Dohdoorは、新しく確認されたマルウェアにつけられた名前です。
名前が示す通りこのマルウェアはDoHを悪用します。
DoHはDNS over HTTPSで、DNS(Domain Name System)問い合わせをリモートから行う際、問い合わせを暗号化した状態で実施できるプロトコルです。
中間者攻撃によるDNSデータの盗聴や改ざん、ユーザの機密データの不正利用を防ぐことができます。
このDoHが悪用されて攻撃に使用されています。
想定した効果が攻撃者にとって有利に作用するものとなってしまっています。
Dohdoorはどのように動作するのでしょうか。
- 始まりはフィッシング
入口は他の多くのマルウェア感染と同じで、フィッシングからだと考えられています。
フィッシングで受け取ったスクリプトが実行されることで多段階の感染プロセスが開始されます。 - 1段目:PowerShellスクリプト
被害者の手元に届けられたPowerShellスクリプトが実行されることが1段階目となります。 - 2段目:Windowsバッチスクリプト
実行されたPowerShellスクリプトは内部に記載のURLにアクセスし、リモートステージングサーバからWindowsバッチスクリプトをダウンロードして実行します。
そして追加のコンポーネントをダウンロードし、Dohdoorバックドアをインストールする悪意のあるファイルをサイドロードできる状態に設置します。
なお、この段階の機構は、マルウェアを設置するだけでなく、マルウェアを設置する際に実施した自身の活動の履歴を破棄し、調査を難航させる機構も搭載しています。
アンチフォレンジック機能搭載です。 - 最終段目:Dohdoor
再度ロードされて動作を開始するのがDohdoorです。
感染場所に元からある正規のWindows実行ファイルにサイドロードされて動作します。
起動されると、DohdoorはDNS-over-HTTPS(DoH)を用いて、CloudflareのDNSサービス内のコマンドアンドコントロール(C2)ドメインを解決します。
DNSを利用した攻撃ですが、その様子はDoHで暗号化されているため、その中で実施されている内容は外側で確認することはできません。
解決されたIPアドレスを利用して、Cloudflareのエッジネットワークと通信するためのHTTPSトンネルを確立します。
このトンネルは、隠蔽されたC2インフラストラクチャの入り口として効果的に機能します。
その後、Dohdoorは被害者の環境へのバックドアアクセスを作成し、脅威アクターが次の段階のペイロードを被害者の機器のメモリに直接ダウンロードし、Cobalt Strike Beaconペイロードを正当なWindowsプロセス内で実行できるようにします。
一般に使われているCloudflareへの通信にしか見えないものでC2を構成し、脅威アクターの用意した追加モジュールが現地で利用できるようになったのです。
脅威アクターはCobalt Strikeの機能を使って現地で横展開することが可能でしょうし、必要となれば別モジュールを現地に持ち込んで使用することもできるということになります。
スパイ活動でもランサムウェアの展開でも、脅威アクターの思う活動が実施できる環境が実現できるものと考えられます。
始まりはよくあるフィッシングということになりますが、始まってしまうと容易に検出できない方法で脅威環境を構築されてしまいます。
また注意が必要なマルウェアが増えてしまいました。
New Dohdoor malware campaign targets education and health care
https://blog.talosintelligence.com/new-dohdoor-malware-campaign/
| この記事をシェア |
|
|---|
