攻撃者は正規のリモートアクセスツールや軽量なスクリプトを悪用し、AsyncRATを完全にメモリ上で配信することで、ファイルベースの検知を回避しています。
セキュリティ研究者は、オープンソースのリモートアクセス型トロイの木馬「AsyncRAT」が、複数段階のメモリ内ローダーを通じて配信されていることを発見しました。攻撃者はファイルレス技術へと移行しています。
LevelBlue Labsの調査によると、攻撃者は侵害されたScreenConnectクライアントを通じて初期アクセスを獲得し、PowerShellスクリプトを実行して2段階のペイロードを取得しました。
「この手法はファイルレスマルウェアの典型例です。実行ファイルはディスクに書き込まれず、すべての悪意ある処理がメモリ上で実行されます」と、LevelBlueのネットワークセキュリティエンジニアであるSean Shirley氏はブログ投稿で説明しています。「このアプローチはメモリ上で動作することで従来のディスクベースの検知を回避し、脅威の検出、分析、根絶をより困難にします。」
分析の結果、信頼された管理ツール、小型のブートストラップスクリプト、.NETローダーを利用したミニマルなファイルレス攻撃であり、シグネチャベースの検知を回避しつつ、完全なリモート制御機能を提供することが明らかになりました。
ファイルレスステージングに悪用される正規ツール
LevelBlueのタイムラインによると、初期侵害はリレー/C2エンドポイントとして使用されたConnectWise ScreenConnectの導入に関連しています。
「脅威アクターは、relay.shipperzone[.]onlineという、ScreenConnectの不正導入に関連する既知の悪意あるドメインを通じてインタラクティブセッションを開始しました」とShirley氏は指摘しています。「このセッションから、WScriptを使ってVBScript(Update.vbs)が実行され、2つの外部ペイロードを取得するPowerShellコマンドが発動しました。」
重いバイナリをドロップするのではなく、オペレーターは小さく一見無害なコード(PowerShellコマンド用のVBScript)を使い、2段階の.NETペイロードをメモリ上に取得・組み立てました。第1段階のアセンブリは難読化/ローダーとして機能し、ダウンロードした内容をバイト配列に変換し、リフレクションを使って第2段階アセンブリのMain()を直接呼び出します。
これによりファイルシステムはクリーンなままとなり、ウイルス対策スキャナーは誤ったシグナルを探すことになります。
回避と永続化機能を備えたRAT
AsyncRATがロードされると、攻撃者はWindowsの防御機能を妨害するための措置を講じました。レポートでは、アンチマルウェアスキャンインターフェース(AMSI)の無効化や、Windowsのイベントトラッキング(ETW)の改ざんといった、実行時検知に不可欠な機能を無効化する手法が指摘されています。永続化を維持するため、攻撃者は「Skype Update」と偽装したスケジュールタスクを作成し、再起動後もRATが再起動するようにしました。
LevelBlueの分析では、AsyncRATの暗号化された設定ファイル(AES-256で保護)も発見されました。そこにはDuckDNSベースのC2サーバーへの接続指示が含まれていました。C2通信はTCP上でカスタムパケットフォーマットを使用しており、これは柔軟性や回避性を高めるためによく使われる手法です。
AsyncRATは、キーストロークの記録、ブラウザ認証情報の窃取、クリップボード監視、システム監視など、強力な機能を攻撃者に提供します。LevelBlueは、防御側がスキャナーに追加できるIoC(侵害の痕跡)のリストも公開しました。その他の一般的なベストプラクティスとしては、悪意あるドメインのブロック、PowerShellのワンライナーやメモリ内.NETリフレクティブロードの検出、AMSI/ETWの改ざん監視、不審なスケジュールタスクの作成監視などが挙げられます。
脅威アクターは、静かに実行でき確実な成果が得られることから、ファイルレス侵害にますます傾倒しています。今年初めにも、攻撃者が同様の手法を用い、悪意あるVBScriptをフィッシングで配布し、最終的に人気のRemcos RATを被害者のマシン上でメモリ内に配信していたことが発覚しています。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。