Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性

Experts Warn Threat Actors May Abuse Red Team Tool Nighthawk

2022/11/22 InfoSecurity — Nighthawk と名付けられた、新たなレッドチーム・ツールが、脅威アクターにより間もなく悪用される可能性があると、セキュリティ研究者たちが警告している。このツールは、2021年後半に MDSec 社により開発されている。そして、Cobalt Strike や Brute Ratel のように、合法的な使用を目的として商業的に配布される RAT (Remote Access Trojan) として機能する、高度な C2 フレームワークと表現するのが適切だろう。しかし、これまでの2つのツールと同様に、悪意の人々に直ちに利用される可能性があると、Proofpoint は最新レポートの中で警告している。


Proofpoint は、Cobalt Strike の悪用について、2019年〜2020年で 161% の増加を記録したと主張している。Sliver や Brute Ratel などのツールも、リリースから数カ月以内で悪意のキャンペーンに取り込まれているという。

Proofpoint は、「歴史的にみて、脅威アクターたちが武器化された正規ツールを取り込んできた背景には、アトリビューションの複雑化/エンドポイント検出回避/利便性・柔軟性・可用性などの理由がある。この数年においては、サイバー犯罪者から APT (Advanced Persistent Threat) にいたる脅威アクターたちが、その目的を達成するために、レッドチーム・ツールへの注目度を高めている」と述べている。

Proofpoint の分析により、この製品のコードに含まれる “opsec” 関数により、回避テクノロジーを設定するための広範なリストが存在することが判明している。その中には、エンドポイント検出の通知を防ぐ方法や、プロセス/メモリ/スキャンを回避する方法などが含まれている。

同社のレポートでは、「Nighthawk は、LdrRegisterDllNotification で登録されたコールバックを通じて、現在のプロセス・コンテキストが機能することで、新たにロードされた DLL 通知の受信を、エンドポイント検出製品が拒絶する技術を実装している。このテクニックは、clear-dll-notifications オプションで有効になる」と説明されている。

さらに Nighthawk は、”no-stub-rop” などを含む プロセス・メモリ・スキャンを、コンフィグレーションにより回避するための、いくつかのタイプの自己暗号化も備えている。そこでは、“return oriented programming” を用いて、暗号化ロジックを実装される。

Proofpoint は、「顧客に効果的な保護を提供するために、この新機能に注意する必要がある。研究者たちは、Nighthawk の悪用が野放しになっているは認識していないが、このツールが各種の意図や目的を持った脅威アクターにより、流用されることは無いと仮定するのは不正確であり危険である」とも述べている。

つい先日の 11月21日に「Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google」という記事をポストしたばかりですが、この Nighthawk が、脅威アクター側も、Cobalt Strike に替わるものとして、Sliver Tookit や Brute Ratel などに続く、新たな脅威にならないことを願うばかりです。

%d bloggers like this: