TokyoBlackHatNews

zerolabs.rubrik.com 5分で読了

回避を超えて:LLMを活用したRubrik Zero Labsの高度マルウェア解析システムが3つの新たな脅威を暴露

Chameleon C2

ハッシュ: 1be5278db096e47426a1efa3283eee25176b8b7ace9133a59dd11a8908326d78, 72e944751fd4c1cd71dfe48a5b6cc3c76a67832381ac59e6be0932c4bc8ac933, c309e08259e0499af154273f71003ea31b048ceaa19e0351db62065ae77279c2

VirusTotalの検出数: 26(執筆時点)

初回確認: 2025-12-08

抽出コードの解析(RZL高度解析システム)

概要

新規のWSLベースのコマンド&コントロール(C2)エージェントを展開する、高度なExcelマルドック(VBAマクロ)。Windows Subsystem for Linuxの利用可否を確認した後、bashスクリプト(c2beacon.sh)とPowerShellランチャーをドロップし、192.168.23.51:8443との永続的なHTTPベースのC2通信を確立します(マルウェアはテスト中の可能性が高い)。機能には、30秒間隔のビーコン、リモートコマンド実行、WindowsからWSLへのパス変換、PowerShellによる隠し実行が含まれます。 

本解析は、WSLをステルスC2チャネルとして体系的に悪用するマルウェアとして、初めて文書化された事例です。 

解析

VBAマクロを含むカスタム開発の悪性Excelドキュメントで、’Chameleon C2’と称するWindows Subsystem for Linux(WSL)ベースのコマンド&コントロール(C2)エージェントのドロッパーとして機能します。本サンプルは、WSLを実行環境として活用することで、マルウェアの配布と永続化に新しいアプローチを示しています。

感染チェーン

1. 初期実行: 複数の自動実行マクロトリガー(AutoOpen、Workbook_Open、Auto_Open、Document_Open)により、ドキュメントを開くとコードが実行されます

2. 環境検出: auuazonz()関数が、%SystemRoot%\System32\wsl.exeの存在確認と「wsl echo test」による動作テストで、WSLがインストールされているかを確認します

3. ペイロード展開: WSLが利用可能な場合、gxlpziyl()関数がC2エージェントを展開します

4. Bashスクリプト作成: C2機能を持つc2beacon.shを一時ディレクトリに書き込みます

5. PowerShellランチャー: 非表示ウィンドウでWSL経由でbashスクリプトを実行するwsl_launcher.ps1を作成します

6. 永続C2: bashスクリプトは無期限に実行され、30秒ごとにビーコンし、コマンドを実行します

技術的高度性

本マルウェアは、以下のような複数の高度な機能を示します:

  • クロスプラットフォーム構成: WindowsとLinux環境を橋渡しし、初期侵害にはWindowsを用いる一方、実行と永続化にはLinux/WSLを使用します

  • パス変換ロジック: WindowsからWSLへのパス変換(C:\ を /mnt/c/ に)を賢く実装し、環境間でシームレスにファイルシステムへアクセスできるようにします

  • プロフェッショナルなC2プロトコル: agent_id、hostname、username、OS情報、タイムスタンプ、コマンド結果などの構造化データを含む、JSONベースのHTTP POSTリクエストを使用します

  • コマンド実行フレームワーク: C2サーバーからコマンドを取得し、bashで実行、出力(最大50KB)を取得して結果を送出します

  • 難読化手法: Chr()連結の多用、変数名の難読化(auuazonz、gxlpziyl、vqmhcjbr)、および文字列構築により静的検知を回避します

  • 検知回避: 従来のWindows EDRでは可視性が限定され得るWSL環境内で実行します

  • 適切なエラーハンドリング: 実行失敗を防ぐため、全体にわたり「On Error Resume Next」を使用します

  • 改行コード変換: WSLのsedコマンドを使用して、WindowsのCRLFをUnixのLFに修正します

C2機能

ドロップされるbashスクリプトは以下を実装します:

  • UUIDベースのエージェント識別

  • システム情報の収集(hostname、username、OS)

  • http://192.168.23.51:8443/api/beacon への永続的ビーコン送信

  • Python3によるJSON解析を用いたコマンド取得

  • 出力取得を伴う動的コマンド実行

  • /api/resultエンドポイントへの結果送出

  • 出力のサニタイズ(エスケープシーケンス、50KBへの切り詰め)

回避メカニズム

  • 非表示ウィンドウでの実行(-WindowStyle Hidden)

  • PowerShell実行ポリシーのバイパス

  • WSL実行空間(EDRの盲点となる可能性)

  • 初回起動後に不審なWindowsプロセス挙動がない

  • bashスクリプトが正当なWSLアクティビティに見える

標的

開発用途でWSLが正当にインストールされていることが多い、開発者のワークステーションや最新の企業環境を標的としている可能性が高いです。コメント内のアラビア語タイムスタンプは、中東での開発または標的化の可能性を示唆します。

革新性

我々の理解では、OfficeマクロからC2実行環境としてWSLを体系的に悪用するマルウェアとして、本件は初めて公に文書化されたものです。WSLの悪用は理論上語られてきましたが、本件はプロダクション品質のコードによる実用的実装を示しています。この手法は、WindowsとWSLの信頼境界を悪用し、セキュリティツールがWSLプロセスに対して可視性を低下させる可能性がある点を突いています。

翻訳元: https://zerolabs.rubrik.com/blog/beyond-evasion-rubrik-zero-labs-advanced-malware-analysis-system-powered-by-llms-exposes-three-novel-threats

ソース: zerolabs.rubrik.com
#Chameleon C2 #EDR回避手法 #Excelマルドック #HTTPベースC2通信 #LLM活用セキュリティ #PowerShellによる永続化 #Rubrik Zero Labs #VBAマクロ #WSL悪用 #マルウェア解析

関連記事

内部構造の解析:「Gentlemen」ESXiランサムウェアの解剖 | CXO Transformation

抽象から成果物へ:LLMトラストバウンダリのエンジニアリングブループリント | CXO変革

内部構造の解析:「Gentlemen」ESXi ランサムウェアの分解 | CXO Transformation