株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年08月07日 | ラックピープル

PowerShell Empireを利用した標的型攻撃

2017年7月20日、そして7月24日と立て続けにアメリカ学会より同組織を装った不審メールが
送信されていることが報告されました。(図1)
当社のサイバー救急センターの脅威分析チームが、この不審メールを調査したところ、この攻撃は、PowerShell Empireを利用した標的型攻撃の可能性があることが確認できました。
今回は、当該攻撃の調査結果を報告します。

アメリカ学会より報告された情報を元にVirusTotalやPassive Total等のサービスを利用して
検体を調査したところ、アメリカ学会から報告があったと思われる不審メールが確認できました。(図2)
このメールを確認すると、外部のストレージサービスからファイルをダウンロードさせ、別途送付されたパスワードで解凍させるという手口を利用しています。

図1アメリカ学会からの緊急不審メール情報
図1 アメリカ学会からの緊急不審メール情報
図2不審メール(一部抜粋)
図2 不審メール(一部抜粋)

図3は、外部のストレージサービスからファイル(日本語版アーミテージ・ナイ報告書.zip)をダウンロードしたものを7-Zipを利用してZipファイル内のファイルを確認したものです。赤枠線で囲ったように、LNKファイル(2017_富士山会合プログラム.txt.lnk)およびRTFファイル(より強固な同盟を目指して.rtf)の2つのファイルが含まれていることが確認できます。また、ファイルの作成および更新日時を見てみると、不審メールが送信された7月20日の前日の19日に作成されていることもわかります。

図3日本語版アーミテージ・ナイ報告書.zip内のファイル一覧
図3 日本語版アーミテージ・ナイ報告書.zip内のファイル一覧

それぞれのファイルを見ていきますと、まずLNKファイルについては、NotePadに紐づくWindowsショートカットファイルアイコンを持っていますが、中身はリンク先としてHTML Application (HTA)を実行する機能を持つmshta.exeがIPアドレス(80[.]209[.]252[.]70)を引数として指定されています。(図4)
このIPに接続すると、HTAファイルがダウンロードされ、mshta.exeを介して実行されます。(図5)
また、当該通信は、ポート443/TCPを利用しますが、HTTP 通信を利用していることが確認できます。

図4 2017_富士山会合プログラム.txt.lnkのメタ情報
図4 2017_富士山会合プログラム.txt.lnkのメタ情報
図580[.]209[.]252[.]70への通信
図5 80[.]209[.]252[.]70への通信

次に、RTFファイルについては、CVE-2017-0199の脆弱性を悪用する不正ファイル(図6)であり、ユーザがこの脆弱性の影響を受けるMicrosoft WordまたはWordPadでこのRTFファイルを閲覧すると、103[.]253[.]41[.]76からDoc1.rtfファイルをダウンロードし(*1)、意図せず実行してしまいます。このダウンロードされたDoc1.rtfは、RTFファイルではなく、HTAファイルであり、前述したLNKファイルがダウンロードするHTAファイルの内容とほぼ同じものとなります。

図6より強固な同盟を目指して.rtfを閲覧画面(リンク更新前後)
図6 より強固な同盟を目指して.rtfを閲覧画面(リンク更新前後)

以降では、LNKファイルからダウンロードされたHTAファイルについて見ていきます。HTAファイルは、図7に示す通り、VBScriptを利用して、PowerShellスクリプトを実行します。オプション「-enc」以降のPowerShellスクリプトはコードがエンコードされており、図8がデコードしたものです。デコードされたコードを眺めてみると、コードの書き方や実装、変数名などにいくつか特徴があることに気が付きます。

図7LNKファイルからダウンロードされたHTAファイル例
図7 LNKファイルからダウンロードされたHTAファイル例
図8デコードしたPowerShellスクリプト例
図8 デコードしたPowerShellスクリプト例

実はこのPowerShellスクリプトは、post-exploitation(*2)フレームワークであるPowerShell Empire で作成されたものです。PowerShell Empireは、主にペネトレーションテスト等で利用され、システムへ侵入後に利用する様々なモジュール(パスワードダンプやネットワーク探索等)が実装されています。Empireのlauncher stagerで作成されたPowerShellスクリプトは、暗号化方式が前のバージョンまでは、XORを利用していましたが、バージョン2.0(*3)からは、RC4が利用されるようになりました。今回のケースでは、図8の赤線枠で囲ったように、RC4が使われていることが確認できます。また、同じくバージョン2.0から実装された、Windows 10より実装される Antimalware Scan Interface (AMSI)機能を回避するコードも含まれています。

昨年頃から、PowerShell EmpireやPowerSploitなどのペネトレーションツールを流用または応用した攻撃事例を散見するようになりました。PowerShellスクリプトは、ファイルを端末上に保存せずに、メモリ上でコードを実行させることが可能であるため、ウイルス対策ソフト等で検出は難しく、今後も攻撃に悪用されるケースは増加すると考えられます。このため、PowerShellを使用していない場合は、AppLockerやソフトウェアの制限のポリシーなどを利用して、PowerShellの実行制限をご検討することを推奨します。また、HTAを攻撃に悪用する事例も増加しているため、併せてmshta.exeをAppLockerやソフトウェアの制限のポリシーなどで制限することも推奨します。

IOC(Indicator Of Compromised)

ハッシュ値

940dbe7278951bc5d1a98f00ad2aa246
7371d24fbdcd32660c38a715d7bf7a51
25dacaf77a7c4c0f5ea4ddafe83e1032
d3bbbdbedf42c498c3c1fabaa314a17b
48286a1b5e015544e760ea27f47dae22

通信先

80[.]209[.]252[.]70
103[.]253[.]41[.]76

(*1)接続先URL: hxxp://103[.]253[.]41[.]76:443/Doc1.rtf
(*2)エクスプロイトを成功後の振る舞い
(*3)http://www.harmj0y.net/blog/empire/the-empire-strikes-back/

  • cyber_banner_2017jpn.jpg

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top