Hackers Use Rare Stealth Techniques to Down Asian Military, Gov’t Orgs
2024/08/27 DarkReading — 東南アジアで進行中の攻撃では、政府の高官組織を感染させるために、ほとんど知られていない2つのステルス技術が使用されている。1つ目の “GrimResource” は、Microsoft Management Console (MMC) で攻撃者が任意のコードを実行できるようにするという、新しいテクニックである。2つ目の “AppDomainManager Injection” は、悪意の DLL を使用するものだが、従来のサイドローディングよりも簡単な方法となる。この手法は7年前から存在しており、イランや中国の脅威アクターや、オープン ソース・コミュニティにおける侵入テスト担当者などに使用されている。ただし、悪意を持った攻撃で実際に見られることは稀であるという。
最新のブログ記事で NTT の研究者たちは、「7月以降において、中国の APT41 に似た攻撃者が、これらの手法を組み合わせて使用し、台湾の政府機関/フィリピン軍/ベトナムのエネルギー組織などの IT システムに、Cobalt Strike をドロップしている」と述べている。
GrimResource の仕組み
このキャンペーンにおける攻撃は、フィッシング・メールや悪意のある Web サイトなどに仕込まれた ZIP ファイルから始まる。
それらの ZIP には、Windows 証明書または PDF アイコンを含むファイルが取り込まれている。実際に、それらは Management Saved Console (MSC) ファイルであり、MMC 内のコンフィグと設定の保存のために使用されるファイルである。
最近の傾向だが、MSC の人気が脅威アクターたちの間で高まっている。Elastic の Head of Threat and Security Intelligence である Jake King の説明によると、メールからペイロードを実行するために使用できる、いくつかの既定のコントロールに対して、Microsoft が変更を施したころから、この傾向が始まっているという。彼は、「MSI/ISO/LNK ファイルを悪用する、きわめて簡単に利用できるエクスプロイトが見られるようになってきた。その一方で、より高度なグループも、イニシャル・べクターとして MSC を利用し始めた」と述べている。
さらに Jake King は、「それは、きわめて有能かつ興味深いファイル形式であり、その他の悪用されやすいファイル形式と比べて注目度が低かった。MMC には、ある程度までは利用できる、いくつかの永続化メカニズムがあり、また、古い脆弱性もある」と指摘する。
7月に Elastic が発見した GrimResource は、このような脆弱性を悪用する手法の1つである。具体的に言うと、Windows の Authentication Protocol Domain Support (APDS) ライブラリに存在する、6年前のクロス・サイト・スクリプティング (XSS) の脆弱性悪用して、MMC 内で任意のコードを実行できるようにするものだ。
発見されたキャンペーンでは、GrimResource を利用する攻撃者は、感染プロセスのステップを1つ省略している。つまり、被害者が MSC ファイル内の悪意のあるリンクをクリックするのではなく、MSC ファイルを開くだけで、埋め込まれた Javascript が起動する仕組みになっている。
続いて、悪意の Javascript が、署名済みの正規の Microsoft 実行ファイル “dfsvc.exe” をダウンロード/実行し、その名前を “oncesvc.exe” に変更する。しかし、そのファイルが全くの本物であるなら、マルウェアのダウンロードに対して、どのように機能するのだろうか?
AppDomainManager インジェクションの有効化
Microsoft の .NET フレームワークで構築される全てのアプリケーションは、”AppDomainManager” クラスにより作成/管理される、1つまたは複数のアプリケーション ドメインを実行する。AppDomainManager インジェクションでは、攻撃者は悪意のあるコードを含む AppDomainManager クラスを作成し、ターゲット・アプリケーションを騙すことで、正規のアプリケーションではなく、悪意のアプリケーションをロードさせる。この手口は、3つの環境変数 (APPDOMAIN_MANAGER_ASM/APPDOMAIN_MANAGER_TYPE/COMPLUS_VERSION) をコンフィグすることで達成できる。また、このキャンペーンの場合のように、悪意の AppDomainManager を実行するように。アプリケーションに指示するカスタム・コンフィグ・ファイルをアップロードでも達成できる。
Rapid7 の Lead Security Consultant for Penetration Testing である Nicholas Spagnola は、「実際のところ、Windows オペレーティング・システムの一部である、Common Language Runtime (CLR) に対して、.NET プロセスを実行するたびに、悪意の DLL を取り込むように指示していることになる。この CLR は、Windows オペレーティング・システムの一部であり、.NET アプリケーションにおけるロードと処理の方法を、オペレーティング・システムに指示するという役割を持つ。そたがって、ほぼ全ての .NET アプリケーションを、環境依存のバイナリ (lolbin) に効果的に変換できる」と説明している。
NTT の研究者たちは、「現時点における DLL サイドローディングは、マルウェアを実行するための最も一般的な方法である。しかし、AppDomainManager インジェクションは、DLL サイドローディングと比べて遥かに簡単であり、将来的に悪用が増える可能性がある」と懸念している。
このような悪意のインジェクションを見つけることは、きわめて難しい作業となる。したがって Jake King が推奨するのは、このような攻撃が開始される前にブロックするという、防御アプローチの実践である。
彼は、「ここで注目している最大のことは、ペイロードの実行を最初から阻止できるようにすることだ。たとえば、この最新のキャンペーンの戦術は、ZIP ファイルを持ち込むスピア・フィッシング攻撃にある。MMC レベルで導入できる、基本的な制御が存在するが、現実の “予防” は帰着する場所は、電子メールの衛生に関する優れた実践となる」と締め括っている。
面白そうな記事だと思い、ニュース・ソースを参照したら、NTT の日本語記事に到達しました。DarkReading が参照していると思うと、なんとなく嬉しくなります。Management Saved Console (MSC) ファイルを悪用するテクニックと、DLL サイドローディングの新たな手法が紹介されています。よろしければ、DLL Sideloading で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.