偽のSlackダウンロードが攻撃者に隠しデスクトップを提供
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Slackに偽装した悪意あるインストーラーが、ユーザーを欺くためにタイポスクワッティングドメインを介して配布されています。実行されると、正規のSlackアプリケーションとともに、コマンドアンドコントロールサーバーに接続し、暗号化されたHVNCペイロードを取得して注入する秘密のローダーをインストールします。 explorer.exe。このマルウェアは目に見えないデスクトップセッションを作成し、攻撃者が被害者に気づかれることなく、侵害されたマシン上でブラウズ、操作、および行動することを可能にします。この手法は、Slackブランドが個人および企業ユーザーの両方から広く信頼されている環境で特に危険です。
調査
研究者はインストーラーを展開し、2つの一時ファイルを発見しました: slack.tmp、これは正規のSquirrelアップデートパッケージを含んでおり、 svc.tmp、これは悪意のあるローダーとして機能しました。分析により、ローダーが実行レジストリキーを通じて永続性を確立し、実行時にWindows APIを動的に解決し、暗号化されたDLLをダウンロードして、 wmiprvse_*.tmpとして保存し、セクションベースのインジェクションを使用してそれを読み込むことが判明しました。調査員はまた、TCPポート8081を介してコマンドアンドコントロールサーバーとの外部通信も観察しました。デバッガーの検出やサンドボックスのタイミングチェックなど、追加の分析回避ロジックも存在しました。 explorer.exe. Investigators also observed outbound communication with a command-and-control server over TCP port 8081. Additional anti-analysis logic was present, including debugger detection and sandbox timing checks.
対策
ユーザーはSlackを公式の slack.com ウェブサイトまたは信頼された保存リンクからのみダウンロードし、インストーラーを実行する前にデジタル署名を確認するべきです。組織は、既知の悪意あるドメインや疑わしい実行ファイルをブロックできるリアルタイム保護を有効にするべきです。防衛者は、ポート8081の予期しないアウトバウンドトラフィック、見慣れない実行レジストリエントリ、信頼されたアプリケーションに関連する異常な子プロセスを監視するべきです。行動ベースの検出は、攻撃者が完全なインタラクティブアクセスを取得する前に、隠されたデスクトップセッションやHVNC関連の活動を特定するのに役立ちます。
対応
この活動が検出された場合、ネットワークから影響を受けたエンドポイントを直ちに隔離し、悪意あるローダーとHVNC関連のプロセスを終了し、実行レジストリキーから永続化メカニズムを削除してください。完全なマルウェアスキャンを実行し、関連するすべての悪意あるドメインとIPアドレスを環境全体でブロックしてください。侵害されたマシンで使用されたすべての資格情報は、クリーンなデバイスからリセットするべきです。セキュリティチームは、さらに調査および範囲の特定をサポートするための法医学アーティファクトを収集するべきです。
攻撃フロー
検出
別名データストリーム(ADS)が作成された可能性があります(via file_event)
表示
永続ポイントの可能性 [ASEPs – Software/NTUSER Hive](via registry_event)
表示
IOCs(HashSha256)による検出:偽のSlackダウンロードが攻撃者に隠れたデスクトップを提供しています
表示
IOCs(SourceIP)による検出:偽のSlackダウンロードが攻撃者に隠れたデスクトップを提供しています
表示
IOCs(DestinationIP)による検出:偽のSlackダウンロードが攻撃者に隠れたデスクトップを提供しています
表示
Explorer.exeへのセクションベースのインジェクションの検出 [Windows Sysmon]
表示
偽のSlackインストーラーが隠しデスクトップセッションを作成 [Windows Process Creation]
表示
シミュレーション実行
前提条件:テレメトリーとベースラインのプリフライトチェックが完了していること。
根拠:このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の説明とコマンド:
- 初期アクセス – 攻撃者はtrojanizedインストーラーを提供します
slack-4-49-81.exeをフィッシングメールで送信します。 - 実行 – 被害者はファイルを実行し、隠しローダーを抽出します
svc.tmpto%TEMP%. - 隠しデスクトップの作成(T1564.003) –
svc.tmpを呼び出しますCreateProcessをSW_HIDEで、リモートアクセスツールをホストする隠しデスクトップセッションを生成します。 - 永続性(T1547.013 & T1546.016) – ローダーはCOMサーバーを登録し、スタートアップフォルダに配置されたショートカットを通じて自動開始され、再起動時に実行されるようにします。
- 潜在的なルートキットインストール(T1014) – 管理権限が与えられた場合、
svc.tmpルートキットドライバーを%SystemRoot%System32driversmaldrv.sys.
- 初期アクセス – 攻撃者はtrojanizedインストーラーを提供します
-
回帰テストスクリプト: このスクリプトは、無害なバイナリ(のコピーを使用した
notepad.exe)でステップ2–4を再現し、ルールが監視する正確なファイル名を保存します。# ------------------------------------------------- # 回帰テスト – 偽のSlackインストーラーシミュレーション # ------------------------------------------------- # 1. 偽のバイナリの準備(無害なnotepad.exeを使用) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. インストーラーの実行 – この操作で検出ルールが発動します Write-Host "[*] 偽のインストーラーを起動しています..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. 隠しデスクトップの作成をシミュレート(ローダー) Write-Host "[*] 隠しローダーを開始しています..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. 永続化をエミュレートするため、スタートアップフォルダにショートカットを作成 $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Hidden $shortcut.Save() Write-Host "[+] シミュレーションが完了しました。SIEMで'slack-4-49-81.exe' または 'svc.tmp'で終わるイメージのイベントを確認してください。" -
クリーンアップコマンド: テストアーティファクトおよび作成されたショートカットを削除します。
# クリーンアップスクリプト – 同じユーザーコンテキストで実行 $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップが完了しました。"