フォローする
概要
トロイの木馬化されたインストーラーが LINE メッセンジャーセットアップを装って観察され、 ValleyRAT のペイロードを配信していました。これは NSIS で構築され、不審な証明書を使用して署名され、複数のDLLおよびINIコンポーネントを設置しました。これらは コードインジェクション and 持続性をサポートします。このマルウェアはその後、香港にホストされた2つのC2サーバーと通信し、追加の悪意あるバイナリを取得します。この活動は中国語を話すユーザーを狙っており、 PoolParty Variant 7 プロセスインジェクションなど高度な技術を使用しています。
調査
Cybereasonのアナリストは、偽のLINEインストーラーの静的および動的分析を実施し、次の使用を確認しました: PowerShell, rundll32およびカスタムDLLローダー。チェーンは、 %AppData% and %LocalAppData%にアーティファクトを作成し、 ミューテックスによる同期を確立し、 スケジュールタスク をRPCを介して作成し、持続性を登録しました。インストール後の行動には、 explorer.exe and UserAccountBroker.exeへのインジェクションが含まれ、これはステルスに焦点を当てたリモートアクセスワークフローと一致しています。ネットワークテレメトリーは、コマンドの取得とペイロードステージングに使用された香港の2つのC2 IPアドレスを特定しました。属性は Silver Fox の活動と一致し、コードの重複が SADBRIDGE.
を示しました。
緩和 疑わしい証明書の指紋 を使用し、NSISでパックされた偽のインストーラーを探し、アラートを上げます。インストーラーが配布したファイルセットの作成、関連するレジストリの修正、および Windows Defenderの除外の追加試行を監視します。特定されたC2 IPへのアウトバウンド接続をブロックし、無効または信頼されていない証明書を拒否するコード署名の制御を強化します。RPCに基づく持続性と一致するスケジュールタスクの作成シーケンスに対するEDR検出を追加します。 PoolParty Variant 7-スタイルのインジェクションパターン
対応
活動が疑われる場合、エンドポイントを隔離し、悪意あるプロセスを終了し、偽インストーラーとすべてのアーティファクトを削除します。追加の ValleyRAT モジュール
graph TB %% クラス定義 classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% ノード tech_user_exec[“<b>技術</b> – <b>T1204 ユーザー実行</b><br/><b>説明</b>: 被害者が偽の悪意あるインストーラー(LineInstaller.exe)を実行。正規のLINEインストーラーを装っている。”] class tech_user_exec technique tech_masquerade[“<b>技術</b> – <b>T1036 マスカレード</b><br/><b>説明</b>: インストーラーが正規ソフトの名前を模倣し、有効に見えるコード署名証明書を使用。”] class tech_masquerade technique tech_event_exec[“<b>技術</b> – <b>T1546.016 イベントトリガー実行:インストーラーパッケージ</b><br/><b>説明</b>: NSISベースのインストーラーがUAC経由で昇格権限で実行。”] class tech_event_exec technique tech_powershell[“<b>技術</b> – <b>T1059.001 PowerShell</b><br/><b>説明</b>: PowerShell が Windows Defender の除外パスを追加し、永続化スクリプトを準備。”] class tech_powershell technique tech_regsvr32[“<b>技術</b> – <b>T1218.010 Regsvr32 プロキシ実行</b><br/><b>説明</b>: スケジュールタスクが regsvr32.exe を呼び出し intel.dll の DllRegisterServer を実行。”] class tech_regsvr32 technique tech_rundll32[“<b>技術</b> – <b>T1218.011 Rundll32 プロキシ実行</b><br/><b>説明</b>: rundll32.exe が intel.dll の DllRegisterServer を起動。”] class tech_rundll32 technique tech_sched_task[“<b>技術</b> – <b>T1053 スケジュールタスク</b><br/><b>説明</b>: RPC 呼び出しでタスクスケジューラサービスを利用して悪意あるタスクを作成。”] class tech_sched_task technique tech_sandbox_evasion[“<b>技術</b> – <b>T1497.002 仮想化/サンドボックス回避</b><br/><b>説明</b>: intel.dll がファイルロックとミューテックスをチェックしてサンドボックス環境を検出。”] class tech_sandbox_evasion technique tech_pe_injection[“<b>技術</b> – <b>T1055.002 プロセス注入:ポータブル実行可能注入</b><br/><b>説明</b>: intel.dll と sangee.ini が PoolParty Variant 7 を使用して Explorer.exe にシェルコードを注入。”] class tech_pe_injection technique tech_apc_injection[“<b>技術</b> – <b>T1055.004 プロセス注入:非同期プロシージャコール</b><br/><b>説明</b>: ZwSetIoCompletion を I/O 完了ポートハンドルで利用して注入。”] class tech_apc_injection technique tech_exploit_defense[“<b>技術</b> – <b>T1211 防御回避のための悪用</b><br/><b>説明</b>: マルウェアが SetTcpEntry を呼び出してセキュリティコンポーネントの TCP 接続を削除。”] class tech_exploit_defense technique tech_obfuscation[“<b>技術</b> – <b>T1027.005 難読化ファイル:指標削除</b><br/><b>説明</b>: サンドボックス回避およびアンチ解析チェックがアーティファクトを隠し、解析環境での実行を防止。”] class tech_obfuscation technique tech_web_service[“<b>技術</b> – <b>T1102 Webサービス</b><br/><b>説明</b>: 最終ペイロード ValleyRat が標準 TCP 経由でリモート C2 サーバーから取得。”] class tech_web_service technique file_lineinstaller[“<b>ファイル</b> – <b>名前</b>: LineInstaller.exe<br/><b>タイプ</b>: NSIS インストーラー”] class file_lineinstaller file file_inteldll[“<b>ファイル</b> – <b>名前</b>: intel.dll<br/><b>タイプ</b>: プロキシ実行および注入用 DLL”] class file_inteldll file file_sangee[“<b>ファイル</b> – <b>名前</b>: sangee.ini<br/><b>目的</b>: 注入ルーチンの設定”] class file_sangee file file_policyxml[“<b>ファイル</b> – <b>名前</b>: policyManagement.xml<br/><b>目的</b>: スケジュールタスクの詳細定義”] class file_policyxml file file_updatedps1[“<b>ファイル</b> – <b>名前</b>: