フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
中国に関連した脅威クラスターであるSHADOW-EARTH-053は、ProxyLogon脆弱性チェーンを通じて未パッチのMicrosoft ExchangeおよびIISサーバーを悪用し、Webシェルを展開し、ShadowPadマルウェアファミリーをインストールしています。このグループは、正規署名されたバイナリを介したDLLサイドローディング、レジストリベースのペイロード実行、および複数のトンネリングツールに依存して、隠密なコマンドアンドコントロールアクセスを維持しています。観測された被害者には、政府省庁、防衛関連の請負業者、およびアジアの数か国にわたる輸送機関、さらに1つのNATO加盟国が含まれます。この活動は、成熟したポストコンプロマイズの手法と組み合わせることで、古いExchangeの欠陥が引き続き危険をもたらすことを強調しています。
調査
研究者は、 error.aspx and tunnel.ashx などのファイル名を使用したWebシェル展開を文書化し、信頼された実行可能ファイルである runtimebroker.exeを用いてDLLサイドローディングを通じてShadowPadを配信していました。彼らはまた、追加のバックドアを特定し、 mdync.exeが外部インフラストラクチャと通信し、GOST、Wstunnel、および code.exe などのトンネリングツールを C:UsersPublicに配置していました。資格情報の盗難活動には、Mimikatzや Evil-CreateDump and newdcsyncなどのカスタムユーティリティが含まれ、IISワーカープロセスを介して実行されました。継続性は、 LocalAccountTokenFilterPolicy などのレジストリ変更や M1onltor.
などのスケジュールされたタスクを通じてサポートされていました。
緩和策 .aspx, .ashx、または .jsp ファイルの不正作成を防止する必要があります。追加の強化手順には、IISプロセスの権限の制限、書き込みアクセスの削減、子プロセスの監視、 w3wp.exeによって起動されたプロセスの監視、未使用サービスの無効化、およびクリティカルサーバーへのアプリケーション許可リストの適用が含まれます。
組織は、ProxyLogonに関連するCVEに優先順位を与えて、Microsoft Exchange ServerおよびIISに利用可能なすべてのセキュリティ更新を適用する必要があります。Webアプリケーションファイアウォールまたは侵入防止制御を構成して、実行前に攻撃試行をブロックする必要があります。防御者はまた、Web向けディレクトリのファイル整合性監視を実施し、
セキュリティチームは、IISパス内で未知の .aspx or .ashx ファイルが出現したときや、 M1onltorという名前のスケジュールされたタスクをアラートするべきです。MimikatzやPowerViewの実行、署名バイナリを含むDLLサイドローディング活動についても検出範囲を含めるべきです。特定された悪意のあるIPアドレスやドメイン check[.]office365-update[.]com へのアウトバウンド通信を直ちにブロックする必要があります。その後、インシデントレスポンダーは、 HKEY_CURRENT_USERSoftware 下の不審な値のフォレンジックレビューを実施し、不正なスケジュールされたタスクや永続性のあるアーティファクトを削除する必要があります。
"graph TB %% Class definitions section classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/>敵対者がインターネットに面したアプリケーションの脆弱性を利用して初期アクセスを取得します。"] class tech_exploit_pf technique tech_webshell["<b>Technique</b> – <b>T1505.003 Server Software Component Web Shell</b><br/>敵対者が侵害されたサーバーにWebシェルをインストールして永続的なアクセスを維持します。"] class tech_webshell technique tech_code_sign["<b>Technique</b> – <b>T1553.002 Trust Controls Code Signing を覆す</b><br/>敵対者が署名のされた DLL をサイドロードして、信頼されているように見せかけながら悪意のあるコードを実行します。"] class tech_code_sign technique tech_masquerade["<b>Technique</b> – <b>T1036 あ・擬装</b><br/>敵対者が RingQ などのツールを用いてユーティリティをリネームし、正当であるかのように見せかけます。"] class tech_masquerade technique tech_cred_dump["<b>Technique</b> – <b>T1003 OS 資格情報ダンピング</b><br/>敵対者が Mimikatz、Evil CreateDump または DCSync などのツールを使用してオペレーティングシステムから資格情報を取得します。"] class tech_cred_dump technique tech_account_manip["<b>Technique</b> – <b>T1098.002 アカウント操作 電子メール委任の権限</b><br/>攻撃者が被害者のメールボックスに委任者として自分を追加し、電子メールを読み取り、送信します。"] class tech_account_manip technique tech_exploit_remote["<b>Technique</b> – <b>T1210 リモートサービスの悪用</b><br/>敵対者が WMIC または SMBExec を使用してリモートホストでコマンドを実行し、側方向への移動を行います。"] class tech_exploit_remote technique