UAC-0226 のツール進化:WinRAR ADSから反射型GIFTEDCROOKのロードへ
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
UAC-0226 の脅威アクターは、WinRAR のパストラバーサルの脆弱性を利用し、NTFS 代替データストリームと組み合わせて、静かな永続性を確立する配信チェーンを改良しました。このキャンペーンは、多段階の PowerShell ローダーを利用して、GIFTEDCROOK として知られるヘッダーレスのリフレクティブ PE ペイロードをデプロイします。このマルウェアは、侵害されたシステムからブラウザの資格情報、VPN 設定データ、機密文書を収集するように設計されています。
調査
解析は、武装化された WinRAR アーカイブ、デコイ PDF、Windows のスタートアップフォルダに配置された隠し LNK ファイルを中心に構築された複雑な実行フローを分解しています。研究者は、カスタムな加算デコードルーチンと DLL を直接メモリにマッピングする高度なリフレクティブローダーを特定しました。テレメトリもまた、ローダーがカスタム 16 バイト構造を介して、実行状況をコマンドアンドコントロールサーバーに報告していることを示しています。
緩和策
組織は、すぐに WinRAR を更新してパストラバーサルの弱点に対処することを優先すべきです。厳格な PowerShell 実行ポリシーを強制し、異常な NTFS 代替データストリーム活動を監視することで、侵害の初期段階を妨害することができます。また、セキュリティチームは、スタートアップフォルダにドロップされた無許可のファイルや、 NtAllocateVirtualMemory.
応答
この活動が検出された場合、さらなるデータ流出を防ぐために、影響を受けたホストを即座に隔離してください。 C:ProgramData ディレクトリで、不審な拡張子のないファイルを調査し、ユーザーのスタートアップフォルダで無許可の LNK ショートカットを確認します。リフレクティブ DLL を特定するためにメモリフォレンジックを実施し、識別されたコマンドアンドコントロールインフラストラクチャとの通信をネットワークログでチェックすべきです。
攻撃フロー
シミュレーション実行
前提条件: テレメトリ & ベースラインの事前検査が合格している必要があります。
根拠: このセクションは、検出ルールを引き起こすと設計された敵の手法 (TTP) の正確な実行を詳細に説明しています。コマンドと記述は、特定された TTP を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例を用いると、誤診につながります。
-
攻撃の解説 & コマンド: 敵はスティーラーペイロードを展開することを目的としています。フットプリントを最小化し、ユーザーの操作を回避するために、ペイロードを
C:ProgramDataWC3にステージします。次に、PowerShell を “living-off-the-land” フラグをセットアップして、実行ポリシーを回避し、ウィンドウをユーザーから隠します。このコマンドは、UAC-0226 キャンペーンのリフレクティブローディングの動作を模倣するステージファイルを参照するコマンドを (Invoke-Expression) を使用して実行します。iex(Invoke-Expression) を使用して、ステージされたファイルを参考にするコマンドを実行します。 -
回帰テストスクリプト:
# 1. セットアップ: 検出ルールで使用される特定のディレクトリを作成 $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. パスの要件を満たすダミーペイロードファイルを作成 $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. 悪意のあるコマンドチェーンを実行 (これによりルールが発動するはずです) # 新しいプロセスとしてのコマンドラインを確保するために Start-Process を使用 Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] シミュレーションコマンドが実行されました。SIEM でアラートを確認してください。" -
クリーンアップ コマンド:
# シミュレーション中に作成されたディレクトリおよびダミーファイルを削除 Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。"