BlankGrabberの操作者は、偽の「証明書」ローダーを悪用して、多段階のRustおよびPythonの感染チェーンを隠し、このコモディティスティーラーをWindowsエンドポイントで検出するのを大幅に困難にしています。
この新しい技術は、certutil.exeなどの組み込みツール、重度に難読化されたPyInstallerスタブ、およびTelegramと公開Webサービス経由のステルス流出に依存して、静的および動的検出の両方を回避しています。
一見すると、スクリプトはデータをデコードしてcertutil.exeに渡し、一見Windows証明書に見えるものをインストールします。
より深い分析により、エンコードされたブロブは証明書ではなく、実際のペイロードの復号化と起動を担当するステージャーとして機能するコンパイルされたRustの実行可能ファイルであることが示されています。
Splunkの脅威調査チーム(STRT)によると、最近のBlankGrabberキャンペーンはGofile.ioファイル共有サービスでホストされているバッチスクリプトで始まります。
Rustステージャーは、証明書データとして偽装し、次のステージをメモリにのみ表示することで、別の難読化層を追加します。
また、「Triage」、「Sandbox」、「Malware」、「Zenbox」などの特徴的なドライバー、ユーザー名、コンピューター名を探して、自動化された分析環境での爆発を回避するためのアンチサンドボックスチェックも実行します。
実際の被害者システムであることが確認されると、OneDriveUpdateHelper.exe、RuntimeBroker.exe、MicrosoftEdgeUpdate.exeなどの複数の無害に見えるファイル名の1つを使用して、自己解凍型RAR(SFX)アーカイブを%TEMP%に復号化してドロップします。
単一のSFXでのXWorm + BlankGrabber
SFXアーカイブには複数のコンポーネント、特にXWormリモートアクセスクライアント(host.exe)とPyInstaller搭載のBlankGrabberスティーラー(Knock.exe)が含まれており、同じホストでリモートコントロールと大規模なデータ盗難の両方が可能になります。
これらのツールをパッケージ化することで、攻撃者は横方向に移動し、永続化し、1つの操作でデータを流出させることができます。
BlankGrabber自体は、元々オープンソースのPythonインフォスティーラーとしてリリースされており、GUIビルダーを使用してPythonコード、サードパーティライブラリ、組み込みツールを1つの実行可能ファイルにラップして構築されます。
STRTの分析により、PyInstallerバンドルは「blank.aes」という名前の暗号化されたデータブロブを隠しており、カスタマイズされたAESルーチンを使用して実行時に復号化され、次のステージZIPアーカイブを再構築することが示されています。
そのアーカイブには、zlib圧縮とBase64、ROT13、文字列反転を使用してローダーロジックを層化し、最終的に動作中のBlankGrabberスタブを復元する別の重度に難読化されたPythonスタブが含まれています。
完全に解凍されると、BlankGrabberは、UUID、アダプタベンダーを検査し、ランダムドメインに接続してシミュレートされたインターネット応答をテストすることにより、仮想マシン、偽のネットワーク、セキュリティツールを検出するための広範な環境チェックを実行します。
その後、systeminfo、getmac、WMIクエリ(例:Win32_ShortcutFile、AntivirusProduct、csproduct)、Webカメラキャプチャなどのコマンドを使用して被害者をプロファイルし、保存されたWi-Fiプロフィールを列挙してnetsh経由でクリアテキストのWLANキーを抽出します。
データ盗難については、スティーラーはChromiumおよびFirefoxデータベースをパースしてパスワード、Cookie、履歴、自動入力データをダンプし、暗号ウォレット拡張機能をスクレイプし、Telegram、Discord、Steam、Epic Games、Roblox、Minecraftなどのプラットフォームをターゲットにします。
また、クリップボードテキストを収集し、PowerShell経由で.NETベースのスクリーンショットを取得し、ドキュメントと認証情報ファイルタイプを収集し、「Blank123」というパスワードで保護された組み込みrar.exeユーティリティを使用してすべてをアーカイブします。
流出は、Telegramボットと悪用されたWebサービスの組み合わせに依存しており、ip-api[.]comなどのIPルックアップAPI、および一般的なファイル共有またはペーストプラットフォームが含まれています。
永続性とSplunk検出
BlankGrabberはホストを積極的に改ざんして隠れ、Windowsホストファイルを編集してAVおよびセキュリティサイトをブロックし、PowerShell経由で複数のWindows Defender保護を無効にし(リアルタイム監視とクラウド配信保護を含む)、その作業ディレクトリをDefender除外に追加します。
その後、レジストリベースのUACバイパスを使用して昇格された権限で自身を再起動し、再起動間での永続性のために起動フォルダーにペイロードのコピーをインストールします。
ディフェンダーをサポートするために、Splunkは、Windowsプロダクトキーレジストリアクセス、TelegramのAPIへのDNSクエリ、ip-api[.]comなどのIPチェックサービスの検出を含む、この動作をキャッチするための複数のアナリティクスを提供します。
標準パスの外で実行されているWinRAR/rar.exe、疑わしいホストファイルアクセス、WMI偵察、およびgofile.ioやcdn.discordapp.comなどの悪用されたWebサービスへのDNSルックアップ。
実際にRustバイナリをデプロイするcertutilバックアップ「証明書」インストールに焦点を当てた脅威ハンティングと組み合わせると、これらの検出は、セキュリティ運用センターチームがBlankGrabberの偽の証明書ローダーとその下流のスティーラーアクティビティを、大量の認証情報とトークンが流出される前に表面化させるのに役立ちます。
IOCs
| SHA256 | 説明 |
|---|---|
| 268d12a71b7680e97a4223183a98b565cc73bbe2ab99dfe2140960cc6be0fc87 | BlankGrabber |
| ac36b970704881c7656e8fdd7e8c532e22896b97a47acef5ca624d7701bf991 | バッチローダー |
翻訳元: https://gbhackers.com/blankgrabber-malware/
