フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
サプライチェーンの侵害が、バージョン 12.5.0.2421 から 12.5.0.2434のDAEMON Tools Liteインストーラーに影響を及ぼしました。改ざんされたインストーラーは悪意あるローダーを実行し、リモートインフラに接続し、追加のペイロードを取得し、最終的にはバックドアとQUICベースのRATをデプロイしました。このキャンペーンは100カ国以上で数千件の感染試行を引き起こし、より限定的な第二段階の作戦は選定された少数の被害者に向けられました。
調査
Kasperskyの研究者は、3つの修正されたバイナリ— DTHelper.exe, DiscSoftBusServiceLite.exe、および DTShellHlp.exe —を特定し、それらは悪意あるドメインに接続してcmd.exeでコマンドを実行しました。追跡ペイロードは cdg.tmpを含み、これらは軽量バックドアとQUIC RATをロードするために使用されました。テレメトリーは、この活動を小売業、科学研究、政府、および製造業の組織に関連付けました。 cdg.tmp, を含み、これらは軽量バックドアとQUIC RATをロードするために使用されました。テレメトリーは、この活動を小売業、科学研究、政府、および製造業の組織に関連付けました。、および cdg.tmp, which were used to load a lightweight backdoor and the QUIC RAT. Telemetry linked the activity to organizations in retail, scientific research, government, and manufacturing sectors.
対策
AVB Disc Softはバージョン 12.6.0.2445のクリーンビルドをリリースし、影響を受けるユーザーに対して、感染したLiteバージョンを削除し、システム全体のスキャンを実行してすぐにアップグレードするよう推奨しました。組織はDAEMON Toolsをインストールしているエンドポイントを隔離し、署名されたインストーラーの整合性を確認し、既知の悪意あるバイナリと関連するネットワークトラフィックを監視するべきです。
対応
防御者は、3つの感染した実行可能ファイルを探し、env-check.daemontools.ccへのアウトバウンドHTTPリクエストを監視し、予期しないペイロードの実行をブロックするべきです。エンドポイント検出ルールもバックドアの動作を特定するために更新されるべきであり、感染したシステムは直ちに隔離される必要があります。 env-check.daemontools.cc, and block execution of unexpected payloads such as cdg.tmp and を含み、これらは軽量バックドアとQUIC RATをロードするために使用されました。テレメトリーは、この活動を小売業、科学研究、政府、および製造業の組織に関連付けました。. Endpoint detection rules should also be updated to identify the backdoor’s behavior, and any infected systems should be quarantined without delay.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Node definitions initial_access_supply_chain["<b>初期アクセス</b> – <b>T1553.002 信頼制御のサブバージョン: コード署名</b><br/>敵対者はDAEMON Tools Liteインストーラーを侵害し、正規の証明書で署名しました。"] class initial_access_supply_chain action technique_compromise_binary["<b>技術</b> – <b>T1554 ホストソフトウェアバイナリの妥協</b><br/>トロイの木馬化されたバイナリDTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exeが配布されました。"] class technique_compromise_binary technique persistence_autostart["<b>持続性</b> – <b>T1547 ブートまたはログオン自動開始実行</b><br/>悪意あるバイナリが自動開始メカニズムを介してシステム起動時に実行されるよう設定されました。"] class persistence_autostart action persistence_startup_items["<b>技術</b> – <b>T1037.005 ブートまたはログオン初期化スクリプト: スタートアップアイテム</b><br/>スタートアップアイテムとしてインストールされました。"] class persistence_startup_items technique persistence_software_ext["<b>技術</b> – <b>T1176 ソフトウェア拡張機能</b><br/>持続性のためにソフトウェア拡張機能を使用。"] class persistence_software_ext technique execution_c2_resolution["<b>実行</b> – <b>T1568 動的な解決策</b><br/>インプラントはHTTP GETを介してenv-check.daemontools.ccに接触してコマンドを取得します。"] class execution_c2_resolution action execution_cmd["<b>技術</b> – <b>T1059.003 コマンドとスクリプトインタープリタ: Windowsコマンドシェル</b><br/>cmd.exeを使用してコマンドが実行されました。"] class execution_cmd technique execution_indirect["<b>技術</b> – <b>T1202 間接コマンド実行</b><br/>他のプロセスを介して間接的にコマンドが実行されました。"] class execution_indirect technique execution_payload_download["<b>技術</b> – <b>T1204.003 ユーザー実行: 悪意のあるイメージ</b><br/>追加のペイロードenvchk.exe、cdg.exe、cdg.tmpがダウンロードされました。"] class execution_payload_download technique defense_process_hollowing["<b>防御回避</b> – <b>T1055.012 プロセスインジェクション: プロセスハローイング</b><br/>バックドアはnotepad.exe、conhost.exeにコードを注入します。"] class defense_process_hollowing technique defense_reflective_loading["<b>技術</b> – <b>T1620 反射的コードローディング</b><br/>メモリ内でコードを実行するために反射的ローディングを使用します。"] class defense_reflective_loading technique defense_junk_code["<b>技術</b> – <b>T1027.016 