Turlaが使用するKazuarバックドアが、DLLサイドローディングとPowerShellベースのローダーを組み合わせた技術的に洗練された永続化・偵察ツールとして再び姿を現しました。
このサイドローディング手法は、新規実行ファイルに紐づくディスク上の痕跡を最小限に抑えると同時に、信頼済みのホストプロセスを悪用することで、単純な許可リストや検知ヒューリスティックを回避します。
攻撃の配信チェーンでは、多層に暗号化されたペイロードが頻繁に使用され、PowerShellローダーによって実行時にのみ復号される仕組みになっています。ローダー自体も難読化・暗号化されており、ハードコードされた鍵とIVを用いた3DES-CBCでラップされた多重base64などの例があります。ローダーは最終的なペイロードをディスクに書き込むのではなく、メモリ内パイプラインを介して実行します。
確認されているKazuarローダーの一例では、Start-Processを用いてLaunchGFExperience.exeのような正規のNVidiaヘルパーバイナリを起動し、そこから悪意のあるLaunchGFExperienceLOC.dllを読み込ませています。
このDLLはローダー兼ステージャーとして機能し、KERNEL役割を担う中核ペイロードを直接メモリにマッピングします。これによりディスク上に痕跡を残すことなく、一見無害なプロセスのコンテキスト下で実行を可能にしています。
その他の正規ホストバイナリ(例えばvncutil64.exe)も同様の手口で悪用され、追加のインプラントモジュールを格納する役割を担わされています。
運用面では、Turlaは長期にわたる諜報活動に用いる幅広いツールセットの一部として、KazuarとSTOCKSTAYを組み合わせて使用しています。
最近のKazuarキャンペーンの分析によると、攻撃者は正規の署名が付いた、あるいは一見無害に見える実行ファイルと、想定されるライブラリ名を模した悪意のあるDLLを同時に設置しています。ホストバイナリが起動すると、Windowsの DLL検索順序によってインプラントDLLが読み込まれてしまう仕組みです。
Picus Securityの研究者によると、ロシアのFSBと関連があるとされるTurlaは、2004年以降、政府機関や軍事組織を標的にサイバー諜報活動を展開してきました。
同グループは、C2通信の隠蔽やペイロードの展開拠点として、GitHub、Cloudflare Workers、サーバーレスプラットフォーム、ブラウザベースのホスティングサービスといった正規のクラウド・Webサービスを悪用するとともに、他の脅威アクターのインフラを乗っ取る手口を常習的に用いています。
Kazuarバックドア、DLLサイドローディングを使用
Kazuarの通信にはHTTPSおよびWebSocketが用いられており、後続のバージョンではインプラントに多段中継とEncrypted Drop-Boxが追加され、被害者と攻撃者側インフラとの結びつきをさらに切り離しています。
C2通信のやり取りは無害なWebトラフィックを装って偽装されることが多く、サードパーティサービスを通じて難読化することで、attribution(帰属特定)や摘発を困難にしています。
検知・対策の観点から見ると、DLLサイドローディングとPowerShellステージングの組み合わせは複数の検知指標と対策のポイントを生み出します。
プロセスの親子関係や、信頼済み実行ファイルの配下で発生する異常なDLLロードを監視することで、サイドローディングの試みを見つけ出せます。PowerShellのロギングとスクリプトブロックの記録に加え、一見正規に見えるバイナリを非標準のディレクトリから呼び出すStart-Process呼び出しを検知するテレメトリを組み合わせることで、異常なローダーの挙動をあぶり出すことも可能です。
ホスト名やマシン識別子が想定値と一致した場合にのみペイロードを復号する「環境ゲート型」の復号手法は、一般的なサンドボックスの有効性を大きく制限します。そのため防御側は、静的解析や隔離環境のサンドボックスのみに頼るのではなく、実運用中のエンドポイントにメモリ監視やAPI監視の仕組みを組み込む必要があります。
Turlaの手口はMITRE ATT&CKの各手法に明確に対応しています。実行段階ではT1574.001(DLLサイドローディング)、スクリプトによるローダー実行ではT1059.001(PowerShell)、C2通信ではT1102/T1071(Webサービスおよび Webプロトコル)、解析回避ではT1480(環境キーイング)です。
これまでの経緯もこの脅威の深刻さを裏付けています。少なくとも2004年から活動し、ロシアのFSBと関連づけられているTurla(別名Secret Blizzard、Snake、Uroburos)は、政府機関、軍、研究機関を標的とした長期的な諜報活動を専門としています。
STOCKSTAYとKazuarはTurlaの中核をなす独自ツールセットであり、同グループには通信やペイロードを隠蔽するためにインフラを乗っ取ったり、信頼されたプラットフォームを悪用したりしてきた実績があります。
防御側は、Turlaのような挙動に対して自社の対策を検証しておく必要があります。例えばPicus Platformは、DLLサイドローディング、PowerShellローダー、多段C2中継といったTurlaの手法をあらかじめシミュレートできる機能を提供しており、セキュリティチームはエンドポイント保護、スクリプトブロックのロギング、EDRの検知、ネットワークベースのフィルタリングを検証できます。
こうした攻撃フローを制御された環境でシミュレートすることは、テレメトリの抜け漏れを洗い出し、メモリ内マッピングや不審なDLLロード、そしてTurlaが好んで用いる複雑な多段階の攻撃チェーンを検知できるよう検知ロジックを調整するのに役立ちます。
翻訳元: https://gbhackers.com/kazuar-backdoor-uses-dll-side-loading/