侵害されたシステム上で数週間にわたり動作していた、新たに発見されたリモートアクセス型トロイの木馬(RAT)が、セキュリティ研究者によって発見・分析されました。
FortinetのFortiGuardインシデントレスポンスチームによると、このマルウェアは正規のWindowsプロセス内で実行され、復旧や検査をより困難にする高度な回避手法を用いていました。
ヘッダーが破損したメモリ常駐型マルウェア
このマルウェアは、PID 8200のdllhost.exeプロセス内で実行されている状態で発見されました。
マルウェアファイルの特定と再構築に不可欠なPortable Executable(PE)ヘッダーおよびDOSヘッダーが、従来の解析手法を妨げるために意図的に破損させられていました。Fortinetは、感染マシンから取得した33GBの完全なメモリダンプを用いることでのみ解析を進めることができました。
調査のため、チームは侵害された環境を再現し、デバッグ下のdllhost.exeプロセスにマルウェアを読み込みました。
従来のヘッダー情報が利用できなかったため、エントリポイントの特定には手作業が必要でした。最終的に、エントリはメモリアドレス0x1C3EEFEE0A8で見つかりました。
メモリベースのマルウェア分析について詳しく読む:メモリ常駐型サイバー攻撃という見えない脅威に対抗する
APIマッピング、復号、そしてコマンド&コントロール
このマルウェアは16のモジュールに分散する250以上のWindows APIに依存していたため、ローカル実行のために各APIを手動で再配置し、修正する必要がありました。自動的に読み込まれない必要ライブラリは、LoadLibraryA()またはLoadLibraryW()を用いて手動でインジェクトされました。
実行後、マルウェアはメモリからコマンド&コントロール(C2)サーバー情報(ドメインrushpapers.comおよびポート443)を復号しました。
SealMessage()とDecryptMessage()を使用し、TLS送信の前後でデータパケットを暗号化・復号していました。復号されたペイロードからは、「OS: Windows 10 / 64-bit (10.0.19045)」といったシステム情報が明らかになりました。
暗号化トラフィックは、カスタムのXORベースのアルゴリズムに依存していました。送信ごとにランダム生成されたキーが使用され、難読化の層がさらに追加されていました。
高度なRAT機能を裏付ける特徴
このマルウェアは、以下のような強力な機能を複数サポートしています:
-
スクリーンショット取得:被害者の画面を定期的にJPEG画像として取得し、アクティブウィンドウのタイトルを記録
-
リモートサーバーモード:マルチスレッドのソケット処理により、攻撃者からの着信接続を受け付けるためのTCPポートを開放
-
サービス制御:ネイティブのWindows APIを使用してシステムサービスを列挙し、制御
制御された環境での動的解析を通じて、Fortinetは、このRATがステルス性の高い展開と難読化手法にもかかわらず、完全な機能を備えていることを確認しました。
このような高度な脅威に効果的に対抗するため、組織は的を絞ったセキュリティ対策を実装すべきです。これには、異常な挙動を検知するための正規プロセスの監視強化、メモリ常駐型マルウェア検知のためのメモリ解析ツールの活用、そして不審な活動を特定するためのAPI使用状況の監査が含まれます。
さらに、ネットワークトラフィック解析ツールを導入することで外向き接続の異常を検知しやすくなり、初期感染を防ぐうえではソーシャルエンジニアリング手法に関するユーザー教育が重要です。
画像クレジット:Framalicious / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/rat-corrupted-headers/