tech_proxy["<b>Technique</b> – <b>T1090 プロキシ</b><br/>敵対者は GOST、Wstunnel またはトンネルコアなどのプロキシツールを使用して、複数のホップを通じてトラフィックを中継します。"] class tech_proxy technique tech_tunnel["<b>Technique</b> – <b>T1572 プロトコルのトンネリング</b><br/>敵対者は SOCKS5 または HTTPS プロトコルを介してトラフィックをトンネルしてコマンドアンドコントロールと通信します。"] class tech_tunnel technique tech_email_collect["<b>Technique</b> – <b>T1114 電子メールコレクション</b><br/>敵対者は Exchange Web Services API を使用して Exchange サーバーからメールデータを収集します。"] class tech_email_collect technique tech_archive["<b>Technique</b> – <b>T1567.001 データのアーカイブ</b><br/>敵対者が盗まれたデータをパスワードで保護された RAR アーカイブに圧縮し、漏洩させます。"] class tech_archive technique %% Connections showing flow tech_exploit_pf –>|リードする| tech_webshell tech_webshell –>|使用する| tech_code_sign tech_webshell –>|使用する| tech_masquerade tech_webshell –>|有効にする| tech_cred_dump tech_cred_dump –>|有効にする| tech_account_manip tech_webshell –>|有効にする| tech_exploit_remote tech_exploit_remote –>|助長する| tech_proxy tech_proxy –>|有効にする| tech_tunnel tech_webshell –>|有効にする| tech_email_collect tech_email_collect –>|リードする| tech_archive "
攻撃フロー
検出
可能性のあるWebサーバーまたはWebアプリケーションの悪用 [Windows](cmdline経由)
表示
アカウントまたはグループの列挙/操作の可能性(cmdline経由)
表示
公開ユーザープロファイルからの不審な実行(process_creation経由)
表示
Mimikatzの引数が検出される可能性(cmdline経由)
表示
ShadowPadマルウェアのDLLロードパターンの可能性(image_load経由)
表示
Microsoft Exchange / SharepointディレクトリにWebシェルが作成される可能性(file_event経由)
表示
検出するためのIOC(HashSha256):SHADOW-EARTH-053内のビジネス検索APTおよび標的型攻撃:アジアの政府および防衛セクターに対する中国が関与したサイバー諜報活動キャンペーン
表示
検出するためのIOC(SourceIP):SHADOW-EARTH-053内のビジネス検索APTおよび標的型攻撃:アジアの政府および防衛セクターに対する中国が関与したサイバー諜報活動キャンペーン
表示
検出するためのIOC(DestinationIP):SHADOW-EARTH-053内のビジネス検索APTおよび標的型攻撃:アジアの政府および防衛セクターに対する中国が関与したサイバー諜報活動キャンペーン
表示
一般的なディレクトリでのトンネリングツールのステージングの可能性 [Windowsファイルイベント]
表示
SHADOW-EARTH-053キャンペーンにおけるビーコニングおよびC&C接続の検出 [Windowsネットワーク接続]
表示
Shadow-Earth-053がMicrosoft Exchangeの脆弱性を悪用することの検出 [Webサーバー]
表示
シミュレーション実行
前提条件:テレメトリとベースラインのプリフライトチェックが通過している必要があります。
理論:このセクションは、検出ルールをトリガーするために設計された敵技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とする必要があります。
-
攻撃の流れとコマンド:
敵対者は、tunnel.exeなどのカスタムトンネリングバイナリを侵害されたホストに取得しました。最初のダウンロード中に検出を回避するために、このバイナリは通常のユーザーによって書き込み可能で、正規のインストールに頻繁に使用されるディレクトリであるC:ProgramDataにステージングされます。ステージングの後、攻撃者はツールを実行して秘密のチャネルを確立します。ステージング手順はPowerShellのCopy-Itemを用いて実施され、検出ルールのパス条件に一致するファイル作成イベントを生成します。 -
回帰テストスクリプト:
# 監視されているディレクトリでのツールステージングのシミュレーション $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # 本物のツールを模したダミーバイナリ(ランダムバイト)を作成する $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # ダミーバイナリをステージング場所にコピーする Copy-Item -Path $payload -Destination $stagingPath -Force # 手動検証用の出力 Write-Host "Staged dummy tunneling tool at $stagingPath" -
クリーンアップコマンド:
# ステージングされたファイルと一時ペイロードを削除する Remove-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "Cleanup completed."