SHOE RACKは、脅威アクターが侵入後に使用するマルウェアです。
どのようなものなのでしょうか。
- 標的環境
SHOE RACKは、FortiGate機器の環境で使用されていることが確認されています。
最初に発見されたのはFortiGate 100Dでした。 - 暗号化通信でC2サーバアドレスを取得
マルウェアは、動作時に連携して動作するC2サーバとの通信を行います。
かつてはC2サーバのアドレスがハードコーディングされたものもありましたが、攻撃者の利便性からDNSによる名前解決が利用されることが多くなっています。
しかし、通常のDNSを使う場合、その通信は平文で転送されます。
この場合、被害環境の通信内容が適切に運用監視されている場合には、問題の行動が検出されてしまうことになる場合があります。
このマルウェアの動作は、この部分に対策した内容となっています。
このマルウェアはC2サーバのアドレス入手にDNSを使うのが他のマルウェアと同じなのですが、その使用するプロトコルはDoHとなっています。
DOHはDNS over HTTPSの略で、DNSクエリをHTTPSプロトコルで暗号化して送信する仕組みです。
これを使用することでDNS通信は経路上で暗号化された状態となり、通常のネットワーク監視では内容を確認することはできなくなります。
また、DoHの接続先にdns.google.com(8.8.8.8)などの一般的に信頼して利用されているサーバ数台からランダムに選択して使用する動きを行うため、問題となる通信を実施していると検出することが困難な実装になっています。 - SSHを悪用したコントロール機能
マルウェアはC2と通信して活動を展開します。
この通信経路にSSHを使用します。
通常のSSHは、クライアントからサーバへと接続するものとなります。
このため、マルウェアからC2へのSSHが実施できることはネットワークのアクセス制御的に実施できたとしても、それはあくまでも通常はマルウェアからC2への方向のみとなります。
しかし、このマルウェアはその部分に手が加えられていました。
Channel type – session、Channel type – jump、Channel type – direct-tcpipと呼ぶ複数のSSHセッションを組み合わせて利用することによって、C2からマルウェアへの接続が実施できる環境を整えました。
これにより、脅威アクターはいつでもマルウェアの展開された環境へSSH接続し、マルウェアの設置された環境を踏み台として現地で活動することができるようになってしまいます。
この機構は単にインターネット側からマルウェアに感染した機器へと接続する目的だけでなく、侵害環境の組織内での横移動にも悪用できてしまうことができるようになっていて、実際そのように悪用されている事例も確認されてしまっています。
SHOE RACKは既存のオープンソースツールを改変して作成されたものだと考えられています。
どんなソフトウェアでも、何もないところから作成するのはそれなりに大変ですが、基にするものがあれば、期待する状態のものを作成するのは そんなに大変なことではないでしょう。
しかも、生成AIの利用の敷居が下がった現代においては、プログラミングの知識レベルが高くない場合でも、この改造を実現することは難しくないと考えられます。
脅威アクター側の敷居は、どんどんと低くなってきています。
防御側として取れる対策は、確実に継続することが必要です。
いつもの話です。
資産管理を徹底し、パッチケイデンスを保ちましょう。
Malware Tipper SHOE RACK
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/shoe-rack-tipper/ncsc-tip-shoe_rack.pdf
| この記事をシェア |
|
|---|
