フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Cisco Talosは、CloudZリモートアクセス型トロイの木馬とPhenoというカスタムプラグインを展開した侵入を特定しました。この活動は、モバイルデバイスと同期するためにMicrosoft Phone Linkに依存するWindows 10および11システムを標的としています。ワークステーション上のPhone Linkブリッジを悪用することで、攻撃者はSMSコンテンツおよびワンタイムパスワードメッセージに携帯電話上にマルウェアを直接置くことなくアクセスできます。感染チェーンは、Rustベースのドロッパー、.NETローダー、スケジュールタスクでの永続性、およびいくつかのペイロード送信方法を使用します。
調査
Talosは、侵入の起点を確認し、偽のScreenConnectアップデートがRustでコンパイルされたローダー systemupdates.exe or Windows-interactive-update.exeを配信したものであることを突き止めました。このローダーは.NETコンポーネントを復号化してドロップし、その後、スケジュールされたタスクを介してCloudZ RATをインストールし、 regasm.exeを起動します。インストール後、CloudZはステージングサーバーからPhenoプラグインを取得し、Phone Link SQLiteデータベースに保存されたデータにアクセスします。調査官は、IPアドレス 185.196.10.136 のほか、キャンペーンに関連する複数の悪意のあるドメインを含むコマンド&コントロールインフラストラクチャも確認しました。
緩和策
Cisco Talosは、ClamAV検出として Win.Packed.Msilheracles and Win.Trojan.CloudZRAT、およびSnortルール 66408–66410 and 301492が脅威を識別するのに役立つと述べています。既知の悪意のあるドメインとIPアドレスをブロックし、 ProgramDataのような場所からの署名されていないバイナリの実行を制限することで、ローダーチェーンを停止できます。組織はまた、Microsoft Phone Linkを無効化するか、厳密に監視することで露出を減らし、スケジュールタスクの作成と実行に対して最小特権を行使することができます。
対応策
この活動が検出された場合、影響を受けたホストを直ちに隔離し、フォレンジック分析のためにメモリとディスクイメージを収集してください。調査官は、 SystemWindowsApis のスケジュールタスクおよびCloudZ関連のバイナリの存在を確認し、それらをシステムから削除してください。識別されたコマンド&コントロールインフラストラクチャをブロックし、特にOTPベースの認証が傍受された可能性がある場合は、公開された可能性のある認証情報をリセットしてください。より広範なシステムレビューでは、他の永続性メソッドを調べ、 PowerShell and regasm.exe の活動を監査して関連する悪用がないか確認する必要があります。
"graph TB %% Class definitions classDef technique fill:#ffe699 %% Node definitions step1_user_exec["<b>Technique</b> – <b>T1204.002 User Execution: Malicious File</b><br/><b>Description</b>: User is tricked into running a malicious executable masquerading as a fake ScreenConnect update."] class step1_user_exec technique step2_persistence["<b>Technique</b> – <b>T1218.009 System Binary Proxy Execution: Regsvcs/Regasm</b><br/><b>Description</b>: Malicious code is executed via regsvcs or regasm through a scheduled task, leveraging trusted .NET binaries."] class step2_persistence technique step3_obfuscation["<b>Technique</b> – <b>T1027 Obfuscated Files or Information</b><br/><b>Description</b>: Payload is packed with ConfuserEx and XORu2011encrypted to hide its true functionality."] class step3_obfuscation technique step4_dynamic_api["<b>Technique</b> – <b>T1027.007 Dynamic API Resolution</b><br/><b>Description</b>: At runtime the malware resolves required APIs, checking for analysis tools to avoid static detection."] class step4_dynamic_api technique step5_indicator_removal["<b>Technique</b> – <b>T1027.005 Indicator Removal from Tools</b><br/><b>Description</b>: The code aborts execution if security utilities are detected, removing any observable indicators."] class step5_indicator_removal technique step6_reflective_load["<b>Technique</b> – <b>T1620 Reflective Code Loading</b><br/><b>Description</b>: .NET payload is loaded directly into memory reflectively, leaving no file on disk."] class step6_reflective_load technique step7_process_discovery["<b>Technique</b> – <b>T1057 Process Discovery</b><br/><b>Description</b>: Malware enumerates running processes to locate and possibly disable security tools."] class step7_process_discovery technique step8_browser_creds["<b>Technique</b> – <b>T1555.003 Credentials from Web Browsers</b><br/><b>Description</b>: Stored browser passwords are extracted and prepared for exfiltration."] class step8_browser_creds technique step9_steal_cookie["<b>Technique</b> – <b>T1539 Steal Web Session Cookie</b><br/><b>Description</b>: Active web session cookies are captured from the browser."] class step9_steal_cookie technique step10_use_cookie["<b>Technique</b> – <b>T1550.004 Use Alternate Authentication Material: Web Session