AsyncRATは .NET Frameworkでビルドされたリモートアクセス型トロイの木馬です。
このマルウェアは、Quick Tunnelsを使って多段階で活動を展開します。
どんな方法でやってくるのでしょうか。
- HTML
最初の段階は、悪意あるHTMLドキュメントから始まります。
HTMLには、特定のリモートロケーションからペイロードをダウンロードするための機構が用意されていて、これを悪用します。
この機能を使用して、LNKファイルを勝手にダウンロードします。
このダウンロードには、Cloudflareが無償で提供しているQuick Tunnelsが使用されます。 - LNK
次の活動はLNKファイルです。
侵害環境に取り込まれたLNKファイルをその環境の利用者がクリックします。
そうすると、いよいよ感染活動が開始されます。
PowerShellが起動し、さきほどと同じQuick TunnelsからBATファイルがダウンロードされます。 - BAT
次にBATファイルです。
このBATは高度に難読化されており、PowerShellを呼び出して別のバッチファイルとPythonパッケージをダウンロードします。
これらは攻撃ツールなのですが、それと一緒に無害なPDFもダウンロードして、これを画面に表示します。
これにより、先ほどのLNKファイルを開くと、PDFが表示されたような感じになります。 - Pythonスクリプト
侵害環境で動作を開始したPythonスクリプトはAsyncRATシェルコードを正規のプロセスのnotepad.exeに挿入します。
そして、永続化の仕組みも取り込んで設置します。
設置の完了したAsyncRATは、侵害環境で暗号化された通信をC2と確立し、システム内のデータや入力情報を盗みます。
Quick TunnelsはCloudflareのサービスで「trycloudflare.com」で提供されています。
これは、名前の示す通り、トンネルとして動作させることができるものになっています。
ngrokなどのようにローカルに立てたサーバをインターネット側からアクセスできるようにする目的で使用することができます。
こういったものが無償で利用できるようになっているのは、わかって利用する分には便利でよいのですが、使用するのはそのシステムの正規の利用者だけとは限らないということです。
脅威アクターもこういった便利なツールを使う方法を考えてきます。
検出の困難な脅威活動が次々に生まれてきています。
Tweaking AsyncRAT: Attackers Using Python and TryCloudflare to Deploy Malware
https://www.forcepoint.com/blog/x-labs/asyncrat-python-trycloudflare-malware
| この記事をシェア |
|
|---|
