フォローする 
概要
最近のキャンペーンでは、Gh0stリモートアクセス型トロイの木馬とCloverPlusアドウェアコンポーネントが一緒に配信されます。そのローダーは2つの暗号化されたリソースを隠し、ランダムに選ばれた位置に書き込んでRATを起動します rundll32.exe。マルウェアは、いくつかの持続的手法をトークン操作、DNSハイジャック、キー記録と組み合わせて、長期間にわたってアクセスを維持しつつ、クリック詐欺による収益を生成します。その正当なWindowsバイナリの使用と層状の難読化は検出をさらに困難にします。
調査
Splunk脅威研究はローダーをリバースエンジニアリングし、埋め込みのGh0st RAT DLLとCloverPlusアドウェアモジュールが含まれていることを確認しました。行動分析では、トークン特権の昇格、VMwareベースの環境のレジストリチェック、デッドドロップリゾルバーの使用、pingベースの休止遅延、DNSスプーフィング、およびWindowsレジストリに根ざした複数の持続的手法を明らかにしました。調査では、不自然な rundll32.exe 実行、ペイロードの起動元 %temp%、および感染連鎖に関連する特定のレジストリ修正を含む指標も文書化されました。
緩和策
防御者は、 rundll32.exe 異常な拡張子を持つファイルの読み込みや非標準ディレクトリからのコンテンツの実行に注意を払うべきです。セキュリティチームはまた、 RemoteAccess ルーターマネージャーレジストリエントリの作成やRunキーに対する不審な変更をブロックまたは警告するべきです。ネットワーク制御は、特定されたデッドドロップリゾルバーURLへのアクセスを制限し、マルウェアの回避に関連するpingベースの休止動作にフラグを立てるべきです。アプリケーション制御ポリシーは、許可されていないDLLの読み込みを防止することでリスクをさらに低減します。
対応策
この活動が検出された場合は、影響を受けたホストを隔離し、揮発性証拠と疑わしいDLLを収集し、ハッシュベースの照会を行って脅威を確認します。持続性のために使用される悪意のあるレジストリエントリやサービスを削除してください。露出した資格情報、特にRDP使用に関連するものをリセットし、DNS設定やホストファイルを未承認の変更に対して調査します。その後、追加のバックドアや二次ペイロードが残っていないことを確認するための完全なフォレンジックレビューを実施するべきです。
“graph TB
%% Class definitions
classDef action fill:#99ccff
classDef tool fill:#ffcc99
classDef malware fill:#ff9999
classDef process fill:#ccccff
classDef technique fill:#eeeeee
classDef operator fill:#ff9900
%% Nodes u2013 Step 1 Loader Execution
tool_wiseman[“Tool – Name: wiseman.exe
Description: Loader that decrypts embedded payloads (Gh0st RAT DLL and CloverPlus adware).”]
class tool_wiseman tool
action_loader[“Action – Loader Execution”]
class action_loader action
tech_reflective[“Technique – T1620 Reflective Code Loading
Loads code into memory without writing it to disk.”]
class tech_reflective technique
tech_obfuscate[“Technique – T1027.009 Obfuscated Files or Information: Embedded Payloads
Payloads are encrypted/obfuscated inside the loader.”]
class tech_obfuscate technique
%% Connections u2013 Step 1
tool_wiseman –>|executes| action_loader
action_loader –>|uses| tech_reflective
action_loader –>|uses| tech_obfuscate
%% Nodes u2013 Step 2 Write DLL and launch via rundll32
process_write_dll[“Process – Write DLL to random folder in C:WindowsSystem32″]
class process_write_dll process
malware_gh0st[“Malware – Gh0st RAT DLL”]
class malware_gh0st malware
tool_rundll32[“Tool – rundll32.exe
Purpose: Executes DLLs as if they were executables”]
class tool_rundll32 tool
%% Connections u2013 Step 2
action_loader –>|writes| process_write_dll
process_write_dll –>|contains| malware_gh0st
malware_gh0st –>|launched by| tool_rundll32
%% Nodes u2013 Step 3 Token Manipulation
tech_token[“Technique – T1134.002 Access Token Manipulation: Create Process with Token
Enables SeDebugPrivilege for later operations.”]
class tech_token technique
%% Connection u2013 Step 3
action_loader –>|modifies token| tech_token
%% Nodes u2013 Step 4 Process Discovery of DNS service
tech_proc_discovery[“Technique – T1057 Process Discovery
Enumerates running processes, identifies DNS service (port 53).”]
class tech_proc_discovery technique
tech_win_window[“Technique – T1010 Application Window Discovery
Collects window titles to aid process identification.”]
class tech_win_window technique
%% Connection u2013 Step 4
tech_token –>|performs| tech_proc_discovery
tech_proc_discovery –>|supplements| tech_win_window
%% Nodes u2013 Step 5 Terminate DNS and delete file
tech_process_injection[“Technique – T1055.003 Process Injection: Thread Execution Hijacking
Hijacks DNS process thread to terminate it.”]
