ViperSoftXは以前から多くの活動が観測されているインフォスティーラー型のマルウェアです。
少し前にも戦術を変更して活動していることが観測されているというニュースがありましたが、さらに別の方式で活動していることが確認されています。
どういった動きなのでしょうか。
- 入口
今回の攻撃の始まりは電子書籍です。
以前のViperSoftXは、クラックソフトウェアでした。
有償のソフトウェアは正しいライセンスを入手して利用するものですが、それを回避することができると謳ったソフトウェアを装っていました。
今回はこの始まりの部分が変更されています。 - 電子書籍のダウンロード
正規の電子書籍がダウンロードできるように配置してあると見えるような方法で悪意あるコンテンツがWebサイトで公開されています。
これを被害者はダウンロードします。
クラックソフトウェアを入り口に使用する場合とはターゲットとする人物像が異なるように思えます。 - RAR
RARはアーカイブファイルです。
ダウンロードした書籍はRAR形式になっています。
ダウンロードした人は入手した電子書籍を閲覧するため、このアーカイブを展開します。 - RARの中身
中身はダウンロードした人の期待するものではありません。
隠しフォルダー、無害なPDFのように見える巧妙なショートカットファイル、PowerShellスクリプト、AutoIt.exe、AutoItスクリプトなどが入っています。
しかし、アーカイブを展開した人にはそんないろいろなものが入っているようには見えません。
PowerShellスクリプト、AutoIt.exe、AutoItスクリプトなどのファイルは、ファイル名としてはJPGファイルの状態に設定されています。
しかし中身は画像ファイルではない、という具合です。
巧妙にJPGファイルを装ったファイルの詰め合わせになっているのです。 - 攻撃開始
アーカイブを開いてPDFに見えるショートカットファイルを開くと攻撃開始です。
まずはショートカットから、JPGに偽装されたPowerShellスクリプトが起動されます。
そしてこのスクリプトは攻撃環境を整え、準備が整うとショートカットファイルは削除されます。
削除は攻撃内容を解析されることへの抵抗の意味もあるのでしょう。 - 解析の困難化
AutoItスクリプトによって攻撃コードが実行されますが、このスクリプトは難読化されています。
そしてこのAutoItスクリプトからは新たにPowerShellコマンドが起動されます。
AutoItそのものには.NETの共通言語ランタイムのサポートがないのですが、込み入った攻撃内容を実行しようとするとこの機能は重要になってきます。
ここをカバーするものとしてAutoItに利用されているのがPowerShellコマンドという図式になっているのです。
こういった構造は解析の困難さをあげてしまうことにも繋がっています。 - 目的の実行
ViperSoftXの目的は情報の取得です。
この部分は以前の活動から変わっていません。
環境にある各種情報を収集して持ち出します。
暗号資産のウォレット情報などがそのターゲットとなっています。
ViperSoftXを全体としてみる場合、スクラッチで作成された構造になっていません。
既存の攻撃的なセキュリティスクリプトを悪意ある行動に適合したものを見つけてきて組み合わせて利用することで機能を実現します。
これは開発速度の向上につながります。
また、PowerShellの機能を使う点に関しても、単独でPowerShellの機能を実行するような動きを採用するのではなく、AutoItを経由してさらに共通言語ランタイムを経由して実行することでセキュリティ対策ソフトウェアによる回避をより難しいものにしています。
いくつもの回避のための機構が練りこまれているといえます。
ViperSoftXは変化していっています。
防御側の私たちも継続的な改善が必要ということなのかもしれません。
The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution
https://www.trellix.com/blogs/research/the-mechanics-of-vipersofts-exploiting-autoit-and-clr-for-stealthy-powershell-execution/
| この記事をシェア |
|
|---|
