Havoc という OSS C2 フレームワーク:Microsoft Defender をバイパスする能力とは?

Hackers start using Havoc post-exploitation framework in attacks

2023/02/15 BleepingComputer — Cobalt Strike や Brute Ratel などの有料オプションに代わるものとして、Havoc という新しいオープンソースの Command and Control (C2) フレームワークへと脅威アクターが乗り換えていることを、セキュリティ研究者たちは確認している。クロス・プラットフォームに対応する Havoc は、スリープの難読化/リターン・アドレス・スタックのスプーフィング/間接的なシステムコールを用いて、最新の Windows 11 と Microsoft Defender をバイパスしていく。


他のエクスプロイト・キットと同様に、Havoc に含まれる各種モジュールには、
コマンド実行/プロセス管理/ペイロード・ダウンロード/Windows トークン操作/シェルコード実行などがあり、攻撃対象であるデバイス上でペンテスター (ハッカー) は、さまざまなタスクを実行できる。これらは、すべて Web ベース管理コンソールで実行され、侵入したデバイス/イベント/タスクからの出力を、攻撃者たちは確認できる。

Havoc user interface
Havoc user interface (C5pider)
Havoc の攻撃への悪用

2023年1月には、ある未知の脅威グループが、非公開の政府組織を標的とした攻撃キャンペーンの一環として、このポストエクス・プロイトキットを展開した。

このキットを発見した Zscaler ThreatLabz チームの観察によると、感染させたシステムにドロップされたシェルコード・ローダーは、ETW (Event Tracing for Windows) を無効化し、最終的な Havoc Demon ペイロードは DOS/NT ヘッダーを伴わずにロードされ、いずれも検出を回避していった。

また、2月の初めに ReversingLabs の調査チームが発表したレポートには、このフレームワークは、正規モジュールを装う悪意の npm タイポスクワッティング・パッケージ (Aabquerys) を介して展開されたと記されている。

ReversingLabs の Threat Researcher である Lucija Valentić は、「Demon.bin は典型的な RAT (remote access trojan) 機能を持つ悪意のエージェントであり、Havoc というオープンソースのポスト・エクスプロイト Command and Control (C2) フレームワークを用いて生成されている。そこでサポートされるのは、Windows PE 実行ファイル/PE DLL/シェルコードなどの、複数の形式による悪意のエージェントの構築である」と述べている。

Havoc command list
Havoc command list (Zscaler)
多くの Cobalt Strike の代替品が野放し状態

Cobalt Strike は、侵入した被害者のネットワーク上に Beacon をドロップし、その後に追加のペイロードを配信するために、さまざまな脅威アクターたち好むツールとなっている、しかし、防御側による検知/阻止の能力が向上したことで、最近では代替手段を探し始める者もいるようだ。

以前に BleepingComputer が報告したように、アンチウイルスや Endpoint Detection and Response (EDR) を回避するための選択肢として、Brute Ratel と Sliver がある。 この2つの C2 フレームワークに関しては、金銭的な動機を持つサイバー犯罪集団から、国家に支援されたハッカー集団にいたるまでの、さまざまな脅威集団により、すでに実戦テストが行われている。

Brute Ratel は、Mandiant と CrowdStrike の元レッドチーマー Chetan Nayak が開発したポスト・エクスプロイト・ツールキットであり、ロシアに支援されるハッキング・グループ APT29 (別名CozyBear) の関与が疑われる攻撃で使用されている。それと同時に、一部の Brute Ratel ライセンスに関しても、元 Conti ランサムウェア・ギャングのメンバーが入手している可能性が高い。

2022年8月に Microsoft は、サイバー・セキュリティ企業 BishopFox の研究者が開発した Goベース Sliver C2 フレームワークを、APT29/FIN12/Bumblebee/Coldtrain などの複数の脅威アクターたちが、Cobalt Strike に代わるものとして攻撃に使用していることを指摘している。

レッドチーマー用の Command and Control (C2) フレームワークが、驚異アクターに悪用されるというパターンは、文中にもあるように、Cobalt Strike/Brute Ratel/Sliver などの事例がありました。そして、この Havoc が、その仲間に加わったことで、サイバー攻撃も、さらに多様化してくることが予測されます。よろしければ、以下の記事および、Cobalt Strike で検索を、ご利用ください。

2023/02/06:Sliver による Windows BYOVD 攻撃
2023/01/23:Sliver は機能満載の C2 フレームワーク
2022/10/17:Qakbot から Brute Ratel C4 へのキルチェーン
2022/09/28:Brute Ratel のクラック版に蔓延の兆し

%d bloggers like this: