概要:
急速に進歩するテクノロジー環境において、サイバー脅威の攻撃者はますます巧妙化し、複雑な攻撃チェーンと悪意のあるアプリケーションを駆使しています。彼らは綿密に計画し、明確に定義された戦略的な攻撃を段階的に実行します。典型的なマルウェア攻撃は、複数の感染フェーズで構成されています。このプロセスは段階的に展開され、最終的に悪意のあるコアペイロードの起動へと繋がります。これらの段階は、マルウェア対策の回避を試みるだけでなく、システム内に潜伏し、多くの場合、次の行動に移るまで一定期間休眠状態を保つことを目指しています。攻撃の初期段階では、最終的なペイロードをシステムに埋め込むことに主眼が置かれています。
最終的なペイロードは、よく知られたマルウェアファミリーの亜種であることが多いです。しかし、初期段階は驚くほど同じままです。これは、同じマルウェアファミリーの異なる亜種だけでなく、他の亜種にも当てはまります。最近では、有名なInfoStealerであるAgentTeslaの最終ペイロードを配信するための標準的な方法として、バットローダーが登場しています。
バットローダーは、実行されるとシステム内でさらなる悪意のある活動を実行するバッチファイルです。ランサムウェア、RAT、クリプトジャッカーといった他のマルウェアファミリーの拡散にも、同じバットローダーが利用されていることが確認されています。
初期段階では、さまざまな フィッシング詐欺 被害者を騙してローダーまたはダウンローダーをダウンロードさせる。ローダーは悪意のあるペイロードが埋め込まれた有害なソフトウェアであり、ダウンローダーはコマンドアンドコントロール(CnC)サーバーからペイロードを直接取得するプログラムである。このプロセスの複雑さは、脅威アクターがどの程度の難易度を狙うかによって異なる。 マルウェア アナリストと研究者がサンプルを分析する。
ここでは、メモリにexeファイルをロードするバットローダーの展開プロセスについて説明します。説明を簡潔にするため、AgentTeslaに焦点を当てますが、前述の他のマルウェアファミリーにも同じアプローチが適用されることに注意してください。
テクニカル分析:
図1: 感染連鎖
最初のステップでは、多くの場合、被害者を騙して悪意のあるファイルを実行させます。これは、ユーザーが好奇心からファイルを開いた場合や、その他の誘導手法によって実行される場合があります。場合によっては、脅威アクターがシステムの脆弱性を悪用してこの最初のステップを回避することもあります。
この場合、batファイルは悪意のあるサンプルであり、前述のいずれかの方法でユーザーが実行する必要があります。このbatファイルを解析したところ、高度に難読化されていることがわかりました。
図2: 難読化されたBATファイル
図3: 難読化されたBATファイル
ファイルの難読化を解除すると、以下の結果が得られます。
図4: 難読化解除されたBatスクリプト
上記のバッチ スクリプトは、powershell.exe 実行可能ファイルを %temp%\Lroxmuu.png で指定された場所にコピーするとともに、現在のバッチ ファイルを %temp%\Lroxmuu.png.bat で指定された場所にコピーします。
このコマンドは、PowerShell にカスタム パラメータ -win を使用してスクリプトまたはコマンドを実行するように指示し、引数として Base64 でエンコードされた文字列を想定します。
base64 でエンコードされた文字列をデコードしてみましょう。
図5: Base64でデコードされた文字列
ここでさらにいくつかの PowerShell スクリプトを観察します。
このスクリプトは、現在実行中のバッチ スクリプトの Base64 でエンコードされたソースから動的なコードの読み込みと実行を実行しているようです。「-last 1」は、バッチ スクリプト内に存在する最後の Base64 でエンコードされた文字列を使用することを示します。
このスクリプトは、メモリにロードされる前に以下の手順を実行します。
- base64デコード
- GZIP解凍
- 出力の反転
以下はバッチ スクリプトの最後にある base64 でエンコードされた文字列です。
図6: Batスクリプトの末尾のBase64文字列
ペイロードを抽出には、上記の Powershell スクリプトで説明したのと同じ手順に従います。
