セキュリティ研究者がFUD Cryptを暴露しました。これはfudcrypt.netで動作する洗練されたMalware-as-a-Service(MaaS)プラットフォームで、Microsoftの自社製Azureの正規Trusted Signingインフラストラクチャを悪用して、完全に検出不可能な多形性マルウェアを配信します。このマルウェアは組み込みのコマンド・アンド・コントロール(C2)機能を備えており、顧客からのコード記述を一切必要としません。
研究者はプラットフォームの完全なバックエンドデータベースを復旧し、200の登録ユーザー、334のビルド、および32台の侵害されたマシン全体で発行された2,093のフリートコマンドを明らかにしました。
このプラットフォームの最も懸念される機能は、Microsoftの正規のAzure Trusted Signingサービスを通じてあらゆるマルウェアペイロードに署名できることです。その結果、Authenticodeチェーンは以下のように読まれます:Microsoft Identity Verification Root CA → Microsoft ID Verified CS AOC CA 01 → [ペイロード]と、正規のMicrosoftソフトウェアと同一の署名になります。
すべてのFUD Cryptビルドは、最新のエンドポイント防御に対抗するよう設計された多段階キルチェーンに従っています。
このプロセスはDLLサイドローディングで始まります。そこでは悪意のあるDLLが、ProtonVPN、Zoom、CCleaner、Discord、および名前を変更したWindows Defenderラッパー(WindowsDF.exe)を含む正規署名されたキャリア実行ファイルの横に配置されます。これにより、セキュリティ制御が介入する前に、悪意のあるDLLが署名済みの信頼されたプロセス内にロードされます。
このプラットフォームは20個のそのようなキャリアプロファイルをサポートしており、公開時点ではいずれもhijacklibs.netに表示されていませんでした。
署名されたプロセス内で実行が開始されると、防御回避スタックが正確なシーケンスで動作します。
AMSIは2つの独立した方法で無効化されます:AmsiScanBufferにE_INVALIDARGを返すように強制する直接的な6バイトのメモリパッチと、保護されたDLLメモリに触れずにCPUレベルでAMSI呼び出しを完全に遮断するVectored Exception Handler(VEH)経由のハードウェアブレークポイントです。
ETW(Windows用イベントトレーシング)はEtwEventWriteへの単一の0xC3(ret)パッチで沈黙され、プロセスの存続期間中、EDR注入されたあらゆるプロバイダーに対して検出されません。
その後、Process Environment Block(PEB)はexplorer.exeに偽装するため上書きされ、CMSTPLUA COM昇格チェックを満たし、UACプロンプトなしで管理者特権を静かに付与します。
暗号化されたペイロードはDropbox(フォールバックとしてCatbox.moe)から取得され、子プロセス作成やディスク書き込みなしに、完全にメモリ内で実行されます。
翻訳元: https://cyberpress.org/fud-crypt-signs-malware/
