セキュリティ研究者は、感染したシステム上で幅広い悪意のあるコマンドを実行できる洗練された新しいリモートアクセストロジャンを特定しました。
コード内で見つかった特定の内部ファイルパスとテキスト文字列により「SLOTAGENT」と名付けられたこのマルウェアは、非常に多機能なポスト搾取ツールとして機能しています。
最も顕著な機能の1つは、Beacon Object Fileペイロードを実行する機能です。これはCobalt Strikeなどの商用ペネトレーションテストフレームワークによって普及した技術です。
これらのファイルを利用することで、攻撃者はディスクに新しい実行ファイルを書き込むことなく、ネットワークの足跡をシームレスに拡張できます。
さらに、SLOTAGENTはタイムスタンプの改ざんなどの高度なアンチフォレンジクス技術を採用して、ファイルのタイムスタンプを動的に変更し、インシデント対応者からその痕跡を隠しています。
感染プロセスは、ターゲットが一見無害に見える実行ファイル「WindowsOobeAppHost.AOT.exe」を悪意のあるZIPアーカイブから起動したときに始まります。
このアクションは、関連付けられた二次ファイル「WindowsOobeAppHost.AOT.dll」内の__managed__Mainエクスポート関数をすぐにトリガーします。
アクティベートされると、ローダーはNtCreateFileなどの重要なWindows API関数のメモリアドレスを動的に解決します。
これは、数学的なXOR演算とROR11演算を組み合わせた独自のAPIハッシングアルゴリズムを採用することで実現され、基本的な静的解析ツールから基本的な動作を隠しています。
実行に成功すると、SLOTAGENTはハードコードされたIPアドレス43.156.59.110のTCPポート699上のコマンド・アンド・コントロールサーバーとの安定した接続を確立します。
マルウェアはカスタムプロトコルを使用して通信し、4バイトの長さインジケータを送信して接触を開始し、その後に/api/v1/stream/dataなどの疑似HTTPパス文字列とパイプ文字が続きます。コア操作データはその後、標準的なJSON形式を利用して平文で送信されます。
初期チェックイン段階では、感染したホストは包括的なプロフィールをリモート攻撃者に送信します。この構造化されたJSONペイロードには、一意のホスト識別子、コンピュータ名、アクティブなユーザー名、ローカルIPアドレス、およびハードウェアMACアドレスが含まれています。
また、特定のオペレーティングシステムバージョン、アクティブなプロセスID、およびマルウェアが昇格された管理者権限で実行されているかどうかも報告します。チェックイン後、SLOTAGENTは受動的に指示を待ちます。
これらの内部メカニズム sect iij,を保護するために、SLOTAGENTは標的型コード難読化に大きく依存しています。実行中、それはDJB2ベースのハッシングアルゴリズムを使用してWindows API呼び出しを積極的にマスクします。
さらに重要なことに、独自のコマンド名を含む、ほぼすべての内部テキスト文字列はTiny Encryption Algorithmに非常に似たアルゴリズムを使用して完全に暗号化されています。
これらの隠されたストリングはアクティブな実行中にメモリ内でのみ復号化されるため、従来のリバースエンジニアリングツールはそれらを簡単に読むことができません。
サイバーセキュリティコミュニティを直接支援するために、アナリストはdecrypt_slotagent_string.pyという名前のカスタムIDAPythonスクリプトを公開しました。
この専門的なツールにより、ネットワーク防御者はペイロードを爆発させることなく、マルウェアの隠されたストリングを静的に復号化できるため、脅威ハンティングとグローバルなインシデント対応が合理化されます。
翻訳元: https://cyberpress.org/slotagent-challenges-malware-analysis/
