カスペルスキー社による前例のない発見は、Windowsオペレーティングシステムのユーザーに深刻な影響を及ぼす可能性があります。同社は5月4日に記事を公開し、ハッカーがWindowsのイベントログにシェルコードを埋め込み、トロイの木馬をファイルレスマルウェアとして隠蔽したことを初めて明らかにしました。
このマルウェア攻撃では、市販の侵入テストスイートや検出防止ラッパーなど、さまざまな手法が使用されました。これには、プログラミング言語 Go でコンパイルされたものや、最終段階のトロイの木馬もいくつか含まれていました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ハッキンググループは最終段階で2種類のトロイの木馬を使用し、システムへのさらなるアクセスを獲得しました。これは、HTTPネットワーク通信と名前付きパイプを利用するという2つの異なる方法で実行されました。
ハッカーがトロイの木馬をイベントログに送り込む方法
カスペルスキーによると、このマルウェアの潜伏が初めて確認されたのは2021年9月でした。攻撃者は、正規のウェブサイトから標的に.rarファイルをダウンロードさせ、それを解凍して.dll形式のトロイの木馬ファイルを標的のハードドライブに侵入させました。
「新たな標的型マルウェアの手法が注目を集めました」と、カスペルスキーの主任セキュリティ研究者であるデニス・レジェゾ氏は述べています。「この攻撃では、攻撃者はWindowsのイベントログから暗号化されたシェルコードを保存し、実行していました。これは私たちがこれまでに見たことのない手法であり、不意を突かれる可能性のある脅威に常に注意を払うことの重要性を浮き彫りにしています。このイベントログ手法をMITRE Matrixの防御回避とアーティファクトの隠蔽セクションに追加する価値があると考えています。また、複数の商用ペネトレーションテストスイートの使用も、日常的に見られるものではありません。」
HTTP ネットワーク方式では、悪意のあるファイルが Windows システム ファイルをターゲットにし、文字列に「1.1」を追加した既存のファイルの複製を作成することでマルウェアの一部を隠蔽していました。Kaspersky では、この文字列がファイルの悪意のあるバージョンであると想定しています。
「HTTP通信の前に、このモジュールは接続を確認するために、ハードコードされた32バイト長のRC4キーを使用して、空の(ただし暗号化された)データをICMPパケットで送信します」とLegezo氏は述べています。「他の文字列と同様に、このキーはThrowback XORベースのアルゴリズムで暗号化されます。ポート80が利用可能な制御サーバーへのpingが成功すると、前述のフィンガープリントデータが送信されます。それに対して、C2はトロイの木馬のメインループ用の暗号化されたコマンドを共有します。」
参照: Python プログラミング言語: このトレーニングでコーディング キャリアをスタートしましょう (TechRepublic Academy)
もう1つの手法は「名前付きベースパイプ型トロイの木馬」と呼ばれ、Windows OSファイル内のMicrosoftヘルプデータサービスモジュールライブラリを見つけ出し、既存のファイルを取得して、一連のコマンドを実行できるマルウェアバージョンで上書きします。この悪意のあるバージョンが実行されると、被害者のデバイスからアーキテクチャとWindowsのバージョン情報が収集されます。
この種の攻撃を回避する方法
Kaspersky は、この種のマルウェアを回避したい Windows ユーザーに対して、次のようなヒントを提供しています。
- 信頼できるエンドポイント セキュリティ ソリューションを使用します。
- APT対策およびEDRソリューションをインストールします。
- セキュリティ チームに最新の脅威インテリジェンスとトレーニングを提供します。
- エンドポイント保護を統合し、注目度の高い攻撃からの保護に役立つ専用サービスを導入します。
ハッカーの手口はますます検知が困難になっていますが、デバイスのセキュリティを確保することはこれまで以上に重要です。デバイスを保護する責任は、Windowsデバイスのユーザーと同様に、ITチームにも重くのしかかっています。エンドポイントセキュリティとゼロトラストアーキテクチャを導入することで、次なる大規模なマルウェア攻撃を即座に阻止し、機密データや個人情報の漏洩を防ぐことができます。
