新しいマルウェアキャンペーンが強力なリモートアクセストロイの木馬(RAT)と侵襲的なアドウェアをバンドルして配布しており、攻撃者に感染したシステムの長期的なコントロールと不正な広告活動からの即座の収益をもたらしています。
ローダーはそのリソースセクション内に2つの暗号化されたペイロードを隠しており、その1つはAdWare.Win32.CloverPlusとして検出されます。
実行されると、このアドウェアは広告コンポーネントをインストールし、ブラウザの起動動作を変更し、侵害されたマシン上のクリックとトラフィックを収益化するためにポップアップをトリガーします。
同時に、ローダーは2番目のペイロード、つまり被害者システムへの完全なリモートアクセスを提供するGh0st RATクライアントDLLを準備します。
基本的なパスベースの検出を回避するために、ローダーはそのプロセスが%temp%ディレクトリから実行されているかどうかをチェックし、実行されていない場合は、RSRCセクションからGh0st RAT DLLを復号化する前にそこにコピーします。
Splunk Threat Research Team(STRT)によって分析されたこのキャンペーンは、ステルス、永続性、防御回避に焦点を当てた難読化ローダーを通じてGh0st RATをCloverPlusアドウェアと一緒に配信しています。
復号化されたDLLはC:\ドライブのルートにあるランダムに名前が付けられたフォルダの下に書き込まれ、通常のWindows活動に溶け込む一般的なliving-off-the-land技法であるrundll32.exeを使用して実行されます。
Ghost RAT: ステルス、ディスカバリー、DNS悪用
アクティブになると、このGh0st RAT亜種はアクセストークン操作(ATT&CK T1134)を通じてSeDebugPrivilegeを有効にし、他のプロセスとインタラクションしてメモリを読み取ることを許可します。この機能は機密データを盗むために悪用されることが多いです。
ユーザーとネットワークディスカバリー(T1033、T1018)を実行し、GetExtendedUdpTable()を使用してポート53でDNSを処理するプロセスを特定し、DNSトラフィックをハイジャックするために終了および置き換えることができます。
マルウェアは関連ファイルを削除することによってトレースを削除し、ファイル削除によるインジケーター削除(T1070.004)と一致します。
防御回避のため、Gh0st RATはVMware関連のレジストリキーHKEY_CLASSES_ROOT\Applications\VMwareHostOpen.exeをチェックして、仮想マシンで実行されているかどうかを判断します。
VMを検出した場合、「dead drop resolver」ルーチン(T1102.001)を起動し、一見正規のSinaブログURLに連絡してHTMLタイトルタグを解析してコマンドアンドコントロール(C2)アドレスをデコードします。このアプローチはC2インフラストラクチャを無害なWebコンテンツの背後に隠します。
マルウェアはまた、pingベースのスリープ技法(T1678)を使用し、-nパラメータでping.exeを呼び出して実行を遅延させ、短期活動のみを監視するサンドボックスを回避します。
Gh0st RATはさらに、アプリケーション層DNS通信(T1071.004)を使用してセキュリティリソースをブロックするためにDNSを悪用します。
「Alyac」、「Ahnlab」、「V3lite」などのアンチウイルスベンダーに関連するサブストリングについてリクエストされたドメインを検査し、通常のDNS応答またはDNSエラーを選択的に返し、レーダーの下に留まりながらセキュリティツールと更新サーバーへのアクセスを効果的に防止します。
DNS動作を変更した後、「cmd.exe /c ipconfig /flushdns」でDNSキャッシュをフラッシュして、スプーフされた応答が即座に有効になるようにします。
システムプロファイリング、永続性、キーロギング
ネットワーク悪用を超えて、RATはNetbios() NCBASTATコールおよびSMART_RCV_DRIVE_DATA IOCTLリクエストを使用してMACアドレスと物理ディスクシリアル番号を含むシステムネットワーク構成の詳細(T1016)を収集します。
これらのハードウェア識別子は、攻撃者がC2インフラストラクチャ内で感染したホストを一意に追跡し、長期的なキャンペーン管理をサポートするのに役立ちます。
永続性は複数のメカニズムを通じて達成されます。Gh0st RATは標準的なWindowsランキー(T1547.001)に書き込んでOSで自動的に起動し、SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ipの下のWindows Remote Accessサービス構成を悪用してSYSTEM権限でそのDLLをロードします(T1021、T1543.003)。
また、Windows サービス ポイント(悪意のあるモジュールを指す)を登録して、ブート時の自動実行を保証し、その活動を正規のサービス操作と混ぜ合わせます。
RATはさらにmstsc.exeを監視してキーストロークをGetKeyState()とGetAsyncKeyState()を通じてキャプチャすることによってリモートデスクトップアクティビティをターゲットにし、入力キャプチャ/キーロギング機能(T1056.001)を実装します。
アクティブなRDPセッションに焦点を当てることで、攻撃者はエンタープライズネットワーク内でリモート管理とラテラルムーブメントに使用される高価値の認証情報と機密データを収集できます。
STRTはこれらの動作をMITRE ATT&CKにマップし、防御者がSplunkを使用してこのデュアルペイロードキャンペーンを検出できるように調整された分析コンテンツをリリースします。
利用可能な検出には、非標準ファイル拡張子を使用するrundll32.exeの分析、pingベースのスリープバッチコマンド、永続性に使用されるレジストリキー、%temp%からのプロセス実行、Windows RemoteAccess RouterManagers\Ipレジストリエントリへの変更が含まれます。
これらのシグナルを関連付けることで、セキュリティチームはローダーアクティビティと長期的なGh0st RAT存在の両方を検出できます。
Splunkを活用してエンドポイント、プロセス、レジストリ、DNSテレメトリを継続的に分析することで、防御者は反応的なクリーンアップから本キャンペーンに対するプロアクティブな脅威ハンティングに移行できます。
複数層の動作ベースの検出が整備されていれば、組織は攻撃者が完全にコントロールを確立する前に、Gh0st RATバックドアとCloverPlusアドウェア収益化の両方を破壊する可能性が高くなります。
翻訳元: https://gbhackers.com/dual-malware-campaign/
