとして広く知られている。 2024年10月18日に公開された CVE-2024-9264 脆弱性は、Grafana のサーバーシステムにリモートコマンドを実行したり(RCE)、任意のファイルを読み込むことができる(LFI)脆弱性で、CVSS スコア9.9を割り当てられた深刻な危険度の脆弱性である。 この脆弱性を悪用すると、最も低い権限である Viewer 権限でもサーバーに任意のコマンドを実行する、または特定のファイル内容を確認することができる。 脆弱対象は、Grafana…
AhnLab EDR を活用した BlueKeep による攻撃の検知 Posted By ATCP , 2024년 11월 15일 BlueKeep(CVE-2019-0708)は2019年5月に公開された脆弱性であり、クライアントとサーバー間の RDP(Remote Desktop Protocol)接続プロセスにおいて発生する。クライアントが特定のチャンネル(MS_T120)へ悪意を持ったパケットを送信すると、Use-After-Free 脆弱性が発生し、リモートコードの実行が可能になる。[1] この脆弱性は最近でも ASEC ブログで取り上げられており[2]、APT グループがこれを活用している。 ここでは、最近 AhnLab EDR(Endpoint Detection…
