「OP-512」として追跡されている中国系脅威クラスターが、目的特化型のウェブシェルフレームワークを展開し、インターネット インフォメーション サービス(IIS)サーバーへの侵害を行っていることが確認されました。
ReliaQuestが特定したこのスパイ活動は、サポート終了済みの.NET Framework 4.0を稼働させているWindows Server 2016環境を標的としていました。
テレメトリデータによると、脅威アクターは主要な侵入活動の75日前にすでにアクセスを確立しており、永続的かつ長期的なネットワークアクセスを重視する国家支援型の戦略が浮かび上がっています。
再侵入後、OP-512は二重のコマンドチャネルを迅速に構築し、3つのウェブシェルを展開するとともに、ディスクへの書き込みによる検知を避けるため、権限昇格ユーティリティを直接メモリ上にロードしました。このフレームワークは、「撃ちっぱなし」型インプラントとして機能するカスタム .aspx ファイルマネージャーに大きく依存しています。
このシェルはアクセスされると自動的に「コールホーム」動作を行い、自身のURLを16進数分割のDNSクエリにエンコードして送信します。DNSリクエストが失敗した場合は、Meterpreterインフラに関連するHTTPビーコンにフォールバックする仕組みになっています。
コマンドの実行は2つの .ashx 暗号化ハンドラーによって管理されています。ReliaQuestによると、これらのハンドラーは共通のビルダーから生成されており、変数名をランダム化してジャンクコードを埋め込むことで、機能的に同一のファイルであっても異なるハッシュ値が生成されるようになっています。
コマンドの処理には、Base64デコード、RC4復号、RSA署名検証、最終実行という厳密な4段階のパイプラインを経る必要があります。各ハンドラーには固有のRSA公開鍵が埋め込まれているため、一方の鍵が漏洩しても、分析者や他の攻撃者がもう一方のハンドラーにアクセスすることはできません。
ステルス性を維持するため、3つのシェルはいずれも高度なタイムストンピングを利用しています。周囲のファイルをスキャンして最終更新タイムスタンプの中央値を算出し、自身のメタデータをその日時に改ざんすることで、周囲のファイルに紛れ込みます。
さらに、侵入時にエンドポイント保護機能が悪意のある w3wp.exe プロセスを終了させた際には、IIS標準の自動再起動機能がメモリ上のツールを即座に再ロードしたため、通常のプロセス強制終了による防御策は効果を発揮しませんでした。
OP-512は、過去1年間にIISサーバーを標的にしたことが確認された4番目の中国系クラスターであり、DragonRank、CL-STA-0048、GhostRedirectorに続く存在となっています。
DMZ上に配置されたIISサーバーは、ネットワーク境界に位置することや、コアインフラと比較して監視が手薄になりやすいことから、依然として格好の標的となっています。
OP-512とCL-STA-0048はいずれも秘密通信に16進エンコードのサブドメインクエリという希少な手法を用いていますが、その目的は異なります。CL-STA-0048がデータ窃取にこの手法を使用するのに対し、OP-512は展開場所の報告に限定して利用しています。
また、今回のインシデントで回収されたBase64エンコードされた whoami コマンドは、既知のFlax Typhoon侵害事例のものと完全に一致していました。
しかし、ReliaQuestは、OP-512がRSAとRC4を組み合わせた認証への独自の投資によって区別される独立したクラスターであると、中〜高程度の信頼度で評価しています。
侵害の痕跡(IOC)
| アーティファクト | 詳細 |
|---|---|
ashx.lhlsjcb[.]com |
主要インシデントの約75日前、同一ホスト上での初期活動時に観測されたDNS C2ドメイン。後の侵入で使用されたドメイン(hcgos[.]com)とは異なることから、訪問間でインフラのローテーションが行われていたことが示唆されます。 |
hcgos[.]com |
自己報告型通知チャネルが使用するDNS C2ドメイン。ログではサブドメインパターン a.<hex>.c.hcgos[.]com を確認してください。 |
43.160.202[.]246:8053 |
非標準ポートで動作するMeterpreter C2サーバー。 |
140.206.161[.]227:443 |
侵害されたホストからの外向き接続。 |
124.156.129[.]151 |
ウェブシェル操作の送信元IP。python-requests/2.33.0のUser-Agent、.aspxファイルを含むアップロードパスへのPOSTリクエスト、ウェブシェル展開期間と一致するタイミングの組み合わせにより、高い信頼度の指標となっています。なお、User-Agent単独では信頼性の高い指標とはなりません。 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。リファングはMISP、VirusTotal、SIEMなどの制御された脅威インテリジェンスプラットフォーム上でのみ行ってください。
緩和策
- 長い16進数分割サブドメインを含む、
w3wp.exeからの外向きDNS通信を監視する。 - IISワーカープロセス内でのリフレクティブな.NETアセンブリロードをアラートとして設定する(Potato Suiteなどのメモリ専用権限昇格ツールの使用を示す)。
- 承認された展開ウィンドウ外でのASP.NETテンポラリコンパイルディレクトリ内における新規DLL生成を追跡する。
.ashxエンドポイントから発生する暗号化または非標準のHTTPレスポンスにフラグを立てる。- サポート終了済みの.NETバージョンからの移行を優先して進め、アップロードディレクトリの
.aspx/.ashxハンドラーマッピングを無効化する。
翻訳元: https://gbhackers.com/china-linked-espionage-aspx-ashx-shells/
