脅威アクター、エンドポイント防御を無効化した後にステガノグラフィWebシェルとMimikatzを使用

最近のインシデント対応調査により、脅威アクターがステガノグラフィWebシェルと広範な防御回避技術を用いてWebサーバーを侵害する、巧妙な攻撃チェーンが明らかになりました。

攻撃者はサーバーの復旧が不完全な状態を繰り返し悪用して足場を強化し、オペレーティングシステムを機能不全に陥らせており、この事案は包括的な修復対応の重要性を改めて浮き彫りにしています。

脅威アクターは6月上旬に最初のアクセスを標的環境内で獲得しており、既知のAdobe ColdFusionの脆弱性を悪用した可能性が高いとみられています。

証拠は、深刻なリモートコード実行の脆弱性(CVE-2023-26360)、不適切なアクセス制御の不具合(CVE-2023-29298)、そしてデシリアライゼーションの欠陥(CVE-2023-29300)の悪用を示唆しています。

初期侵害に続いて、攻撃者はUA4fp7R.aspxという名称のステガノグラフィWebシェルを展開しました。彼らはこの悪意あるペイロードを、サーバーの公開ディレクトリに保存された画像ファイル内に巧妙に隠していました。

セキュリティチームは、通常は正規のWebリクエストを処理するIISワーカープロセスが、予期せずオペレーティングシステムの列挙コマンドを起動したことをきっかけに、この侵入を最初に検知しました。

調査員が隠されたWebシェルを分析した結果、これが16進数エンコードされた文字列を用いて通信していたことが判明しました。

このペイロードはコマンドを受信すると、デコードされた文字列「ONEPIECE」を返し、実行を確認する「x_best_911」を返して動作状態を確認していました。

セキュリティ担当者は迅速にこのWebシェルを削除し、修復手順を提供しましたが、被害組織は脆弱性を完全にパッチ適用する前に、サーバーを早々にインターネットへ再接続してしまいました。

この見落としにより、攻撃者は数日後に再び戻ってくることが可能になりました。その後の侵入では、脅威アクターはファイルのメタデータを改ざんするためにMACタイムストンピングを用いました。

フォレンジックのタイムラインを意図的に破壊することで、彼らは新しいWebシェルがいつシステムにアップロードされたかを巧みに隠蔽することに成功しました。

Huntressによると、攻撃者はProgramDataディレクトリに投下したバッチスクリプトを用いて、大規模な防御機能妨害キャンペーンを開始したとのことです。

彼らはIISのログ記録を無効化し、Microsoft Defenderのリアルタイム保護、スクリプトスキャン、サンプル送信機能を無効化するために複数のPowerShellコマンドを実行することで、セキュリティ監視を組織的に無力化しました。

脅威アクターはさらに、Sysmon、Filebeat、Sentinel、Cortexといった著名なセキュリティツールのサービスを積極的に終了・削除することで、エンドポイントの可視性を無効化しました。

また彼らはImage File Execution Options(IFEO)を悪用し、ログ記録ツールをデバッガー配下で強制的に起動させることで、プロセスを実質的にフリーズさせ、それ以降の記録活動を阻止しました。

基本的な検知ルールを回避するため、彼らは標準のnet.exeの代わりに代替のnet1.exeコマンドを使用し、さまざまな欧州言語環境にわたってローカル管理者グループを列挙していました。

注記: IPアドレスおよびドメインは、誤って解決やハイパーリンク化されるのを防ぐため、意図的に無害化されています(例:[.])。再度有効な形式に戻す場合は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/stealth-webshell-mimikatz-attack/

ソース: cyberpress.org