SystemBC(Coroxyとも呼ばれる)は、汎用性と持続性を兼ね備えたWindowsマルウェアファミリーです。攻撃者は感染ホストをSOCKS5プロキシゲートウェイに転用し、後続の攻撃オペレーションに向けてリモートアクセスを維持する目的で、このマルウェアを常用しています。
SystemBCは2018年〜2019年頃にエクスプロイトキットのペイロードとして初めて観測されました。その後、複数の犯罪グループが利用するコモディティツールとして広く流通するようになり、Buer、QBot、Emotetといったローダーと組み合わせて使われるケースも多く確認されています。
軽量なフットプリント、モジュール型の設計、そしてプロキシとリモートアクセス型トロイの木馬(RAT)を兼ねる二重の役割が、このマルウェアをランサムウェアのサプライチェーンにとって魅力的な構成要素にしています。Ryuk、Conti、Egregor、BlackBasta、Play、Rhysidaといったグループとの関連も確認されています。
SystemBCの攻撃ライフサイクルは概ね一定のパターンをたどります。まず初期アクセス後にセカンダリペイロードとして配信され、%ProgramData%以下にランダムな名前のファイルとして自身をコピーします。その後、レジストリのRunキーとスケジュールタスクによって永続化を確立します。
亜種によっては、セカンダリのSystemBCバイナリをインメモリで展開するドロッパーを使用し、別プロセスにインジェクションするか、ディスク上から直接実行する手法をとるものもあります。
また、このマルウェアはセキュリティソフトの存在を確認する機能も持っており、たとえばEmsisoft の a2guard.exe が検出された場合はインストールをスキップします。シンプルながら効果的なアンチ検出ロジックにより、感染の継続性を高めています。
SystemBCの最大の特徴が、SOCKS5プロキシ機能です。起動後は当初プレーンなSOCKS5でトンネルを開設しますが、新しいビルドではTor経由へと移行しつつあり、他のマルウェアのC2通信やデータ窃取トラフィックを被害者ホスト経由でルーティングできます。
クライアントは攻撃者向けにコントロールパネルを提供しており、ジオ情報付きのアクティブなSOCKSセッション一覧の確認、自動更新、組み込み認証に対応しています。アンダーグラウンドの広告によれば、数万件の同時接続を処理できるとされています。
SystemBCマルウェアによる攻撃手口
このプロキシ機能により、攻撃者は自身の発信元を隠蔽し、悪意のあるトラフィックを通常の企業内通信に紛れ込ませることができます。その結果、ネットワーク境界での検出やインシデント対応が格段に難しくなります。
PicusがGBhackersと共有したレポートによると、SystemBCは柔軟なC2フレームワークとリモート実行機能も実装しています。初期バージョンでは暗号化されたビーコンを使用しており、100バイトの初期パケット(前半は平文のRC4キー、後半はRC4で暗号化されたホスト/ユーザーフィールド)を送信し、プロキシ作成やSOCKS5データのストリーミングなどの命令を受け取ります。
SOCKS5ビルドでは、C2サーバー、DNSサーバー、ポートといった重要な文字列がメモリ上の40バイトXORキーで暗号化された状態で保持されています。
ペイロードの実行形式はEXE、DLL、シェルコード、VBS、BAT、CMD、PowerShellと多岐にわたり、多くのペイロードをインメモリで直接実行してディスクへの書き込みを回避する機能も備えています。
新しいビルドでは、mini-torライブラリに類似したクライアントとWindows CNG/BCrypt APIを使用してC2トラフィックの多くをTor経由へ移行しており、接続確立のためにディレクトリオーソリティのIPアドレスをバイナリ内に埋め込んでいます。
脅威アクターの視点から見ると、SystemBCはあくまで最終目的ではなく、攻撃力を倍増させるための手段です。アクセス・アズ・ア・サービスのチェーン全体にわたるステルスな横展開とツールの再利用を可能にし、探索活動、データ窃取、そしてランサムウェア攻撃のペイロードを手放しで配布する基盤として機能します。
インシデント対応者は、SystemBCの検出を単体の問題としてではなく、より広範な侵害の兆候として捉え、関連するローダー、認証情報窃取、横展開の活動を積極的に調査すべきです。
防御策としては、エンドポイントからの異常なアウトバウンドSOCKSおよびTor接続の監視、ランダムなProgramDataパスや隠蔽されたPowerShellコマンドを参照するスケジュールタスクやRunキーの追加に対するアラート設定、そしてインメモリ実行手法をブロックするエンドポイント制御の導入が推奨されます。
また、ネットワークセグメンテーションと不正なプロキシトンネルを防ぐエグレスフィルタリングを組み合わせることで、被害範囲の拡大を抑制できます。
自社の防御コントロールを検証したいセキュリティチームには、Picusプラットフォームが提供するSystemBCのシミュレーションモジュールが役立ちます。このモジュールはネットワークおよび永続化の動作をエミュレートします。
Picusの脅威ライブラリには、ネットワーク・メールベクター、RATダウンロードモジュールなど複数のSystemBCシナリオが収録されており、検出・対応ワークフローのテストに活用できます。また、これらのシミュレーションを評価できる14日間の無料トライアルも提供されています。
翻訳元: https://gbhackers.com/systembc-malware-attacks/