フォローする 
概要
Dragon Boss Solutions によって署名された潜在的な不要アプリケーションは、合法的なアップデートワークフローを悪用して、MSI と PowerShell ペイロードを静かにダウンロードして実行し、アンチウイルス保護を無効にし、WMI イベント購読やタスクスケジューリングを通じて持続性を確保しました。アップデーターが誰でも取得可能な未登録ドメインと通信していたため、このソフトウェアは事実上、任意のコード配送のためのサプライチェーンの機会を生み出しました。研究者たちは2万5千以上のエンドポイントがこのインフラへアクセスしていたことを観察しており、その中にはいくつかの高価値セクターに属するシステムも含まれています。
調査
Huntress は WMI ベースの持続性のあるアーティファクトやタスクスケジュールの作成スパイクを発見し、その活動を RaceCarTwo.exe という名前の署名された実行可能ファイルに遡りました。このファイルが MSI インストーラーを起動し、 ClockRemoval.ps1という PowerShell スクリプトを抽出しました。このスクリプトは、アンチウイルスプロセスを終了し、AV アップデートドメインへのアクセスをブロックし、Microsoft Defender の除外を追加し、足場を維持するために繰り返し再インストールするものです。調査官たちはまた、 chromsterabrowser.comなどの未登録ドメインが主要なアップデートソースとして使用されていたことを発見し、これにより外部の誰かがこれらのドメインを登録し、自身のペイロードを配信できることを意味します。
緩和策
更なる悪用を防ぐために、研究チームは公開されたドメインを登録し、それらをスィンクホール化して悪意あるアップデート経路を実質的に遮断しました。また、関連する WMI イベント購読、タスクスケジューリング、レジストリの変更を文書化し、守勢側が影響を受けたコンポーネントを特定して除去できるようにしました。組織は、知られているドメインをブロックし、このキャンペーンに関連する特定のタスク名と WMI コンシューマー活動を監視すべきです。これにより、継続的な妥協のリスクが軽減されます。
対応
セキュリティチームは、 ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogonと RemoveClockPeriodicのようなスケジューリングされたタスクの作成を検出すべきです。WMI イベント購読には、 MbRemoval or MbSetupを含むアラートをトリガーする必要があります。守勢側は Dragon Boss Solutions によって署名された実行ファイルを監視し、WMILoad ディレクトリ内の存在を確認し、アンチウイルスベンダードメインをブロックするホストファイルのエントリーを確認し、影響を受けたシステム全体で予期しない Windows Defender の除外を調査するべきです。 ClockRemoval.ps1 in WMILoad directories, review hosts files for entries that block antivirus vendor domains, and investigate unexpected Windows Defender exclusions across impacted systems.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[“<b>技術</b> – T1210 リモートサービスの悪用<br/><b>説明</b>: カスタム更新メカニズムがリモートURLに接続し、悪意のあるMSIペイロードをダウンロードしてインストールする。”]:::technique tech_t1218_007[“<b>技術</b> – T1218.007 システムバイナリのプロキシ実行: Msiexec<br/><b>説明</b>: Msiexec.exeが悪意のあるMSIパッケージをサイレントにインストールするために使用される。”]:::technique tech_t1059_001[“<b>技術</b> – T1059.001 コマンドおよびスクリプトインタープリター: PowerShell<br/><b>説明</b>: PowerShellはClockRemovalスクリプトを実行し、セキュリティ製品を無効化しシステム設定を変更する。”]:::technique tech_t1546_003[“<b>技術</b> – T1546.003 イベント駆動型実行: WMIイベントサブスクリプション<br/><b>説明</b>: 永続的なWMIイベントサブスクリプションが新しいプロセス開始時に悪意のあるPowerShellスクリプトを実行する。”]:::technique tech_t1053[“<b>技術</b> – T1053 スケジュールタスク/ジョブ<br/><b>説明</b>: 永続性維持のために起動・ログオン・定期実行タスクが作成される。”]:::technique tech_t1489[“<b>技術</b> – T1489 サービス停止<br/><b>説明</b>: セキュリティサービスが停止および無効化される。”]:::technique tech_t1562[“<b>技術</b> – T1562 防御の無効化<br/><b>説明</b>: セキュリティプロセスの終了、更新ドメインのブロック、レジストリエントリの削除が行われる。”]:::technique tech_t1564_012[“<b>技術</b> – T1564.012 アーティファクトの隠蔽: ファイル/パス除外<br/><b>説明</b>: hostsファイルの変更とDefender除外設定が追加される。”]:::technique tech_t1070_004[“<b>技術</b> – T1070.004 指標削除: ファイル削除<br/><b>説明</b>: AVファイルとレジストリキーが削除される。”]