Gitはいろいろな環境で利用されています。
Gitはソースコードやファイルの変更履歴を記録・管理するための分散型バージョン管理システムです。
LinuxなどのUNIX環境で利用されることもありますし、WindowsやmacOSなどの環境で使われることも多くあります。
ソースコードなどに利用できる分散型のバージョン管理システムですので、いろいろなところで動くわけです。
Windowsを開発環境のシステムとして利用している開発者であれば、GitとしてはGit for Windowsを使うことも多いのではないでしょうか。
これは様々なツールを組み合わせて実現しているツールとなっています。
このGit for Windowsの配布物の中の一つであるahost.exeというファイルの悪用が確認されています。
このahost.exeは、単独では利用しません。
通常はGit for Windowsの一部として明示的ではなく裏方としていつの間にか利用しているような形で利用します。
このファイルそのものは正規のツールとしてbuildされたものですので、正規の署名が付与された配布バイナリを容易に入手することができます。
残念なことに、このahost.exeではDLLサイドローディングが可能です。
このahost.exeは起動時にlibcares-2.dllを読み込もうとします。
このlibcares-2.dllはc-aresという名称で開発されているオープンソースのライブラリで、通常は非同期DNSルックアップ機能を利用するために読み込まれます。
これを悪用し、脅威アクターは、libcares-2.dllの名称で悪意あるバイナリを用意し、これを正規ツールのahost.exeをコピーして名称変更して配置した正規ファイルを実行することで呼び出そうとします。
実行されようとしているファイルに正規の署名がされている場合、そのexeは警告なく動作を開始することができます。
これにより、脅威アクターは利用者に特別なダイアログの警告を見せることなく、脅威アクターの用意した悪意あるDLLを読み込んで動作を開始させてしまうことができます。
動作が開始されてしまうと、あとは脅威アクターの思いのままです。
確認されている例では、ビジネス文書を装ったインフォスティーラー型マルウェア(AgentTesla、FormBook、Lumma Stealer、Vidar、CryptBot)や、リモートアクセス型トロイの木馬(RAT)(Remcos、QuasarRAT、DCRat、XWorm)などの一般的なマルウェアを拡散します。
このahost.exeは、そのままでは開かせにくいということなのか、様々な名称で脅威アクターが配布しています。
VirusTotalでみると、「~~~_PDF.exe」とか「order~~~.pdf.exe」とかそういった感じで、いかにもPDFドキュメントのように見えることを狙って配布されているようです。
出所のはっきりしないファイルを開くことはそもそも危険なわけですが、そのドキュメントに見えるものの近くになんらかのDLLが添えられているとき、それは開いてよいものなのかを考える必要がありそうです。
注意していきましょう。
Hiding in Plain Sight: Deconstructing the Multi-Actor DLL Sideloading Campaign abusing ahost.exe
https://www.trellix.com/en-au/blogs/research/hiding-in-plain-sight-multi-actor-ahost-exe-attacks/
| この記事をシェア |
|
|---|
