新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性

Malware campaign hides a shellcode into Windows event logs

2022/05/07 SecurityAffairs — 2022年2月に Kaspersky の研究者たちは、Windows イベント ログにシェルコードを隠すという、新しいテクニックを用いた悪意のキャンペーンを発見した。このテクニックにより、ファイル無しのトロイの木馬を隠すことが可能となる。また、専門家たちは、Event Tracing (ETW) と Anti-Malware Scan Interface (AMSI) に関連する、Windows ネイティブ API 関数にパッチを当てることで、その Dropper モジュールも検出を避けていたことに気づいた。

Kaspersky の研究者である Denis Legezo が発表した分析結果には、「2022年2月に、悪意のキャンペーンにおいて、Windows のイベントログにシェルコードを取り込むという、初めての手法を観測した。それにより、ファイルレスという最新のトロイの木馬を、ファイル・システム内に目立たないように隠すことが可能となる」と記されている。この研究者は、次の段階のマルウェアを取り込むための暗号化されたシェルコードが、イベントログ内の 8KB の断片として隠していることを発見した。

Legezo は、「ドロップされた wer.dll はローダーであり、Windows のイベントログに隠されたシェルコードが存在しなければ害を及ぼすことはないだろう。このドロッパーがイベントログで検索するのは、カテゴリが 0x4142 (ASCII で AB) で、ソースとして Key Management Service を持つレコードである。見つからない場合には、ReportEvent() Windows API関数 (lpRawData パラメータ) を介して、シェルコードの 8KB 断片を情報ロギング・メッセージに書き込む」と分析している

彼は、「最初のステージャーにより、Tasks ディレクトリにドロップされたランチャーは、wer.dll に対する全てのコールと、そのエクスポートを、元の正規のライブラリにプロキシする。このエントリ・ポイントでは、別のスレッドが前述の 8KB の断片を完全なシェルコードに結合し、それを実行する」と分析している。

Windows event logs

2021年9月から活動していると思われる、このキャンペーンの背後にいる攻撃者は、Microsoft の cl.exe や MinGW 下の GCC から、最近のバージョンの Go にいたるまでの、さまざまなコンパイラを使用している。また、検出を回避するために、モジュール署名も使用されている。

この攻撃チェーンは、Cobalt Strike と Silent Break を含む正規サイト file.io から、.RAR アーカイブを配布することを目的としている。最後のステージャーは、RC4 暗号化された HTTP 経由と、名前付きパイプによる非暗号化通信メカニズムを使用する。これらを悪用する攻撃者は、任意のコマンド実行/URL からのファイルのダウンロード/権限の昇格/スクリーンショットの撮影などの、多岐にわたる悪意の活動を行っていた。

Denis Legezo は、「このキャンペーンで最も革新的だったのは、これまで見られなかったイベントログの手法だと考えている。少なくとも2つの商用製品が使用されており、さらに数種類の、最終段階の RAT と検出回避ラッパーが使用されていることから、このキャンペーンの背後にいる行為者は、きわめて有能であることが分かる。カスタムだと説明したモジュールの中にも、商用ツールセットの一部が取り込まれている可能性がある。一連のコードも固有のものであり、既知のマルウェアとの類似性はない。私たちは、今後も同様に、この活動を監視していく」と結んでいる。

Microsoft が対策を実施すれば、脅威アクターたちは次の手を考えるという、イタチごっこが延々と続いていますが、それは、致し方ないことなのでしょう。年明けからの Windows に関連する記事としては、1月11日の「Microsoft Windows の HTTP プロトコル・スタックに存在する脆弱性 wormable が FIX」や、4月11日の「Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ」、4月26日の「Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される」などがあります。よろしければ、Windows で検索も、ご利用ください。