updated.ps1<br/><b>目的</b>: PowerShell 永続化スクリプト”] class file_updatedps1 file malware_valleyrat[“<b>マルウェア</b> – <b>名前</b>: ValleyRat<br/><b>役割</b>: 被害者に配信される最終ペイロード”] class malware_valleyrat malware process_regsvr32[“<b>プロセス</b> – <b>名前</b>: regsvr32.exe”] class process_regsvr32 process process_rundll32[“<b>プロセス</b> – <b>名前</b>: rundll32.exe”] class process_rundll32 process process_explorer[“<b>プロセス</b> – <b>名前</b>: Explorer.exe”] class process_explorer process network_c2[“<b>ネットワーク</b> – <b>C2 サーバー</b>: 143.92.38.217:18852, 206.238.221.165:443”] class network_c2 network %% 接続 tech_user_exec –>|開始| file_lineinstaller file_lineinstaller –>|トリガー| tech_masquerade tech_masquerade –>|有効化| tech_event_exec tech_event_exec –>|昇格| process_regsvr32 process_regsvr32 –>|呼び出す| file_inteldll file_inteldll –>|tech_regsvr32 で登録| tech_regsvr32 tech_regsvr32 –>|process_rundll32 も使用| process_rundll32 process_rundll32 –>|ロード| file_inteldll tech_rundll32 –>|file_inteldll もロード| file_inteldll file_inteldll –>|作成| tech_sched_task tech_sched_task –>|タスク作成に使用| file_policyxml tech_sched_task –>|実行| file_updatedps1 file_updatedps1 –>|PowerShell コマンド実行| tech_powershell tech_powershell –>|除外追加および準備| tech_sandbox_evasion tech_sandbox_evasion –>|環境チェック後| tech_pe_injection tech_pe_injection –>|注入| process_explorer tech_pe_injection –>|使用| tech_apc_injection tech_apc_injection –>|活用| tech_exploit_defense tech_exploit_defense –>|セキュリティツール妨害| file_sangee tech_obfuscation –>|アーティファクト隠蔽| malware_valleyrat malware_valleyrat –>|ネットワークC2から取得| network_c2 network_c2 –>|ペイロード配信| tech_web_service tech_web_service –>|最終配信| process_explorer
攻撃フロー
検出
可能なスケジュールタスクの作成 (PowerShell経由)
表示
疑わしいスケジュールタスク (監査経由)
表示
Rundll32 Dllの疑わしいパス実行 (プロセス作成経由)
表示
Windows Defenderの設定変更 (PowerShell経由)
表示
LOLBAS Regsvr32 (コマンドライン経由)
表示
IOC (DestinationIP) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
IOC (HashSha1) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
IOC (SourceIP) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
Windows Defenderの除外とスケジュールタスクを使用した偽のインストーラーの検出 [Windows Powershell]
表示
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Attack Narrative & Commands:
An attacker who has already compromised a low‑privilege account wishes to stage a payload on the compromised host while evading antivirus scanning. The attacker:- Uses PowerShell to add a Windows Defender exclusion that covers the entire C: drive, ensuring any malicious binaries placed there are invisible to Defender.
- In the same PowerShell invocation, registers a scheduled task that will launch the hidden payload (
C:Malwarepayload.ps1) every time a specific legitimate process (e.g.,explorer.exe) starts, providing persistence. - Because both actions are combined into a single command line, the telemetry matches the Sigma rule’s
selection1 and selection2condition, causing an alert.
-
Regression Test Script:
# ------------------------------------------------- # Fake Installer Simulation – Triggers Sigma Rule # ------------------------------------------------- # 1. Define exclusion path (entire C: drive) $exclusion = "C:" # 2. Define scheduled task details $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combine both commands into a single PowerShell command line $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoke the combined command Invoke-Expression $combined -
Cleanup Commands:
# ------------------------------------------------- # Cleanup – Remove exclusion and scheduled task # ------------------------------------------------- # Remove the Defender exclusion for C: Remove-MpPreference -ExclusionPath "C:" # Delete the scheduled task Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false