Curly COMradesは、脅威アクターです。
以前から活動が観測されている脅威アクターなのですが、ここのところ活発な活動があることが確認されています。
内容を見てみましょう。
- こっそりVMを使う
Curly COMradesは侵害先の活動拠点として持ち込んだ小さなVMを使用します。
持ち込み先の環境はWindowsなのですが、このWindowsのWSL(Windows Subsystem for Linux)を使用します。
しかも、こっそりと、だんだんに侵害を進めます。
Hyper-V仮想化機能を勝手に有効化する、数日待つ、実害がないコマンドを侵害先で実行しコマンド実行が可能であることを検証する、環境をチェックする、VMを構成するファイルをアーカイブしたものを持ち込み現地で展開する、WSL環境に持ち込んだVMをインポートする、持ち込んだVMを起動する、というプロセスを長い時間をかけて実行するのです。
持ち込んだVMの名称はWSLという文字になっています。
いかにも紛らわしい、それらしい名前にしてみた、というところなのでしょう。 - 小さなVMを静かに使う
VMのなかに攻撃に利用する機構を含めて持ち込むという手法そのものは過去から存在しています。
今回の例で持ち込んだVMは、Apline Linuxをベースとしたものでした。
もともとAlpine Linuxは普通に利用しても最小インストールサイズが約130MBくらいしかない小さなものです。
しかし、これをWSL上で考える場合さらに小さく、Microsoft StoreからインストールできるWSL版のミニルートファイルシステム版は、2.6MB程度というサイズです。
この小さな環境に攻撃ツールを混ぜて持ち込まれてしまうと、気がつくことは簡単ではなさそうです。 - 通信を混ぜ込む
VMはVMの中で活動しているだけではできる悪事は限られてしまいます。
VMのなかの悪意あるコードはVMの外側に出てきます。
その外に出てくる通信を目立たなくする工夫も含まれていました。
攻撃者の用意したVMはHyper-Vのデフォルトスイッチネットワークアダプタを使用するように構成されています。
この設定により、VMのトラフィックはHyper-Vの内部ネットワークアドレス変換(NAT)サービスを使用してホストのネットワークスタックを経由してルーティングされます。
これにより、すべての悪意のあるアウトバウンド通信は、正規のホストマシンのIPアドレスから発信されているように見えます。 - CurlyShellとCurlCat
持ち込んだVMのなかにある主たる攻撃ツールはCurlyShellとCurlCatです。
それぞれHTTPSを使用するリバースシェルとSSHリバースプロキシトンネルです。
これらのツールを使って脅威アクターは侵害先にあるVMを操作します。
いずれも通信内容は暗号化されていますので、通信の内容を環境側から取得して攻撃の通信であると特定することは難しいでしょう。
この攻撃活動では勝手にHyper-V仮想化機能が有効にされていましたが、その管理インターフェイスは無効化された状態にされていました。
これも利用者が問題に気がつくことが難しくなる原因の一つとなっていると思われます。
この脅威は、始まってしまうと問題に気がつくことは容易ではなさそうです。
蟻の一穴、天下の破れ。
どんなに堅固に築いた堤でも、蟻が掘って開けた小さな穴が原因となって崩落することがあります。
環境を健全な状態に保つことができるよう、身の回りのパッチケイデンスをキープしていきましょう。
Curly COMrades: Evasion and Persistence via Hidden Hyper-V Virtual Machines
https://businessinsights.bitdefender.com/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