難読化されたファイルまたは情報: ジャンクコード挿入</b><br/>解析を回避するためにジャンクコードを使用します。"] class defense_junk_code technique c2_multi_stage["<b>コマンドとコントロール</b> – <b>T1104 マルチステージチャンネル</b><br/>さらなるペイロードを取得するためにマルチステージチャンネルを使用します。"] class c2_multi_stage action c2_quic_rat["<b>マルウェア</b> – <b>T1219 リモートアクセスツール</b><br/>インタラクティブなリモートアクセスを提供するQUIC RATをドロップします。"] class c2_quic_rat malware lateral_taint_shared["<b>ラテラルムーブメント</b> – <b>T1080 共有コンテンツを汚染する</b><br/>バックドアは共有コンテンツを汚染して水平に拡散します。"] class lateral_taint_shared action %% Connections initial_access_supply_chain –>|使用| technique_compromise_binary technique_compromise_binary –>|有効化| persistence_autostart persistence_autostart –>|含む| persistence_startup_items persistence_autostart –>|含む| persistence_software_ext persistence_startup_items –>|に繋がる| execution_c2_resolution persistence_software_ext –>|に繋がる| execution_c2_resolution execution_c2_resolution –>|トリガー| execution_cmd execution_cmd –>|使用| execution_indirect execution_cmd –>|ダウンロード| execution_payload_download execution_payload_download –>|提供| defense_process_hollowing defense_process_hollowing –>|利用| defense_reflective_loading defense_process_hollowing –>|利用| defense_junk_code defense_reflective_loading –>|サポート| c2_multi_stage defense_junk_code –>|サポート| c2_multi_stage c2_multi_stage –>|配信| c2_quic_rat c2_quic_rat –>|有効化| lateral_taint_shared "
アタックフロー
検出
Powershellによるダウンロードまたはアップロード(cmdline経由)
ビュー
Rundll32 DLLの疑わしいパスでの実行(process_creation経由)
ビュー
Powershellからの疑わしい.NETメソッド呼び出し(powershell経由)
ビュー
異常なトップレベルドメイン(TLD)DNSリクエストによる疑わしいコマンド&コントロール(dns経由)
ビュー
DAEMON Toolsを使用したQUIC RATおよび悪意あるドメイン接触の検出(Windowsネットワーク接続)
ビュー
トロイの木馬化されたDAEMON Toolsのスタートアップ実行検出(Windowsプロセス作成)
ビュー
シミュレーション実行
前提条件: テレメトリ&ベースラインのプレフライトチェックが合格している必要があります。
理論: このセクションでは、検出ルールをトリガーするために設計された対敵技術(TTP)の正確な実行を詳述します。コマンドと物語はTTPで特定されたものを直接反映し、検出ロジックで予想されるテレメトリを正確に生成することを目的としています。
-
攻撃シナリオ&コマンド:
DAEMON Toolsのサプライチェーンを侵害した攻撃者は、悪意のあるコピーをcalc.exeに名前を変更し、システム起動時に起動する場所にDTHelper.exe配置します(例:HKLMSoftwareMicrosoftWindowsCurrentVersionRunキー)。テストの目的で、バイナリの即時実行をシミュレートし、ルールが監視している正確なプロセス作成イベントを生成します。ステップ:
- 無害な実行ファイルをコピーする(
calc.exe)をC:TempDTHelper.exe. - 実行ファイルをRunレジストリキーに登録し、「スタートアップ実行」をエミュレートします。
- システムにRunエントリを実行させる(もしくはバイナリを直接起動させる)。
- 無害な実行ファイルをコピーする(
-
リグレッションテストスクリプト:
# ------------------------------------------------------------- # トロイの木馬化されたDAEMON Toolsのスタートアップ実行のシミュレーションスクリプト # ------------------------------------------------------------- $tempPath = "C:TempDTHelper.exe" $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" $runName = "DAEMONHelper" # 1. 悪意のあるように見える実行可能ファイルを配置する(calc.exeをプレースホルダとして使用) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. ログオン自動実行に登録する(持続性をエミュレート) New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force # 3. テスト目的で即時実行をトリガー Start-Process -FilePath $tempPath # テスト検証用にマーカーを出力 Write-Host "`n[+] DTHelper.exe実行およびRunエントリ作成。" -
クリーンアップコマンド:
# ------------------------------------------------------------- # DAEMON Toolsシミュレーションのクリーンアップ # ------------------------------------------------------------- $tempPath = "C:TempDTHelper.exe" $runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun" $runName = "DAEMONHelper" # Runレジストリエントリを削除 Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue # まだ実行中の場合はプロセスを停止 Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force # コピーされた実行ファイルを削除 Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue Write-Host "`n[+] クリーンアップ完了。"