Castle RAT クライアント マルウェア: 戦術、技術、および取引の専門技術

サマリー

CastleRATは2025年3月に初めて観察されたリモートアクセス型トロイの木馬であり、PythonとコンパイルされたCバリアントの両方で出荷されています。システムのメタデータ、キーストローク、クリップボードの内容、スクリーンショット、メディアデバイスの詳細を収集し、RC4暗号化を使用してC2サーバーにこの情報を流出させます。マルウェアは追加のペイロードを取得し、rundll32を介してそれらを起動し、スケジュールされたタスクとUAC（ユーザーアカウント制御）バイパス方法を通じて永続性を確立できます。

調査

Splunkの脅威研究チームはPythonとCの実装をリバースエンジニアリングし、システムディスカバリ、キーロギング、スクリーンキャプチャ、オーディオ/ビデオデバイスの列挙、デッドドロップリゾルバー、権限昇格のためのハンドル複製を含むMITRE ATT&CK技術にその動作をマッピングしました。調査は、CastleRATが正当なWindowsバイナリ（rundll32, ComputerDefaults.exe）に依存していること、および公開IPアドレスを取得するためにwww.ip-api.comを使用していることを強調しました。

緩和策

防御者は、見慣れないドメインへの不審なアウトバウンド接続、RC4で暗号化されたトラフィックパターン、序数に基づくDLLロードを使用したrundll32の実行を検出する必要があります。CastleRATを起動するために作成されたスケジュールされたタスク、ComputerDefaults.exeを利用したUACバイパスの試み、ミュートオーディオブラウザーフラグで起動されるプロセスを監視してください。悪用されたSteamコミュニティページなど、既知のデッドドロップリゾルバーの場所へのアクセスをブロックします。

対応

CastleRATアクティビティが特定された場合、影響を受けたホストを隔離し、悪意のあるプロセスを終了し、関連するスケジュールされたタスクや永続性のアーティファクトを削除します。プロセス階層、コマンドライン引数、およびレジストリの変更などの法医学的証拠を収集します。追加のDLLプラグインとC2チャネルを包括的に追跡し、環境全体への修復および強化策を展開します。

シミュレーションの実行

前提条件：テレメトリとベースライン事前フライトチェックが合格している必要があります。

理由：このセクションでは、検出ルールをトリガーするように設計されたアドバサリの技術（TTP）の正確な実行を詳細に説明します。コマンドと物語はTTPに直接反映され、検出ロジックに期待されるテレメトリを生成することを目的とすべきです。抽象的または無関係な例は誤診につながります。

• 攻撃の物語とコマンド：

  1. ステージ1 – CastleRATバイナリの展開： 攻撃者はコピーを作成します CastleRAT.exe 犠牲者の %APPDATA% ディレクトリに配置してユーザーデータに溶け込ませます。
  2. ステージ2 – キーロギングの実行： 小さなC#インメモリローダーを使って攻撃者は SetWindowsHookEx を呼び出し、低レベルのキーボードフックをインストールし、Sysmonがプロセス作成イベントのCallTraceにAPIを記録するようにします。
  3. ステージ3 – 権限昇格： 同じローダーが次に DuplicateHandle を呼び出し、特権システムプロセス（例： lsass.exe ）からハンドルを複製し、マルウェアがSYSTEM権限で実行できるようにします。両方のAPI呼び出しがSysmonの同じCallTraceに現れ、検出ルールの基準を満たしています。

• 回帰テストスクリプト：

  # -------------------------------------------------
  # CastleRATシミュレーション – SetWindowsHookExとDuplicateHandleをトリガー
  # -------------------------------------------------
  $castlePath = "$env:APPDATACastleRAT.exe"
  
  # 1. 実際のペイロードをロードする最小スタブをドロップ（ここではシミュレート）
  $payload = @"
  using System;
  using System.Runtime.InteropServices;
  public class Loader {
      [DllImport("user32.dll")]
      public static extern IntPtr SetWindowsHookEx(int idHook, IntPtr lpfn, IntPtr hMod, uint dwThreadId);
      [DllImport("kernel32.dll", SetLastError = true)]
      public static extern bool DuplicateHandle(IntPtr hSourceProcessHandle,
                                                IntPtr hSourceHandle,
                                                IntPtr hTargetProcessHandle,
                                                out IntPtr lpTargetHandle,
                                                uint dwDesiredAccess,
                                                bool bInheritHandle,
                                                uint dwOptions);
      public static void Execute() {
          // 低レベルのキーボードフックをインストール（WH_KEYBOARD_LL = 13）
          SetWindowsHookEx(13, IntPtr.Zero, IntPtr.Zero, 0);
          // 現在のプロセスからハンドルを複製（シミュレート）
          IntPtr dupHandle;
          DuplicateHandle((IntPtr)-1, (IntPtr)0x1234, (IntPtr)-1, out dupHandle, 0, false, 0);
      }
  }

“@

# C#コードをその場でコンパイル
Add-Type -TypeDefinition $payload -Language CSharp

# 現在のPowerShellプロセス（CastleRAT.exeとして機能）をターゲットパスにコピー
Copy-Item -Path $PSCommandPath -Destination $castlePath -Force

# 悪意のあるペイロードを実行
[Loader]::Execute()

# プロセスを短時間生かして、Sysmonがコールスタックをログに記録できるようにする
Start-Sleep -Seconds 5

• クリーンアップコマンド：

  # シミュレートされたCastleRATバイナリを削除
  Remove-Item -Path "$env:APPDATACastleRAT.exe" -Force
  
  # オプションでフックをアンロード（スタブでは不要ですが完全性のために含めています）
  # 上記のNULLコールバックを使用しているSetWindowsHookEx呼び出しに対して明示的なアンロードは不要です。