「Alchimist」と呼ばれるスタンドアロンのコマンド&コントロール(C2)サーバーが、最近Cisco Talosによって発見されました。このフレームワークは、容易に配布可能なスタンドアロンのGo言語ベースの実行ファイルを介して攻撃を実行するように設計されています。Talosが発見したフレームワークには、Webユーザーインターフェース全体とペイロードの両方が含まれています。
GoLangで書かれたフレームワーク
Goプログラミング言語(GoLangとも呼ばれる)は、複数の異なるシステムやアーキテクチャ上でコードをコンパイルしたい開発者の間でますます人気が高まっています。例えば、私たちは最近、Goで完全に記述された攻撃フレームワーク「Sliver」について記事を書きました。そのため、サイバー犯罪者の間でもSliverが採用されているのも不思議ではありません。
開発者によって名付けられたAlchimistは、Go言語ベースのアセット(カスタムメイドの組み込みパッケージ)を使用して、C2サーバーとしての運用に必要なすべてのリソースを保存します。初期化時に、すべてのコンテンツはハードコードされたフォルダに配置されます。具体的には、Webインターフェース、HTMLファイル、その他のフォルダは/tmp/Resに、WindowsおよびLinuxオペレーティングシステムのペイロードは/tmp/Res/Payloadに配置されます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
サーバー名のない自己署名証明書も、HTTPS通信で使用する鍵とともに/tmpフォルダにドロップされます(図A)。この証明書は、調査時点でインターネット上の5つの異なるIPアドレスで確認されており、いずれもAlchimistで使用されていました。
図A
Webインターフェース
Alchimist フレームワークのユーザー Web インターフェイスは、英語と簡体字中国語で書かれています (図 B )。
図B
リモート管理ツール(RAT)マルウェアへの対処に期待される一般的な機能はインターフェースに実装されていますが、研究者によると、特に注目すべき機能が1つあります。それは、WindowsおよびLinuxシステム用のPowerShellおよびwgetコードスニペットを生成する機能です。これらのコマンドは、悪意のあるドキュメント、LNKファイル、または最初の侵入に使用されるその他のファイルに埋め込まれ、フレームワークによって提供される追加のペイロードであるInsekt RATをダウンロード/インストールする可能性があります。
最終的なペイロードを生成するために、Webユーザーインターフェースからいくつかのパラメータが取得されます。これらのパラメータは以下のとおりです。
- 使用するプロトコル: TLS、SNI、または WSS/WS。
- リモートC2ホストのIPアドレスまたはURL
- 対象となるプラットフォームの種類: Windows または Linux
- Insekt RAT ペイロードをデーモン (バックグラウンドで実行されるプロセス) として実行する必要があるかどうかを示すデーモン フラグ
- SNIプロトコルのプレドメイン値
設定が完了すると、Web インターフェイスは現在の C2 サーバーの URL にリクエストを送信し、ダウンロード可能な新しいペイロードを要求します。
Insektペイロード
Insekt RATはGo言語で記述され、WindowsおよびLinux向けにコンパイルされています。このRATは、実行中のオペレーティングシステムやファイルサイズに関する情報の取得、事前定義された期間のスリープ、または自身をアップグレードする機能を備えています。
さらに、任意のコマンドを実行するためのコマンドラインcmd.exeを提供するなど、より攻撃的な機能も備えています。また、別のユーザーとしてコマンドを実行したり、シェルコードを実行したり、IPアドレスやポートをスキャンしたり、セキュアシェル(SSH)キーを操作したり、プロキシを有効にしたりすることも可能です。さらに、ディレクトリパス内のファイルを列挙することも可能です。
Insekt の Linux バージョンでは、ユーザーが authorized_Keys ファイルに新しい SSH キーを追加することも許可されているため、攻撃者は SSH 経由で被害マシンと通信できるようになります。
攻撃者の便宜のために、事前定義されたコマンド セットも使用可能であり、これにより、対話が高速化され、入力ミスが回避されます。
MacOSXもターゲット
研究者らは、Alchimist および Insekt とともに、MacOSX プラットフォーム上で権限昇格および悪用を行うツールを発見しました。
メインフォルダに見つかったMach-Oファイルは、MacOSXにデフォルトでインストールされていないpkexecユーティリティの権限昇格脆弱性(CVE-2021-4034)を悪用するエクスプロイトをトリガーする可能性があります。また、この実行ファイルにはbind shellバックドアも含まれており、脅威アクターにリモートシェルを提供します。
より包括的なC2フレームワークが登場し、複数の異なるオペレーティングシステムに適用される可能性が高い
最近、このような攻撃フレームワークがさらに発見されています。SliverとCobalt Strikeの中国版であるManjusakaは2022年に登場し、C2部分はGo言語でプログラミングされ、ペイロードはRustプログラミング言語で作成されていました。RustはGo言語と同様に、開発者が複数の異なるプラットフォームでコードを非常に簡単にコンパイルすることを可能にします。今後、Go言語とRust言語で書かれたマルチプラットフォームフレームワークがさらに増えると予想されます。
Cisco Talos によると、Alchimist の発見は、「脅威の攻撃者が、攻撃を実行するために既製の C2 フレームワークを急速に採用している」ことを示す新たな兆候であるという。
このようなフレームワークの使いやすさにより、マルウェア開発者や脅威の攻撃者は近い将来、こうしたフレームワークをさらに活用するようになるでしょう。
この脅威に対して何ができるでしょうか?
ペイロードとAlchimist C2への通信の可能性を検出するために、セキュリティソフトウェアを導入する必要があります。フレームワークで使用される自己署名証明書は、HTTPS通信で発見された場合、直ちに警告を発するはずです。
攻撃者が一般的な脆弱性を利用してシステムを侵害し、最初の足掛かりを得ることを防ぐために、オペレーティング システムとソフトウェアを最新の状態に保ち、パッチを適用する必要があります。
単一の認証情報を使用してアクセスする攻撃を回避するために、インターネットに接続するすべてのデバイスまたはサービスに多要素認証を導入する必要もあります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