図7: Base64デコード
上記の base64 デコード出力 (gzip 圧縮) のファイルタイプを検証します。
図8: ファイルタイプの検証
上記の出力を解凍します。
図9: GZIP解凍
上記のPowerShellスクリプトによると、これを逆順にする必要があります。また、出力も逆順にする必要があるため、ファイルの末尾をチェックしてファイルタイプを識別しようとします。
図10: 反転したPEサンプルの六角形
これはPEファイルのようです。ファイルを逆順にしてみましょう。
図11: ドットネット実行ファイル
そして、私たちは.NET実行ファイルを発見しました。このファイルはプロセスに挿入され、マルウェアファミリーの種類に応じてデバイスへの感染へと進みます。多くの場合、この実行ファイルはコマンドアンドコントロール(CnC)サーバーとの接続を確立し、別のペイロードを取得します。この最終的なペイロードが最終的にマシンに感染します。しかしながら、追加のペイロードをダウンロードすることなく、この実行ファイルが直接マシンに感染する事例も確認されています。
この特定のケースでは、マルウェアは AgentTesla の亜種であり、InfoStealer のカテゴリに分類されます。
まとめ:
最近の事例では、このバットローダーがAgentTeslaのインジェクションに利用されているのが確認されています。しかし、このマルウェア系統に限ったことではありません。このバットローダーは、他のマルウェアファミリーのインジェクションにも頻繁に利用されていることが観察されています。コードには若干の違いがあるかもしれませんが、その根底にある手法は驚くほど一貫しています。これは、この特定のバットローダーが悪意のある活動において高い適応性と広範な利用性を持っていることを示しています。主な類似点は以下のとおりです。
- PowerShell を system32 から .bat/png.exe という新しい名前にコピーする Bat ファイル
- 同じbatスクリプトを利用するために、最後からexeを削除します
- 難読化されたPowerShellスクリプトが抽出され、batスクリプトから実行されます。
- PowerShellスクリプトは、batから難読化されたペイロードを見つけます
- Base64 ペイロードをデコードする
- ファイルを解凍する
- 最終ペイロードを反転する
- ドットネットファイルが観察される
多少の差異はあるものの、通常は以下の手順で実行されます。当初、このバットローダーはOneNoteの添付ファイルを介してQuasarRATやAsyncRATなどのマルウェアを拡散するために使用されていました。しかし、Malloxランサムウェア、AgentTesla、Cryptojackerの拡散にも使用された事例も確認されています。基本的に、このバットローダーは多段階攻撃を組織化するためのツールとして機能し、最終的なペイロードを確実に配信して悪意のある攻撃を実行させます。
どのように SEQRITE 顧客を保護する?
BatLoader.Trojan.48264.GC
Bat.AgentTesla.48158.GC
Bat.Mallox.48121.GC
IOC:
764250ddf94b90441193fe1c29754f231e0868d1878fdf3150e5744dd8d8c378
d71cdb791f3f58bd064fb840488f7e708d707b1d39e70fbe5c597f7fbcc0699e
fa78bb7d250a3893f188e5e7651070a20dd690fc6647020d5d399874e71c8e88
184eaf1cfa3460a8fe544c6d3d253c18ac50ba18acb718d6a2707e25400a5eab
108e07174511fa58ece920149d6b2f26f386b33f5e54bfbbb758b9c3b6cae362
24f3f9ada9ef84eb3bb749de500e43c85640d8c0140ebe6d7573520f61bfe5f7
7af0a77161be52ad53fdb2ae9a06cbd9eaf8d59be43c642901efcbb5c03d30e3
5158b0a023299c1922423a065b9825fd1769f1a87ffd2031375a0e893d523318
