脅威アクター、Mimikatz実行前にステガノグラフィックWebシェルと防御機能無効化を駆使

脅威アクターは、最新のセキュリティソリューションを回避するために、隠密性の高い初期侵入手法と攻撃的な防御機能無効化を組み合わせる傾向を強めています。

6月7日に始まったある事案では、攻撃者はAdobe ColdFusionの脆弱性を悪用したとみられる手口でステガノグラフィックWebシェルを展開しました。

最終的に認証情報窃取のためMimikatzを展開する前に、攻撃者はセキュリティチームの監視を無力化し、被害組織のホストOSを機能停止に追い込むため、多数の回避コマンドを実行していました。

初期侵入は、未パッチのAdobe ColdFusionの脆弱性に起因した可能性が高いとみられます。

サーバーの過去ログには、CVE-2023-26360(深刻なリモートコード実行の脆弱性)、CVE-2023-29298(アクセス制御バイパス)、CVE-2023-29300(デシリアライゼーションの脆弱性)といった既知の脆弱性に関連するエンドポイントを狙った悪用の試みが記録されていました。

この悪意ある画像ファイルには、ファイル末尾に人間が読み取れる形のJavaScriptが隠されていました。また、動作確認にはhex(16進数)エンコードされた文字列が利用されていました。

デコードすると、ある文字列は「ONEPIECE」となり、これはWebシェルがコマンドを受信したことを攻撃者に伝えるために送り返す合図でした。もう一つのデコード済み文字列「x_best_911」は、コマンドが正常に実行されたことを示すものでした。

防御側は当初、whoamiのような基本的な列挙コマンドがIISワーカープロセス(w3wp.exe)から不審に実行されているのを検知し、この侵入に気付きました。

正規のWebアプリケーションがOSの偵察コマンドを実行することはまずないため、これはWebシェルの明白な兆候といえます。

セキュリティチームは速やかに悪意あるファイルを削除対象として特定しましたが、被害組織は環境を完全に保護しないまま、サーバーを時期尚早に復旧させてしまいました。

この重大な判断ミスにより、脅威アクターは数日後、はるかに破壊的なペイロードを持って再侵入することを許してしまいました。

再侵入した攻撃者は、まず痕跡の隠蔽に集中しました。最初に行ったのは、新たにアップロードしたWebシェルのMAC(更新日時・アクセス日時・作成日時)メタデータに対するタイムストンピング(改ざん)でした。

これらのファイルのタイムスタンプを偽装することで、悪意あるファイルを環境に溶け込ませるとともに、フォレンジック調査担当者が頼りにするタイムラインを意図的に破壊できます。

続いて脅威アクターは、サーバーの防御機能を体系的に解体するための包括的なバッチスクリプト(i.bat)を展開しました。このスクリプトはまず、今後のWebシェルアップロードを隠蔽するためIISのHTTPログ記録を無効化するところから始まりました。

その後、複数のPowerShellコマンドを起動し、リアルタイム監視、動作監視、スクリプトスキャン、サンプル送信をすべて無効化することで、Microsoft Defenderを完全に無力化しました。

Huntressによると、攻撃者はサードパーティ製のログ記録ツールやセキュリティツールも積極的に標的にしていました。Sysmon、Elastic Filebeat、その他のエンドポイントエージェントのサービスを停止させ、削除しています。

さらに、Image File Execution Options(IFEO)を悪用し、重要なログ記録ユーティリティをデバッガー配下で強制的に起動させました。この手口により、ログ記録プロセスは実質的にフリーズし、無力化されました。

注記: 誤った名前解決やハイパーリンク化を防ぐため、IPアドレスおよびドメインは意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/steganographic-webshell-mimikatz-execution/

ソース: cyberpress.org