SharkLoaderは、StrikeSharkという名称で追跡されている侵入クラスタが使用するマルウェアで、Cobalt Strike Beaconを完全にメモリ上で展開し、国際的に広範囲な感染を引き起こしています。
この攻撃キャンペーンは、インターネットに公開されたインフラへの日和見的な脆弱性悪用と、信頼できるインストーラーに偽装したカスタムドロッパーを組み合わせて初期アクセスを確立します。その後、フォレンジック上の痕跡を最小限に抑えるため、多層的なメモリ内実行技術と「Perfect DLL Hijacking」に依存します。
初期アクセスの手口は幅広く、それほど高度ではありません。攻撃者はMicrosoft Exchange、SharePoint、Openfire、GeoServer、Fortinet、Cisco IOS XE、Apache Shiro、F5 BIG-IP、Hikvision、Zimbraなど、インターネットに公開されたサービスに存在する既知の脆弱性を数多く悪用したほか、Cisco AnyConnectやGoogle Updateなど正規ソフトウェアを装ったカスタムドロッパーを利用していました。
足場を確保すると、SharkLoaderは信頼されたWindowsバイナリを悪用してDLLサイドローディングを実行します。多くの場合、SystemSettings.exeのような署名済み実行ファイルを利用して、悪意のあるSystemSettings.dllを読み込ませます。
ローダー自体は多段階かつ暗号化されており、各ステージは復号後メモリ上で実行され、認識可能なペイロードとしてディスクに触れることはありません。最終的にはCobalt Strike BeaconがメモリにリフレクティブロードされCobalt Strike Beaconが実行されます。
この横展開時の偽装により、シグネチャベースの検知を回避しながら、正規のWindowsコンポーネントのセキュリティコンテキスト下で実行が行われます。
技術的詳細を最初に公表したKasperskyは、StrikeSharkが独自のゼロデイではなく、公開されている概念実証(PoC)エクスプロイトを利用しているとの見方を中程度の確信度で示しています。これにより、アジア、欧州、中東、ラテンアメリカ全域の脆弱なシステムを迅速に侵害することが可能になっています。
いくつかの高度な回避技術がSharkLoaderの特徴となっています。研究者らは「Perfect DLL Hijacking」技術の実装を確認しました。これはローダー内部の構造を操作し、DLL初期化時にWindowsローダーロックをトリガーすることなく悪意のあるスレッドを生成する手法で、ローダー関連の典型的な痕跡を回避するのに役立ちます。
SharkLoaderマルウェアはDLLハイジャッキングを使用
これに加えて、SharkLoaderは独自の暗号化、リフレクティブローディング、実行時にsyscallをリダイレクト・呼び出しするAPIフッキング、Event Tracing for Windows(ETW)への干渉、PPIDスプーフィング、そしてプロセスのスリープ中に埋め込まれたBeacon周辺で動的にメモリ保護属性を調整する手法を用いています。
これらの挙動が組み合わさることで、メモリスキャナーや振る舞い検知エンジンによる可視性が低下します。
永続化の仕組みは展開先によって異なり、5分間隔で実行されるスケジュールタスク、レジストリのRunキー、手動で作成されたSYSTEM権限のスケジュールジョブなどが確認されています。
調査者が観測した侵害後の活動は、通常、偵察、Active Directoryの列挙、認証情報の窃取、LSASSダンプ、NTDS抽出を経て、Cobalt Strike beaconの展開とオープンソースツールの両方を用いた本格的な侵害後の活動および横展開へとつながっていました。
確認された被害者には、政府関連機関、外交機関、ソフトウェア開発企業などが含まれており、諜報活動を目的とした関心が示唆されます。ただし研究者らは、データ流出の証拠は限定的であり、標的化の意図についての確信度は低いままだと注意を促しています。
また、このキャンペーンで既知の脆弱性が広範に悪用されている点は、狭く絞り込まれた標的型キャンペーンというよりも、概して日和見的な戦略であることを示しています。
インテリジェンスの観点から見ると、StrikeSharkは容易に入手可能な攻撃的ツールを土台としつつ、エンドポイントおよびフォレンジックによる対策を打破するよう設計されたステルス性の高いカスタムローダーによって強化された、成熟した侵害後の手口を示しています。
確認されたツールの一部は中国語圏の開発者に由来するものですが、アナリストは強固な帰属判断を裏付けるだけの明確なコードの再利用やインフラの重複を発見できませんでした。攻撃者が中国語話者である可能性があるとの評価は、確信度が低いものです。
防御担当者は、インターネットに公開されたシステムの迅速なパッチ適用を優先し、異常なDLLサイドローディング(特にSystemSettings.exeのパターン)を注意深く監視するとともに、メモリ内でのリフレクティブロードの兆候を監視し、APIフッキングやETWへの干渉を検知するよう調整されたメモリスキャンおよび振る舞いテレメトリを活用すべきです。
翻訳元: https://gbhackers.com/sharkloader-malware-uses-dll-hijacking/