Cookie</b><br/><b>Description</b>: Stolen cookies are reused to authenticate to target web services."] class step10_use_cookie technique step11_browser_info["<b>Technique</b> – <b>T1217 Browser Information Discovery</b><br/><b>Description</b>: Additional browser data and OTP messages are gathered for further abuse."] class step11_browser_info technique step12_bits_jobs["<b>Technique</b> – <b>T1197 BITS Jobs</b><br/><b>Description</b>: BITS jobs download extra malicious plugins using bitsadmin, curl, or PowerShell."] class step12_bits_jobs technique step13_exfil_encrypted["<b>Technique</b> – <b>T1048.002 Exfiltration Over Asymmetric Encrypted Nonu2011C2 Protocol</b><br/><b>Description</b>: Collected data is sent out over an encrypted TCP socket that is not part of a standard C2 channel."] class step13_exfil_encrypted technique step14_c2_web["<b>Technique</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/><b>Description</b>: Command and control traffic uses HTTP/S with rotating useru2011agents and antiu2011caching headers."] class step14_c2_web technique %% Connections step1_user_exec –>|leads_to| step2_persistence step2_persistence –>|leads_to| step3_obfuscation step3_obfuscation –>|leads_to| step4_dynamic_api step4_dynamic_api –>|leads_to| step5_indicator_removal step5_indicator_removal –>|leads_to| step6_reflective_load step6_reflective_load –>|leads_to| step7_process_discovery step7_process_discovery –>|leads_to| step8_browser_creds step8_browser_creds –>|leads_to| step9_steal_cookie step9_steal_cookie –>|leads_to| step10_use_cookie step10_use_cookie –>|leads_to| step11_browser_info step11_browser_info –>|leads_to| step12_bits_jobs step12_bits_jobs –>|leads_to| step13_exfil_encrypted step13_exfil_encrypted –>|leads_to| step14_c2_web "
攻撃フロー
検出
Powershell を使用したダウンロードまたはアップロード (cmdline 経由)
表示
LOLBAS Schtasks (cmdline 経由)
表示
LOLBAS Bitsadmin (cmdline 経由)
表示
疑わしいCURL使用 (cmdline 経由)
表示
Cloudflare開発ドメインの悪用の可能性 (dns経由)
表示
CloudZ RAT感染におけるスケジュールタスクの実行とプロセスクエリの検出 [Windows Powershell]
表示
レガサム.exeを使用した.NETローダーの永続性に関する検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリー & ベースラインの事前チェックが合格している必要があります。
合理性:このセクションは、検出ルールをトリガーするために設計された敵対的技術 (TTP) の正確な実行を詳述しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックに期待される正確なテレメトリーを生成することを目指します。
-
攻撃の説明とコマンド:
攻撃者は、低特権ユーザーアカウントを侵害し、CloudZ .NETローダーがアクティブであることを確認しながら永続性を確立しようとしています。彼らは:- スケジュールされたタスクを作成し、 PowerShellスクリプトを起動します (
C:Tempcloudz.ps1). - タスクを即座に実行して、 スクリプトが実行されることを確認します。
schtasks /runスクリプト内で、 - すべてのプロセスを列挙します を使用して.NETローダーの存在をテストします。 Get‑CimInstance Win32_Process
Get‑CimInstance Win32_ProcessPowerShellプロセスと、 - コマンドの両方が、規則が監視する正確な文字列を含むSysmon EventID 1レコードを生成し、アラートが発生します。
コマンドの両方が、規則が監視する正確な文字列を含むSysmon EventID 1レコードを生成し、アラートが発生します。回帰テストスクリプト:コマンドラインフィールド
- スケジュールされたタスクを作成し、 PowerShellスクリプトを起動します (
-
回帰テストスクリプト:
#------------------------------------------------- # CloudZスタイルの持続性と検証スクリプト #------------------------------------------------- $taskName = "CloudZ_Persistence" $scriptPath = "C:Tempcloudz.ps1" # 1️⃣ プロセスを列挙するPowerShellペイロードを作成 @" # CloudZペイロード – プロセス列挙 Get-CimInstance Win32_Process | Out-Null "@ | Set-Content -Path $scriptPath -Encoding ASCII # 2️⃣ ペイロードを実行するスケジュールタスクを登録 $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$scriptPath`"" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Force # 3️⃣ タスクを即座に実行 (schtasks /runを生成) schtasks /run /tn "$taskName" # 4️⃣ ログ記録のための短い休止 Start-Sleep -Seconds 5 -
クリーンアップコマンド:
# スケジュールされたタスクを削除 Unregister-ScheduledTask -TaskName "CloudZ_Persistence" -Confirm:$false # ペイロードスクリプトを削除 Remove-Item -Path "C:Tempcloudz.ps1" -Force # 必要に応じてSysmonを停止(元の設定を復元) # & "$env:ProgramFilesSysinternalsSysmon.exe" -u