Trellix Advanced Research Centerの研究者は、無実のように見えるPNG画像ファイルを悪用して、複雑な多段階の感染チェーンを通じて従来のエンドポイント防御を回避しながら、完全にファイルレスなマルウェアペイロードをひそかに配信する高度なPureRATキャンペーンを発見しました。
このキャンペーンは、高度な脅威アクターがステガノグラフィ、メモリ内実行、およびリビングオフザランドの手法をブレンドして、攻撃のあらゆるステップで検出を回避する方法を示しています。
攻撃は欺瞞的にシンプルに始まります。悪意のあるWindowsショートカット(.LNKファイル)が隠されたPowerShellコマンドをトリガーし、その結果、アクター制御ドメインhxxps://crixup[.]comから、極度に難読化されたVBSローダーをダウンロードします。このVBScriptローダーが感染の原動力です。
ランダムなファイル名でC:\Users\Public\Downloads\にコピーしてから、Windows Management Instrumentation(WMI)を使用して、ShowWindow = 0で新しい隠しプロセスをサイレントで起動し、被害者に完全に見えなくします。
再起動後も生き残ることを確保するために、スクリプトは毎分無期限に実行されるWindows Task Schedulerエントリを登録し、侵害されたホスト上での継続的な実行を保証します。
難読化解除後、VBScriptのジャンクデータ配列のように見えるものは、完全に機能する組み込みPowerShellスクリプト(攻撃の次のステージ)であることが明らかになります。
そのPowerShellローダーは同じC2ドメインに接続を試み、2つのPNG画像ファイル「0xptimized_MSI.png」と「GeneratedPay.png」をダウンロードします。
これらは普通の画像ではありません。PNG ファイル内の一意のデリミタ文字列内にエンコードされているのは、Base64暗号化され、反転され、文字置換された悪意のあるPEファイルです。これは署名ベースの検出ツールを回避するために設計された古典的なステガノグラフィ技術です。
ペイロードがPNGから抽出されると、[System.Reflection.Assembly]::Load()を使用してPowerShellメモリに直接ロードされ、ディスクに一切触れません。
このファイルレス実行技術はキャンペーンの定義的な特徴であり、従来のファイルスキャン防御を大部分において無効化します。
Trellixユーザーに警告を発することなく権限をエスカレートするために、マルウェアは正当なWindowsバイナリcmstp.exeを介したUAC回避を実行します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemレジストリキーを変更してすべてのUACプロンプトをオフにするPowerShellコマンドを含む一時的な.inf設定ファイルを生成します。
その後、cmstp.exe /auを起動し、Windows APIコールを使用して結果の昇格ダイアログにプログラム的にEnterキープレスを送信し、ユーザーの操作なしに権限エスカレーションを完全に自動化します。
セキュリティチームは、不正なスケジュール済みタスク作成を監視し、実行ポリシーコントロール経由でVBSおよびPowerShellスクリプトの実行を制限し、ネットワークの境界で列挙されたC2インジケータをブロックするよう推奨されます。
翻訳元: https://cyberpress.org/purerat-hides-fileless-payloads/