アクアティックパンダ(アースルスカ):キャンペーン、マルウェア、TTP
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Aquatic Pandaは、中国に関連するAPTグループで、情報収集および産業スパイ活動に焦点を当てています。このグループはSprySOCKS、ShadowPad、BIOPASS RATを含む多様なマルウェア兵器を使用して重要な産業を標的にしています。活動にはLog4Shellのような脆弱性の悪用や、高度なルートキットを使用したステルス性の維持も含まれます。
調査
報告書は、Operation FishMedleyやVMware Horizonサーバーを含む複数のキャンペーンについて詳述しています。また、SprySOCKSバックドアの技術設計、特にカーネルモードのルートキット機能と永続性の特性についても検討しています。分析は初期アクセス、実行、および防御回避のためのグループの特定のTTPを分解して検証しています。
緩和策
組織は、シミュレーションとテストプラットフォームを使ってAquatic Pandaの既知の手法に対する防御を検証するべきです。主要な緩和策には、Log4jの脆弱性のパッチ適用が含まれます。 CVE-2021-44228 および、許可されていないスケジュールタスクや疑わしいWindowsサービスの変更を監視することが含まれます。DLLサイドローディングやプロセス注入活動を識別するための強力なエンドポイント検出も不可欠です。
対応
Aquatic Pandaの活動が検出された場合、レスポンダーはシステムをすぐに隔離して横移動を停止するべきです。調査は特にPrint ProcessorsやIFEO設定内の無許可のレジストリ変更に焦点を当てるべきです。フォレンジック分析は疑わしいプロセスからのメモリ収集とスケジュールタスクおよびWindowsサービスの監査を優先するべきです。
"フローチャート TD step_resource_development["リソース開発: ホモグリフドメイン登録とJNDI/Log4Shellツールの展開"] step_initial_access["初期アクセス: VMware HorizonのLog4j (CVE-2021-44228)を悪用"] step_execution["実行: PowerShellダウンロードクレードル、curl/wgetを使用したcmd/C、スケジュールタスク、Windowsサービス"] step_persistence["永続性: Windowsサービスの作成、スケジュールタスク、およびPrint Processor DLL登録"] step_privilege_escalation["特権昇格: IFEO注入とCreateProcessAsUserWによるアクセストークン操作"] step_defense_impairment["防御妨害: ICMPv6を使ったWindowsホストファイアウォールの変更"] step_credential_access["認証情報アクセス: LSASSメモリダンプ、SAM/SYSTEMハイブ盗難、ブラウザ認証情報の盗難、Password Filter DLL"] step_discovery["探索: サービス、プロセス、システム情報、ソフトウェアセキュリティ製品を列挙"] step_collection["収集: キーロギングとWinRARでのデータアーカイブ"] step_command_and_control["コマンド・コントロール: TCP/UDP/WebSockets with AES-128とWFP-based トラフィックシグナリング"] step_stealth["ステルス: カーネルモードルートキット (RawWNPF)、プロセス注入、DLLサイドローディング、サンドボックス回避"] rules_for_step_stealth("<b>ルール名</b>: 疑わしいプロセスパス (cmdline経由)<br/><b>ルールID</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["漏洩: C2またはDropbox (dbxcli) 経由のデータ転送"] step_resource_development –>|leads_to| step_initial_access step_initial_access –>|leads_to| step_execution step_execution –>|leads_to| step_persistence step_persistence –>|leads_to| step_privilege_escalation step_privilege_escalation –>|leads_to| step_defense_impairment step_defense_impairment –>|leads_to| step_credential_access step_credential_access –>|leads_to| step_discovery step_discovery –>|leads_to| step_collection step_collection –>|leads_to| step_command_and_control step_command_and_control –>|leads_to| step_stealth step_stealth –>|leads_to| step_exfiltration step_stealth -.->|detected_by| rules_for_step_stealth "
攻撃フロー
検出
浸透または漏洩のためのデータ圧縮の可能性 (cmdline経由)
表示
サービスの列挙の可能性 (cmdline経由)
表示
SAM/SYSTEM/SECURITYダンプの可能性 (cmdline経由)
表示
Comsvcs.dllを使用した認証情報ダンプの可能性 (cmdline経由)
表示
powershellを使用したcomsvcs.dllによる認証情報ダンプの可能性
表示
CLIによる疑わしいファイアウォールの変更 (cmdline経由)
表示
異常なシステムプロセスチェーン (プロセス作成経由)
表示
レジストリ悪用によるアクセシビリティ機能の可能性 (cmdline経由)
表示
永続性ポイントの可能性 [ASEPs – ソフトウェア/NTUSERハイブ] (レジストリイベント経由)
表示
永続性のための疑わしいサービス作成 (システム経由)
表示
珍しいプロセスによるサービスイメージ操作 (レジストリイベント経由)
表示
疑わしい実行ファイル/スクリプトの実行場所 [cmd.exe /C] (cmdline経由)
表示
PowerShell CommandLineからの疑わしい.NETクラス/メソッドの呼び出し (プロセス作成経由)
表示
Schtasksが疑わしいディレクトリ/バイナリ/スクリプトを指す (cmdline経由)
表示
疑わしいプロセスパス (cmdline経由)
表示
プロセスホローイングメモリアロケーション [Windows Sysmon]
表示
デバッギングハイジャックとPrint Processor永続性のためのレジストリ変更 [Windowsレジストリエベント]
表示
スケジュールタスクの作成とPowerShell悪質ダウンロード [Windowsプロセス作成]
表示
## シミュレーション実行
前提条件: テレメトリーとベースラインのプレフライトチェックを通過する必要があります。
根拠: このセクションは、検出ルールをトリガするためのアドバサリテクニック (TTP) の正確な実行を詳述します。コマンドと説明はTTPで識別されたものに直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診に繋がります。
-
攻撃のナラティブとコマンド: アドバサリは正当なプロセスコンテナ内に悪意のあるコードを隠すためにプロセスホローイングを実行しようとしています。現在の (弱いながらも) 検出トリガを試験するために、アドバサリは
powershell.exe特定のディレクトリからこれを打ち上げます。これは攻撃者が標準のシステムツールを使用してメモリ注入や認証情報収集などの悪意のある活動を開始するLiving-off-the-Land (LotL) 攻撃の初期段階をシミュレートします。目標はプロセス作成イベントであり、イメージフィールドに検出ロジックで定義されたようにバックスラッシュを含むことです。 -
回帰テストスクリプト:
# (弱い) 検出ロジックを満たすプロセス起動のシミュレーション # 標準ツールを用いた攻撃者セッション開始を模倣しています $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "実行中: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'シミュレーションアクティブ'" -
クリーンアップコマンド:
# 永続的な変更は行われていないため、このシミュレーションにはクリーンアップが必要ありません。 Write-Host "シミュレーションクリーンアップ完了。"