:::technique %% Action and artifact nodes action_contact_domain[“<b>アクション</b> – 未登録ドメインへの接続<br/><b>ドメイン</b>: worldwidewebframework3.com”]:::action file_malicious_msi[“<b>ファイル</b> – 悪意のあるMSIペイロード”]:::file tool_msiexec[“<b>ツール</b> – Msiexec.exe”]:::tool script_clockremoval[“<b>プロセス</b> – ClockRemoval.ps1 (PowerShell)”]:::process persistence_wmi[“<b>アクション</b> – WMIイベントサブスクリプションの作成”]:::action persistence_schtask[“<b>アクション</b> – スケジュールタスクの登録”]:::action action_service_stop[“<b>アクション</b> – セキュリティサービスの停止と無効化”]:::action action_impair_defenses[“<b>アクション</b> – 防御の無効化”]:::action action_host_modification[“<b>アクション</b> – hosts変更とDefender除外追加”]:::action action_file_deletion[“<b>アクション</b> – AVファイルとレジストリキーの削除”]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
攻撃フロー
検出
疑わしいタスクキルの実行 (cmdline 経由)
表示
不審なディレクトリでファイルを実行して、バイパス実行ポリシーを使用する PowerShell (cmdline 経由)
表示
LOLBAS Schtasks (cmdline 経由)
表示
LOLBAS MsiExec スポーンシェル (cmdline 経由)
表示
IOC (HashSha256) を検出する: PUP が牙を生むとき: Dragon Boss Solutions が 25,000 以上のエンドポイントに空いたドアを残した
表示
Dragon Boss Solutions PowerShell 実行ポリシーの変更 [Windows Powershell]
表示
Dragon Boss Solutions LLC による悪意のある実行の検出 [Windows プロセス作成]
表示
シミュレーション実行
前提条件: テレメトリ & ベースライン事前フライトチェックに合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術 (TTP) の正確な実行について詳述します。コマンドおよび物語は、特定された TTP を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としなければなりません。
-
攻撃の物語 & コマンド:
敵は、Dragon Boss Solutions LLC によって正当に署名された RaceCarTwo.exe を取得しました。このバイナリの信頼されたステータスを活用して、アプリケーションホワイトリストを回避します。まず、悪意のある MSI (Setup.msi) をデプロイし、それに特権サービスを配置し、T1546.016 を達成するためのスケジュールされたタスクをインストールします。次に、PowerShell スクリプト ( T1546.016. Next, they execute a PowerShell script (ClockRemoval.ps1) を実行してエンドポイントの AV 製品を無効またはアンインストールし、T1059.001 を反映します。どちらのアクションも同じプロセスから実行され、検出ルールが正確なコマンドラインパターンを確認することを確実にします。 T1059.001. Both actions are performed from the same process, ensuring the detection rule sees the exact command‑line patterns.-
悪意のある MSI の展開:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
AV 無効化 PowerShell スクリプトの実行:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
回帰テストスクリプト:
以下のスクリプトは、Sigma ルールが予期する正確なテレメトリを再現するために、1 回の実行で 2 つのステップを自動化します。# ------------------------------------------------- # DragonBoss 悪意のある実行チェーンのシミュレーション # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. 悪意のある MSI をインストール Write-Host "[*] 悪意のある MSI (Setup.msi) を展開中…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. AV 無効化 PowerShell スクリプトを実行 Write-Host "[*] 同じバイナリで ClockRemoval.ps1 を実行中…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] シミュレーション完了。SIEM でアラートを確認してください。" -
クリーンアップコマンド:
シミュレーション中に作成されたアーティファクトを削除して、ホストを事前テスト状態に戻します。# ------------------------------------------------- # DragonBoss シミュレーション用のクリーンアップ # ------------------------------------------------- # インストールされた MSI 製品を削除する (実際の GUID に ProductCode を置き換える) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] 悪意のある MSI をアンインストール中…" msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI アンインストールに失敗したか、製品が存在しません。" } # MSI によってディスクに書き込まれた場合、PowerShell スクリプトを削除 $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] ClockRemoval.ps1 を削除中…" Remove-Item $scriptPath -Force } Write-Host "[+] クリーンアップ完了。"