Dragon Breathは、フィリピン、日本、台湾、シンガポール、香港、中国といった地域のユーザを標的とした攻撃でDLLサイドローディングを二重に悪用する手法を利用したキャンペーンを展開していることが確認されていた脅威アクターです。
あれは2023年頃の話でした。
このDragon Breathは、2020年頃から活動が確認されていて、時間の経過とともにいろいろと手を変えながら活動が継続されています。
最近のDragon Breathは、RONINGLOADERと命名されたマルチステージローダーを使用して、Gh0st RATと呼ばれるリモートアクセス型トロイの木馬の改変版を配信していることが確認されています。
- 多段階インストーラー
脅威の始まりは多段階インストーラーです。
NSISというWindowsインストーラを作成するツールで作られた悪意あるインストーラを使います。
被害者はまず入手したインストーラを実行します。
そうするとそのインストーラは、さらに別のNSISで作られた2つのインストーラを入手して実行開始します。
追加のインストーラのうちの1つは悪意あるコードは含まれていない状態で、無害な正規のソフトウェアをインストールします。
追加のインストーラのもう1つのほうが問題で、こちらが攻撃チェーンを開始します。 - 権限獲得
まず最初の仕事は権限の獲得です。
動作を開始したマルウェアはAPI を使用して管理者権限を持っているかどうかを確認します。
管理者権限がない場合、runasコマンドを使用して新しい昇格インスタンスを起動し、権限の昇格を試みます。 - セキュリティ対策の停止
活動を開始したマルウェアの次の仕事は、環境の非安全化です。
マルウェアはその内部に多くのアンチウイルスソフトのリストをもっています。
マルウェアは検出したセキュリティソフトを停止させるのですが、その方法は練られています。
プロセスの停止時にセキュリティソフトの管理サーバに停止する旨を通知する製品があることへの対応でしょうか、マルウェアはセキュリティソフトの停止を開始する前に環境のファイアウォール設定を変更し外部への通信ができない状態にします。
その状態で検出したセキュリティソフトの停止を実施し、停止完了後にファイアウォール設定を元に戻すのです。
セキュリティソフトの停止には、署名付きドライバを使用します。
なんと周到なことでしょう。 - シェルコードの挿入
活動できる状態となったマルウェアは、攻撃コードを環境に展開します。
マルウェアは内部のリストにある正規のサービスを順次起動することを試みます。
そのサービスには高い権限があらかじめ付与されているものが選択されています。
そして起動の成功したサービスプロセスに対し、スレッドプールを活用した方法で悪意あるコードを挿入します。
この手法は2023年に研究者によってPoCが公開されていたものです。 - Gh0st RATの設置
いろいろな手口を連携し、脅威アクターは環境にGh0st RATを設置します。
Gh0st RATは、リモートサーバーと通信して追加命令を取得し、Windowsレジストリキーの設定、Windowsイベントログの消去、指定されたURLからのファイルのダウンロードと実行、クリップボードデータの改ざん、「cmd.exe」経由のコマンド実行、「svchost.exe」へのシェルコードの挿入、ディスクにドロップされたペイロードの実行を行うように設計されています。
盛りだくさんです。
さらにこの亜種には、キーストローク取得、クリップボード内容取得、フォアグラウンドウィンドウのタイトル取得、といったモジュールも追加されています。
手口はどんどん変化していきます。
新しく確認された脆弱性の悪用だけでなく、以前から確認済みの攻撃手法や概念実証の内容を悪用してくることも少なくありません。
安全な運用を考える際にパッチ適用だけで乗り切れると期待することは難しいですが、適切なパッチ適用の維持は今もなお効果がある有効な対策といえます。
日々適切なパッチケイデンスを維持し、人の部分の強化も考えながら、安全を手に入れていきましょう。
RONINGLOADER: DragonBreath’s New Path to PPL Abuse
https://www.elastic.co/security-labs/roningloader
| この記事をシェア |
|
|---|
