CrySome RATは、新たに観察された高度な.NETリモートアクセストロイの木馬で、完全な機能を備えた後期段階の悪用ツール、堅牢な永続化、AV削除、および削除対策ロジックを組み合わせており、Windowsの環境に対する深刻な長期的な脅威となっている。
クライアントコンポーネント(Crysome.Client.exe)は、CrySome.Server.exeが操作するTCPベースのC2と通信し、一時ログが失敗した場合はCrysome_debug.logパスにデバッグログを記録する。
デコンパイルされたクライアントの静的分析により、SelfProtect、AVKiller、Survival、機能固有のハンドラーなどの個別のコンポーネントを備えたモジュール式アーキテクチャが明らかになり、構造化されたパケットプロトコルを通じて配線されている。
実行は、構成をロードし、C2チャネルを確立し、オペレーターが制御するフラグに基づいて条件付きで永続化および防御回避モジュールを有効にするブートストラップフェーズから始まる。
レポートによると、CrySomeはC#で.NETエコシステム用に書かれており、Costura.Fodyを使用して依存関係を埋め込む単一のパックされた実行可能ファイルとして配信され、マネージドリソースでPEを拡張し、外部ライブラリフォルダを回避している。
初期設定が完了すると、クライアントは受信パケットを処理する継続的なネットワークループに入り、各パケットは定義されたコマンドタイプ(たとえば、RunCommandRequest、StartHvncPacket、StartProxyRequest)にマップされ、攻撃者に対してリモートAPIを効果的に公開する。
コア機能とC2プロトコル
RATは、PowerShellコマンド実行、ファイルのアップロード/ダウンロードと削除、プロセスの列挙と強制終了、およびOS詳細、ユーザー名、稼働時間、地域、および現在のフォアグラウンドウィンドウのタイトルをキャプチャする詳細なシステムプロファイリングなど、広範なリモート操作を公開し、オペレーターにライブユーザーアクティビティの即座のコンテキストを提供する。
また、スクリーンキャプチャ、オーディオおよびWebカメラアクセス、グローバルキーロギング、Chromiumベースの認証情報とクッキー盗難、および密かなインタラクティブコントロール用の従来のリモートデスクトップとhidden virtual desktop(HVNC)セッションの両方をサポートしている。
ネットワーキングは永続的なTCP接続に基づいており、中央のRegisterHandlers()ルーチンを介して登録されたハンドラーにより、コア識別、システム情報、およびハートビートコマンドは常にアクティブに保たれ、設定に応じてより高いリスク機能を選択的に有効にする。
機能フラグは、ファイル転送、直接ペイロードのダウンロードと実行、SOCKSおよびリバースプロキシピボット、およびインタラクティブチャットなどのモジュールへのアクセスをゲートし、CrySomeはモノリシックなインプラントではなく、構成可能な後期段階の悪用フレームワークとして機能することを可能にする。
CrySomeの最も注目すべき強度は、スケジュール済みタスク、レジストリスタートアップエントリ、冗長コピー、ウォッチドッグプロセス、Windowsサービス、および回復パーティション悪用を組み合わせた階層化された永続化設計にある。
CrySomeLoaderという名前のスケジュール済みタスクはschtasks.exeを介して作成でき、クライアントを数分ごとに再起動し、RunOnceレジストリエントリと、AppDataパスのRuntimeBroker.exeなどの妥当な名前の下の隠されたシステムフラグ付きバイナリは追加の足がかりを提供する。
SurvivalコンポーネントはWindowsサービス(WindowsHealthMonitor)を追加し、自動開始と失敗時の自動再起動用に設定され、ペイロードをランダム名の下のC:\Recovery\OEMにコピーし、オフラインレジストリバッチスクリプトを使用してマウント済みハイブにRunOnce実行を挿入するリセット生存パスを追加する。
LockOwnFile()は、制限された共有権限で現在の実行可能ファイルを開き、他のプロセスがそれを変更または削除することを効果的に防ぐ。
回復環境に関連付けられたオフラインレジストリを変更することにより、CrySomeは工場出荷時設定へのリセット時にも生き残り、システムの復元後に実行を再確立でき、比較的まれだが非常に回復力のある永続化技術である。
AVキラー、自己保護、およびステルス
AVKillerモジュールは、Microsoft Defenderなどの製品、Kaspersky、Avast、ESET、CrowdStrike、およびSentinelOneのプロセス名、サービス、インストーラーパターン、および更新ドメインを含む広範なベンダーインテリジェンスをエンコードする。
AddStartupRegistry()は、RunOnceレジストリキーにエントリを書き込み、プライマリコピーまたは現在の実行可能ファイルのいずれかを指す。
既知のセキュリティプロセスを繰り返しスキャンして終了し、関連サービスを「無効」に設定し、疑わしいセキュリティインストーラーとそのプロセスツリーをリアルタイムで積極的に強制終了し、エンドポイント保護の新しいデプロイメントを防止する。
ホストファイルポイズニングはベンダードメインを0.0.0.0にマップしてアンチウイルスアップデートサーバーへのアクセスをブロックし、生き残っているあらゆる防御を段階的に低下させ、NeutralizeDefender()はMicrosoft Defenderのリアルタイム、動作、スクリプト、クラウド、およびスキャン機能をオフにし、それらの回復を防止するためにPowerShell、レジストリポリシー、およびスケジュール済みタスク改ざんをレイヤー化する。
さらに、マルウェアは、ターゲットにされたセキュリティツールに偽のデバッガーエントリ(たとえば、cmd.exe /c echo)を割り当てることにより、Image File Execution Options(IFEO)を悪用し、それらの起動試行を静かにハイジャックして、それらが開始しているように見えるがアクションを実行しない。
InstallResetSurvival()は、実行可能ファイルをC:\Recovery\OEM\ディレクトリにコピーし、ランダムに生成されたファイル名を使用してそれを名前変更して永続化を確立し、検出を回避する。
動的分析では、クライアントがBuild.exeなどの名前で起動し、conhost.exe、sc.exe、reg.exe、およびpowershell.exeと一緒にRuntimeBroker.exeなどの子プロセスを生成して、サービス作成、レジストリ操作、および永続化セットアップに関連するバックグラウンドタスクを実行し、エンドユーザーに控えめなままでいることを示している。
Combined withHVNC型隠しデスクトップ、リアルタイムフォアグラウンドウィンドウ追跡、プロキシ駆動型ラテラルムーブメント、および完全な監視機能と組み合わせると、CrySomeは短寿命の商品アクセスではなく、侵害されたWindowsシステムの耐久性があり、ステルス的な制御を目的とした成熟した後期段階の悪用プラットフォームとして動作する。
これらのアクティビティは静かに発生し、CrySomeは隠された実行、正当そうに見えるファイルおよびサービス名、および最小化されたUIフットプリントを維持して、通常のワークステーション使用中の発見の可能性を低減する。
侵害の指標
| 指標 | 値 | コンテキスト |
| SHA256(クライアント) | f30f32937999abe4fa6e90234773e0528a4b2bd1d6de5323d59ac96cdb58f25d | 被害者システム上での初期感染と実行に使用されるCrySome RATクライアント実行可能ファイルを識別する |
| SHA256(サーバー) | fa896cc8ce13c69f6306eff2a8698998b48b422784053df6bb078c17fe3f04c3 | コマンドアンドコントロール操作を担当するCrySome RATサーバーコンポーネントを識別する |
| ドメイン | Crysome[.]net | CrySome RATソフトウェアのショーケースまたはプロモーションサイト、その機能をデモンストレーションするために使用される |
