無料変換ソフトウェア – クリーンなシステムを数秒で感染に変換

概要

正当なサイトでのマルバタイジングキャンペーンは、一見無害そうに見える偽の“コンバータ”ユーティリティを押し進め、バックグラウンドで持続的なリモートアクセス型マルウェアをインストールします。実行されると、インストーラーは通常、バックドアコンポーネントを%LocalAppData%にドロップし、起動するためのスケジュールされたタスクを作成し、攻撃者が再起動の間もアクセスを保持できるようにします。この操作は、ドメインの回転セット、コード署名された（ただし悪意のある）バイナリ、そして単純なHTTPベースのコマンド＆コントロールワークフローに依存しています。ディフェンダーは、異常なスケジュールされたタスクの作成、ユーザー書き込み可能パスからの疑わしい実行、特定のC2インフラストラクチャへのアウトバウンドトラフィックに対して検出を優先できます。

調査

研究者たちは、悪意のあるGoogle広告からpokemoninfinitefusion.net、convertyfileapp.com、conmateapp.comといったなりすましドメインにホストされたランディングページへの感染経路を再構築しました。そして最終的にファイナルペイロードを配信します。配信されたバイナリは.NET実行ファイルで、盗まれた証明書で署名されており、%LocalAppData%からUpdateRetriever.exeを実行するスケジュールされたタスクを作成することで永続性を確保します。テレメトリは、マルウェアが定期的にconfetly.comに接触し、アップデートや指示を取得していることを示しています。また、アナリストは関連するファイルシステムや設定アーティファクトを検証しました。それには、id.txtマーカーやバックドアをアクティブに保つために使用されるスケジュールされたタスク定義も含まれます。

緩和策

スケジュールされたタスクの作成(Security Event ID 4698)およびレジストリ変更テレメトリ(例: Sysmon Event ID 13)のロギングを有効化し、運用化します。AppLockerやWDACを使用して%LocalAppData%からのプロセス起動をブロックまたは厳密に制御し、ユーザー書き込み可能なディレクトリを指すスケジュールされたタスクにアラートを出します。疑わしいまたは新しく観察されたコード署名証明書を高リスクとして扱い、可能であれば取り消しまたはブロックし、既知の悪意のあるインフラストラクチャに対するドメイン制御を追加します。ネットワーク層では、confetly.comおよび関連URLパターンへのアウトバウンドHTTPアクティビティの検出を展開し、可能な場合にはユーザーのワークステーションからインターネットへの直接トラフィックを防ぐことを検討してください。

対応策

疑わしいスケジュールされたタスクが検出された場合、または%LocalAppData%から実行可能ファイルが観察された場合、エンドポイントを隔離し、証拠(タスクXML、ドロップされたバイナリ、関連するプロキシ/DNSログ)を保存します。command-and-controlを中断するために、confetly.comおよび関連するインフラストラクチャを即座にブロックしてください。悪意のあるスケジュールされたタスクを削除し、ペイロードのアーティファクトを一掃し、二次持続性が残っていないことを確認するために完全なエンドポイントの修復を実行します。最後に、追加の影響を受けたシステムの範囲を決定するために、同じ指標(タスク名/パス、UpdateRetriever.exe、id.txt、およびリストされたドメイン)のエンタープライズ全体での調査を実施してください。

シミュレーション実行

前提条件: テレメトリとベースラインのプリフライト チェックが完了している必要があります。

理由: このセクションは、検出ルールをトリガーするために設計された対策技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPに直接関連しており、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

• 攻撃の概要とコマンド:
  ローカルシステムへのアクセスを既に取得している攻撃者は、再起動を越えて持続性を維持したいと考えています。彼らは、Windowsスケジューラのレジストリ バックエンドを利用することに決定します。これは、新しい実行ファイルを作成することなく、探索できる「地元で生きる」メソッドであるためです。Using reg.exeを使用して、次の下に直接新しいタスク定義を追加します: TaskCacheTasks ハイブにマルウェアのペイロードを保持する %LocalAppData%へ。この書き込みは、次の対象と一致するSysmonイベント13を生成します。 RegistryPath このルールのセレクターに一致するパスの一致を引き起こし、警告が発生します。

• リグレッションテストスクリプト:

  # -------------------------------------------------------------------------
  # PowerShellスクリプトT1547.014 / T1574.014をシミュレートするためのスケジュールされたタスクの持続性
  # -------------------------------------------------------------------------
  
  # 変数
  $taskGuid = [guid]::NewGuid().ToString("B").ToUpper()   # 例えば {A1B2C3D4-...}
  $payload  = "$env:LOCALAPPDATAmalwareevil.exe"
  $regPath  = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid"
  
  # ペイロード ディレクトリが存在することを確認します (シミュレート)
  New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null
  # (実際の攻撃では、悪意あるバイナリがここから削除されました)
  
  # 登録キーのスケジュールされたタスクを作成します
  New-Item -Path $regPath -Force | Out-Null
  
  # 最低限の必要な値を提供します (タスクXMLは遥かに大きくなりますが、単純に保ちます)
  New-ItemProperty -Path $regPath -Name "Path"          -Value $payload -PropertyType String -Force | Out-Null
  New-ItemProperty -Path $regPath -Name "Id"            -Value $taskGuid -PropertyType String -Force | Out-Null
  New-ItemProperty -Path $regPath -Name "SecurityDescriptor"
      -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null
  
  Write-Host "[+] レジスタリタスクが書き込まれた $regPath – 検出ルールが発生する必要があります。"

• クリーンアップコマンド:

  # 悪意あるスケジュールされたタスクのレジストリエントリを削除
  $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id
  $regPath  = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid"
  Remove-Item -Path $regPath -Recurse -Force
  
  # ダミーペイロードをオプションで削除
  Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force
  Write-Host "[+] クリーンアップ完了。"