ハッカーはFUD Cryptと呼ばれるサービスを悪用して、完全に検出されないMicrosoft署名付きマルウェアを生成し、永続性をインストールし、購入者の努力なしで専用のコマンドアンドコントロール(C2)プラットフォームに接続します。
このようなMalware-as-a-Service(MaaS)オファリングは、通常のペイロードを多型的で署名されたローダーに変え、セキュリティツールと人間の分析者の両方が検出するのが極めて困難になります。
このサービスは、AMSI バイパス、UAC バイパス、永続性、および自動C2接続の署名を約束し、すべて顧客が1行のコードを書くことなく実現します。
オペレーターはAzure Trusted Signingを悪用して、「Microsoft Identity Verification Root CA」および「Microsoft ID Verified CS AOC CA 01」にチェーンされたAuthenticodeシグネチャを取得し、マルウェアがMicrosoftインフラストラクチャによって合法的に署名されているように見えます。
レポートによると、fudcrypt.netでホストされているFUD Cryptは、加入者が任意のWindowsエクゼキューティブをアップロードし、月額800~2,000ドルのマルチステージデプロイメントパッケージを受け取る商用プラットフォームです。
SmartScreenと手動の証明書検査の両方がパスします。攻撃者は盗まれた証明書を使用しているのではなく、Microsoftの身元確認プロセスに合格した完全に登録されたAzureアカウントを使用しているためです。
組み込まれた永続性と隠蔽されたC2
デプロイされると、生成されたマルウェアは即座に永続的なWebSocket接続をmstelemetrycloud.comのフリートマネジメントサーバーに確立します。
エージェント バイナリはmstelemetry.exeという名前で、レジストリRunキーは「WindowsUpdateSvc」に設定され、意図的にMicrosoftテレメトリおよび更新コンポーネントを模倣しています。
最初のビーコン時に、C2サーバーは自動的に永続性コマンドを発行し、ローカルエージェント実行可能ファイルを指すRunキーを書き込み、永続性と登録を単一のアトミックイベントにします。
38日間の期間中、調査官は32の登録されたエージェント、24の管理者特権を持つエージェント、およびPowerShell、shellおよびcmdジョブを含む2,093の発行されたコマンドを観察しました。
すべてのFUD Cryptビルドは、合法的に署名されたプロセス内で実行される積み重ねられた回避ツールキットを出荷し、ProtonVPN、CCleaner、Zoomなどの一般的なアプリケーション、さらには名前変更されたWindows Defenderラッパー(WindowsDF.exe)へのDLLサイドロードを介してアクセスされます。
20のキャリアEXE/DLL組み合わせはいずれもhijacklibs.netに登録されておらず、サイドロードベクトルがいかに慎重に選択されたかを強調しています。
ステージャーはAMSIを2つの方法で無効化します。AmsiScanBufferが常にエラーを返すように強制する直接メモリパッチと、amsi.dllバイトに触れずに呼び出しをインターセプトするハードウェアブレークポイントトリックです。
Event Tracing for Windows(ETW)は、EtwEventWriteをネイキッドリターンに変える1バイトのパッチで無効化され、プロセスの存続期間中、.NET、PowerShell、およびEDR注入されたプロバイダーをサイレンス化します。
UACプロンプトは、CMSTPLUA COM昇格パスを通じてバイパスされ、プロセスをWindows整合性チェックに対してexplorer.exeとして表示させるプロセス環境ブロック(PEB)マスカレードと組み合わせられます。
多型暗号化と次世代ローダー
生成された各パッケージは暗号学的にユニークです。3層スキーム(32バイトXOR、16バイトRC4、およびランダム化された256エントリS-boxを持つカスタムブロック暗号)を使用するため、同じペイロードが2回注文されても異なるバイナリが生成されます。
管理パネルのユーザー/ビルド管理テーブル。ユーザー名、メール、プラン階層、ビルド数、最後のログイン、サブスクリプション状態などの列を表示する必要があります。
ビルダーはプライベートマルチエンジンスキャナを介してビルドごとのアンチウイルス検出結果を記録し、管理パネルで公開して、回避スタックの継続的な調整を可能にします。
次世代ビルダーであるnewbuilder.py v6.0は既に開発中であり、間接的なシステムコール(Hell’s GateおよびHalo’s Gate)、合法的なDLL.textセクションへのモジュールストンピング、ファイバーおよびコールバックベースの実行、Ekkoスタイルのスリープ難読化、およびWindows CNG経由のAES-256-CBC暗号化によってEDR自体を攻撃することに焦点を当てています。
永続性は、「MicrosoftEdgeUpdateCore」という名前のスケジュール済みタスクで強化され、最高の特権でログオン時に実行するように構成され、合法的なEdge更新プログラムに密接に類似しています。
より小さいペイロードの場合、新しいビルダーは暗号化されたペイロードをDLLに直接埋め込むことができ、検出器がフラグを立てる可能性のある初期段階の外向きHTTPトラフィックを回避できます。
「Enterprise」階層ビルドでは、マルウェアは管理者に昇格し、グループポリシーレジストリキーを介してMicrosoft Defenderを無効化し、その後gpupdateをトリガーして、Defenderの保護されたサービス構成に直接改ざんせずに変更をプッシュします。
同じツールチェーンは、署名されたMSI経由でScreenConnect遠隔アクセスソフトウェアを静かにデプロイでき、CMSTPLUA UACバイパスを使用してユーザープロンプトなしでインストールできます。
コマンド履歴は38日間で200以上のScreenConnect関連コマンドを表示し、プラットフォームが攻撃者向けのリモート管理フレームワークとして機能することを強調しています。
セキュリティチームは、Azure Trusted Signing経由で署名されたバイナリを異常なチェーンと疑わしい動作で処理し、特にWindowsUpdateSvcまたはmstelemetry命名と組み合わせられた場合、FUD Cryptスタイルの操作の高リスク指標として扱うことをお勧めします。
翻訳元: https://gbhackers.com/microsoft-signed-malware/
