LDAPNightmareは、2024年12月に対策がリリースされた脆弱性につけられた名前です。
これそのものは名前にあるようにLDAPに関連した脆弱性です。
CVE-2024-49113の番号で脆弱性の内容を確認することができます。
- CVE-2024-49113
LDAPサービスをクラッシュさせ、サービスの中断を引き起こす可能性があるサービス拒否 (DoS) の脆弱性。
PoCは概念実証です。
新たなアイデアやコンセプトの実現可能性、得られる効果などを検証することで、この例のように注目する事象が実際に成り立つかどうかを検証するコードが、その説明とともに作成されたり公開されたりします。
この公開の場所に特に利用されるものの一つはGitHubです。
GitHubでは実際に多くのPoCが公開されています。
今回、LDAPNightmareのPoCだということで公開されたリポジトリが、実は偽のPoCでエクスプロイトでした。
正しく言うと、もう少し違ったことになっていました。
セキュリティ研究者が公開した正当なLDAPNightmareのPoCがGitHubで公開されました。
そして、脅威アクターは、このPoCのフォークを公開したような状態になっていました。
正規のほうのリポジトリの内容は注目する脆弱性の概念を実証する内容となっているのですが、偽のリポジトリのほうの内容は概念実証ではありませんでした。
- PoCとして配布されているexe
オリジナルのPoCではPythonのコードが概念実証として作成されて公開されています。
しかし、偽のほうのリポジトリではこの概念実証部分がexeで公開されています。
ファイル名は「poc.exe」となっていました。 - exeの実行で感染
これを入手して実行すると、マルウェアに感染します。
このexeを実行すると、被害者の%Temp%フォルダーにPowerShellスクリプトがドロップされます。
このスクリプトは、侵害されたシステム上にスケジュールされたジョブを作成し、Pastebinから、さらに次の段階のスクリプトを取得するエンコードされたスクリプトを実行します。
最終ペイロードはインフォスティーラー型マルウェアでした。
コンピューター情報、プロセス リスト、ディレクトリリスト、IPアドレス、ネットワークアダプター情報、インストールされた更新プログラムといった情報を収集し、ハードコードされた資格情報を使用してZIPアーカイブ形式で外部FTPサーバにアップロードします。
概念実証では、その脆弱性が実際に脅威として作用するのかを確認することが目的ですので、しばしば公開形式としてスクリプト型言語が選択されたり、コンパイル型言語が選択される場合でもソースコードの状態で公開されたりします。
実行できる形式であれば手っ取り早く動作確認できるような気もしますが、exeはうれしくありません。
exeではその実証コードということになっている実行ファイルの中で、実際に何が実行されておるのかがわからないためです。
しかしこの偽のPoCは説明文とexeだけが公開されていました。
PoCコードを参照する利用者のうちの一定の割合の人は、内容を読むことよりも概念実証コードを実行したいユーザであると想定するためにこういった攻撃があるということなのでしょう。
このようにPoCを装った脅威の配布はよくある形式です。
多くは実際の概念実証コードの中に悪意あるコードを入手する機構を混ぜ込むタイプのものになっています。
しかし、この脅威の事例では、直接的にマルウェアを実行させる状態で公開されていました。
わたしはPoCのリポジトリを見ることを面白いと感じますが、実行してみることはありません。
あなたはPoCのリポジトリにどのように接していますか?
Information Stealer Masquerades as LDAPNightmare (CVE-2024-49113) PoC Exploit
https://www.trendmicro.com/en_us/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html
| この記事をシェア |
|
|---|