class tech_process_injection technique
tech_masquerade[“Technique – T1036.009 Masquerading: Break Process Trees
Creates a fake process hierarchy to hide malicious activity.”]
class tech_masquerade technique
tech_file_deletion[“Technique – T1070.004 File Deletion
Deletes the original DNS executable file after termination.”]
class tech_file_deletion technique
%% Connections u2013 Step 5
tech_proc_discovery –>|targets| tech_process_injection
tech_process_injection –>|accompanies| tech_masquerade
tech_masquerade –>|leads to| tech_file_deletion
%% Nodes u2013 Step 6 Virtual Machine Discovery
tech_vm_discovery[“Technique – T1673 Virtual Machine Discovery
Queries VMware registry key to detect analysis environment.”]
class tech_vm_discovery technique
%% Connection u2013 Step 6
tech_token –>|checks| tech_vm_discovery
%% Nodes u2013 Step 7 Deadu2011Drop Resolver
tool_ping[“Tool – ping.exe
Use: Introduces delay before further actions.”]
class tool_ping tool
tech_dead_drop[“Technique – T1102.001 Web Service: Dead Drop Resolver
Downloads a web page from a malicious URL to obtain C2 address.”]
class tech_dead_drop technique
%% Connection u2013 Step 7
tech_vm_discovery –>|if VM detected| tech_dead_drop
tech_dead_drop –>|uses| tool_ping
%% Nodes u2013 Step 8 Delay Execution
tech_delay[“Technique – T1678 Delay Execution
Uses ping -n to wait before executing payload.”]
class tech_delay technique
%% Connection u2013 Step 8
tool_ping –>|implements| tech_delay
%% Nodes u2013 Step 9 Hosts file modification and DNS spoofing
tech_hosts_mod[“Technique – T1568.002 Email Spoofing (repurposed for DNS spoofing)
Modifies hosts file and crafts spoofed DNS responses to block security domains.”]
class tech_hosts_mod technique
%% Connection u2013 Step 9
tech_delay –>|modifies| tech_hosts_mod
%% Nodes u2013 Step 10 Flush DNS cache
action_flush_dns[“Action – Flush DNS Cache
Executes ipconfig /flushdns to ensure malicious entries take effect.”]
class action_flush_dns action
%% Connection u2013 Step 10
tech_hosts_mod –>|followed by| action_flush_dns
%% Nodes u2013 Step 11 Collect hardware identifiers
tech_snmp_dump[“Technique – T1602.001 Data from Configuration Repository: SNMP (MIB Dump)
Collects hardware IDs such as MAC address.”]
class tech_snmp_dump technique
tech_net_config[“Technique – T1602.002 Data from Configuration Repository: Network Device Configuration Dump
Collects hardu2011drive serial number.”]
class tech_net_config technique
%% Connections u2013 Step 11
action_flush_dns –>|collects| tech_snmp_dump
action_flush_dns –>|collects| tech_net_config
%% Nodes u2013 Step 12 Persistence via service and Run key
tech_service_creation[“Technique – T1543.003 Create or Modify System Process: Windows Service
Creates a new Windows service that points to the malicious DLL.”]
class tech_service_creation technique
tech_run_key[“Technique – T1547.001 Registry Run Keys/Startup Folder
Writes a Run registry entry referencing the malicious DLL.”]
class tech_run_key technique
%% Connections u2013 Step 12
tech_snmp_dump –>|enables| tech_service_creation
tech_snmp_dump –>|enables| tech_run_key
%% Nodes u2013 Step 13 Hijack Execution Flow via Service Registry
tech_hijack_service[“Technique – T1574.011 Hijack Execution Flow: Services Registry Permissions Weakness
Registers DLL under RemoteAccessRouterManagersIp (DllPath) and restarts service for autou2011execution.”]
class tech_hijack_service technique
%% Connection u2013 Step 13
tech_service_creation –>|uses| tech_hijack_service
tech_run_key –>|also uses| tech_hijack_service
%% Operators for logical grouping (optional)
op_and1(("AND"))
class op_and1 operator
%% Example logical flow grouping
action_loader –>|leads to| op_and1
op_and1 –>|continues with| tech_proc_discovery
“
攻撃フロー
検出
継続的持続ポイントの可能性(ASEPs – Software/NTUSER Hive)(via registry_event)
表示
システムネットワーク構成の発見の可能性 (via cmdline)
表示
Rundll32 DLLの不審なパス実行 (via process_creation)
表示
遅延実行のためのPING使用の可能性 (via cmdline)
表示
IOCs (HashSha256) を用いた検出: 単なる迷惑広告ではない: Gh0st RATを提供するアドウェアバンドル
表示