ErrTraffic: 増大するClickFixマルウェア配信フレームワークの内幕
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
ErrTrafficはマルウェア・アズ・ア・サービスモデルで提供される悪意のあるJavaScriptフレームワークです。主にクリックフィックス形式のソーシャルエンジニアリングページやその後のマルウェアペイロードを配信するために、WordPressの侵害されたウェブサイトに注入されます。フレームワークはまた、EtherHiding技術を使用して、ブロックチェーンのスマートコントラクトを介して指令と制御インフラストラクチャを発見します。
調査
Sekoia TDRの研究者は、「Analytics」クラスターと「Beer」クラスターと呼ばれる2つの別々のアクティビティクラスターを特定しました。彼らの調査により、WordPress PHPバックドア、初期アクセスのためのクレデンシャルスタッフィング攻撃、AIプラットフォームを偽装したマルバタイジングキャンペーンなど、いくつかの展開パスが明らかになりました。法医学分析はまた、2つのクラスター間のコーディングスタイル、コマンド使用法、インフラストラクチャパターンの明確な違いを示しました。
緩和策
組織は、WordPress管理者権限のリスクを減らすため、強力なクレデンシャルの管理と多要素認証の徹底を行うべきです。WordPressプラグインの定期的なパッチは、特にCVE-2020-25213のような既知の欠陥に対して不可欠です。防衛者は、疑わしいPowerShellの動作と、ブロックチェーンRPCサービスや珍しいトップレベルドメインへの異常な外向きトラフィックを監視する必要があります。
対応
ErrTrafficの指標が検出された場合、影響を受けたWebサーバーは直ちに隔離され、すべてのWordPressアカウントが無許可の管理者アクセスの有無についてレビューされる必要があります。隠されたMUプラグインや無許可のPHPファイルを特定するための完全なフォレンジックチェックを実施する必要があります。潜在的に露出したクレデンシャルは撤回され、すべてのAPIキーと管理シークレットをローテーションする必要があります。
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインのプリフライトチェックが合格している必要があります。
根拠: このセクションは、検知ルールをトリガーするためにデザインされた敵の技術(戦術・技術・手法)の正確な実行を詳細に説明します。コマンドとストーリーは特定された戦術・技術・手法を直接反映し、検知ロジックが期待するテレメトリーを正確に生成することを目指す必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃の流れとコマンド: 攻撃者はユーザーを悪意のあるウェブサイトの「修正」ボタンをクリックさせることに成功しました。これにより、ペイロードをダウンロードし復号化するためのPowerShellコマンドがトリガーされます。単純な文字列ベースの検出を回避するために、スクリプトはXOR復号化を利用します。敵対者は特定のErrTrafficヘッダー
<# コード検証: 656560395146 #>を使用して、特定の内部チェックを通過するか、独自のフレームワークのマーカーとして使用します。スクリプトは[convert]::ToInt32を処理するためにXORキーを利用し、ペイロードバイトを復号化するために-bxor演算子を使用します。 -
回帰テストスクリプト:
# ErrTraffic ClickFix PowerShellペイロード復号化ルーチンのシミュレーション $header = "<# コード検証: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "ペイロード復号化を初期化しています..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "復号化完了。" -
クリーンアップコマンド:
# シミュレーションスクリプトによって永久的な変更は行われません。 # ただコンソールをクリアします。 Clear-Host