フォローする 
概要
無料の背景削除サービスを装う悪意のあるウェブサイトが、多段階のマルウェアフレームワークであるCastleLoaderを提供します。実行されると、このローダーはNetSupport RATをインストールし、ブラウザの資格情報、暗号通貨ウォレットデータ、Telegramセッション情報を抽出するためのカスタム.NETスティーラーを使用します。マルウェアは、カスタムプロトコルとChaCha20暗号化に依存する暗号化チャネルを通じてコマンドアンドコントロールインフラストラクチャと通信します。このキャンペーンでは、プロセスホローイング、APCインジェクション、ならびに悪用を含む複数の回避技術も採用しています。 ReplaceTextW, 検出を削減し、実行を維持するために。
調査
研究者は、攻撃を偽の「私はロボットではありません」プロンプトを通じて被害者のクリップボードにコピーされた最初のペイロードに遡りました。その後、 finger.exe を使用してリモートサーバーからコマンドを取得しました。さらに詳細な分析では、追加のマルウェアコンポーネントをダウンロードするPythonベースの独自インタープリターチェーン、RC4で保護されたカスタムシェルコードローダー、および直接 NtAllocateVirtualMemory を呼び出す反射型PEローダーが明らかになりました。調査官は、CastleLoaderがコマンドアンドコントロールサーバーから暗号化されたタスクを取得し、それをメモリ内で復号化し、いくつかの異なる実行方法を通じて後続のペイロードを起動することを発見しました。
緩和策
Defenderは、 finger.exe and regsvr32.exeのような不必要なWindowsユーティリティの実行をブロックし、AppLockerや同等のアプリケーション制御ポリシーを施行し、信用できないドメインや特殊なポートへの外部通信を制限するべきです。また、組織は可能であれば運用上、実行ダイアログへのアクセスを制限し、 ReplaceTextW の不審な使用や珍しいCOMオブジェクトの活動を監視することを考慮するべきです。ブラウザの強化は、DPAPIベースの資格情報盗難への露出を減らすのに役立ち、暗号通貨ウォレット拡張機能を最新の状態に保つことは、ウォレットの侵害リスクを軽減できます。
対応
セキュリティチームは、特徴的なクリップボードコマンドを検出し、識別されたコマンドアンドコントロールドメインへのトラフィックを監視し、マルウェアのカスタムユーザーエージェント文字列を探すことでCastleLoaderを探知するべきです。また、 %ProgramData% の下で作成されたスケジュールされたタスクを確認し、関連するミューテックスの値を検索するべきです。感染が確認された場合、影響を受けたホストを隔離し、活動中のNetSupport RATプロセスを終了し、悪意のあるファイルを %ProgramData% and %LocalAppData%.
にドロップされたものを削除してください。
攻撃フロー
検出
持続性ポイントの可能性 [ASEPs – ソフトウェア/NTUSERハイブ] (レジストリイベントを通じて)
ビュー
コマンドラインにおける可能性のあるClickFix攻撃パターン(cmdline経由)
ビュー
疑わしいtaskkillの実行 (cmdline経由)
ビュー
疑わしい明示的COMSPEC使用法 (プロセス作成経由)
ビュー
リモートシステムの検出または接続性チェックの可能性 (cmdline経由)
ビュー
疑わしいディレクトリからのNetSupport Managerバイナリの実行試行の可能性 (プロセス作成経由)
ビュー
疑わしいCURL使用 (cmdline経由)
ビュー
自動起動位置における疑わしいバイナリ / スクリプト (ファイルイベント経由)
ビュー
IOC (HashSha256): ClickFix は背景を削除しますが、マルウェアを残します
ビュー
IOC (SourceIP): ClickFix は背景を削除しますが、マルウェアを残します
ビュー
IOC (DestinationIP): ClickFix は背景を削除しますが、マルウェアを残します
ビュー
finger.exe のRC4またはAES-CBC暗号化の悪用の検出 [Windows ネットワーク接続]
ビュー
レジストリ経由のCastleLoader実行とPowerShellを用いたプロセスホローイング [Windowsプロセス作成]
ビュー
シミュレーション実行
事前条件: テレメトリーとベースラインの事前フライトチェックが合格している必要があります。
理由: このセクションでは、検出ルールを触発するために設計された敵対者技術 (TTP) の正確な実行を詳述します。コマンドと説明は、識別されたTTPを直接的に反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の説明とコマンド:
低特権アカウントを既に侵害した敵対者が、サイン済みのWindowsバイナリ(finger.exe)を使用してカスタム暗号化ペイロードの実行を隠すことを望んでいます。指定された暗号を示す文字列「RC4」(または「AES-CBC」を含むように作成された引数とともにバイナリを呼び出します。バイナリは署名されているため、Windows AppLockerやその他のホワイトリスティングソリューションによってブロックされる可能性は低いため、コマンドラインキーワードがSigmaルールの 暗号化 条件を満たします。 -
回帰テストスクリプト:
# ------------------------------------------------------------ # RC4暗号化を使用したfinger.exeの悪用のシミュレーション # ------------------------------------------------------------ # finger.exeがPATHにあることを確認するか、フルパスを指定してください。 $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exeが$fingerPathに見つかりません" exit 1 } # キーワードRC4を含むコマンドラインを作成する $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "悪意のあるコマンドを実行しています: $maliciousCmd" Invoke-Expression $maliciousCmd # オプション: SIEMの取り込みを待つためにスリープ Start-Sleep -Seconds 5 -
クリーンアップコマンド:
# 残存するfinger.exeプロセスを終了 Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "クリーンアップ完了。"