フォローする 
概要
Shub Stealerとして知られるmacOSの資格情報窃取の脅威が、Terminalにコマンドをコピー&ペーストするよう指示する悪意のあるダウンロードページを通じて広まっています。感染チェーンはパスワードで保護されたZIPアーカイブに依存し、被害者をクラウドプラットフォーム上の攻撃者が管理するコンテンツにリダイレクトします。付随する報告書には、感染がどのように進行するかを記録したネットワークのキャプチャとログデータが含まれています。
調査
分析では、PCAPファイル、ログファイル、およびスティーラーを展開するために使用された悪意のあるスクリプトがレビューされました。研究者は、そのスクリプトが正規のmacOSダウンロードポータルとして偽装されたウェブページを通じて提供され、被害者が手動でTerminalにコマンドを実行する必要があることを発見しました。その後、コマンドシーケンスを特定しペイロード配信を追跡するためにWiresharkでネットワークトラフィックが検査されました。
緩和策
ユーザーは、信頼できないウェブサイトからコマンドをコピーして実行してはなりません。組織はソフトウェアソースを確認し、macOSの既知の脅威を検出できるエンドポイント保護を導入し、可能であればアプリケーションの許可リストを施行するべきです。署名されていないスクリプトの実行は制限されるべきであり、防御者はmacOSシステムでの疑わしいシェルアクティビティを監視するべきです。
対応
セキュリティチームは、既知のShub Stealerコマンドラインの実行を検出し、特定された悪意のあるドメインとIPアドレスとの通信をブロックし、影響を受けたmacOSのエンドポイントを隔離するべきです。また、調査者は提供されたログとPCAP証拠を収集してフォレンジックレビューを行い、ホストに残された悪意のあるファイルを削除するべきです。
"graph TB %% クラス定義 classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% テクニックノード tech_content_injection["<b>テクニック</b> – <b>T1659 コンテンツインジェクション</b><br/><b>概要</b>: 初期アクセスを得るために、合法的なクラウドドキュメント(例:Google Drive)に悪意のあるリンクやスクリプトをインジェクトする。"] class tech_content_injection technique tech_html_smuggling["<b>テクニック</b> – <b>T1027.006 HTMLスマグリング</b><br/><b>概要</b>: ブラウザによってレンダリングされるファイル内に悪意のあるスクリプトを隠す。"] class tech_html_smuggling technique tech_svg_smuggling["<b>テクニック</b> – <b>T1027.017 SVGスマグリング</b><br/><b>概要</b>: SVG画像内に悪意のあるペイロードを埋め込み、それを解析することでさらなるダウンロードにリダイレクトする。"] class tech_svg_smuggling technique tech_malicious_link["<b>テクニック</b> – <b>T1204.001 悪意のあるリンク</b><br/><b>概要</b>: 被害者がクリックしたリンクが、悪意のあるコンテンツのダウンロードを開始する。"] class tech_malicious_link technique tech_copy_paste["<b>テクニック</b> – <b>T1204.004 悪意のあるコピー&ペースト</b><br/><b>概要</b>: 攻撃者が提供したコマンドを被害者がターミナルにコピー&ペーストし、悪意のあるコードを実行される。"] class tech_copy_paste technique tech_script_proxy["<b>テクニック</b> – <b>T1216 システムスクリプトプロキシの実行</b><br/><b>概要</b>: 合法的なシステムスクリプト環境を使用して、悪意のあるコードの実行をプロキシする。"] class tech_script_proxy technique tech_compression["<b>テクニック</b> – <b>T1027.015 圧縮</b><br/><b>概要</b>: 検出を回避するために、パスワードu2011保護されたZIPアーカイブ内でペイロードを配達する。"] class tech_compression technique tech_brute_force["<b>テクニック</b> – <b>T1110 ブルートフォース</b><br/><b>概要</b>: 多くのパスワードを試みて、公開ページからの情報を活用して、アーカイブのパスワードを発見する。"] class tech_brute_force technique tech_deobfuscate["<b>テクニック</b> – <b>T1140 復号/ファイルのデコード</b><br/><b>概要</b>: 発見されたパスワードを使用して暗号化されたZIPを開き、悪意のあるペイロードを抽出する。"] class tech_deobfuscate technique tech_archive_data["<b>テクニック</b> – <b>T1560 収集データのアーカイブ</b><br/><b>概要</b>: エクスフィルトレーション前に盗まれたファイルを再パッケージする。"] class tech_archive_data data tech_c2_web["<b>テクニック</b> – <b>T1071.001 アプリケーション層プロトコル: ウェブプロトコル</b><br/><b>概要</b>: HTTP/HTTPSを介してコマンド&コントロールサーバーと通信する。"] class tech_c2_web technique tech_c2_ftp["<b>テクニック</b> – <b>T1071.002 アプリケーション層プロトコル: ファイル転送プロトコル</b><br/><b>概要</b>: C2のためにFTPu2011のようなプロトコルを使用して追加のファイルを転送する。"] class tech_c2_ftp technique tech_proxy["<b>テクニック</b> – <b>T1090 プロキシ</b><br/><b>概要</b>: プロキシサーバーを通じてC2トラフィックを中継し、オリジンを隠す。"] class tech_proxy proxy tech_internal_proxy["<b>テクニック</b> – <b>T1090.001 内部プロキシ</b><br/><b>概要</b>: 被害者の内部ネットワーク内に配置されたプロキシを使用する。"] class tech_internal_proxy proxy tech_external_proxy["<b>テクニック</b> – <b>T1090.002 外部プロキシ</b><br/><b>概要</b>: C2トラフィックを転送するために外部プロキシサービスを使用する。"] class tech_external_proxy proxy tech_taint_shared["<b>テクニック</b> – <b>T1080 共有コンテンツの汚染</b><br/><b>概要</b>: コピーu2011ペーストアクションが他の共有環境に悪意のあるスクリプトコンテンツを広める。"] class tech_taint_shared technique tech_exploit_client["<b>テクニック</b> – <b>T1203 クライアント実行のためのエクスプロイト</b><br/><b>概要</b>: スクリプトがクライアントu2011側の脆弱性を利用して、被害者マシン上で任意のコードを実行する。"] class tech_exploit_client technique %% 接続 tech_content_injection –>|リードする| tech_html_smuggling tech_html_smuggling –>|リードする| tech_svg_smuggling tech_svg_smuggling –>|リードする| tech_malicious_link tech_malicious_link –>|リードする| tech_copy_paste tech_copy_paste –>|リードする| tech_script_proxy tech_script_proxy –>|リードする| tech_compression tech_compression –>|リードする| tech_brute_force tech_brute_force –>|リードする| tech_deobfuscate tech_deobfuscate –>|リードする| tech_archive_data tech_archive_data –>|リードする| tech_c2_web tech_c2_web –>|リードする| tech_c2_ftp tech_c2_ftp –>|リードする| tech_proxy tech_proxy –>|ルートする| tech_internal_proxy tech_proxy –>|ルートする| tech_external_proxy %% コピーu2011ペーストステップからの分岐 tech_copy_paste –>|原因となる| tech_taint_shared tech_copy_paste –>|原因となる| tech_exploit_client "
攻撃の流れ
シミュレーション実行
前提条件: テレメトリー&ベースライン プリフライトチェックが通過していること。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵のテクニック(TTP)を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックで予想される正確なテレメトリーを生成することを目的としています。
-
攻撃の説明&コマンド:
-
偵察: 攻撃者は、macOSユーザーをターゲットにしたPowerShellスタイルのペイロードをホストする悪意のある“Download for macOS”ページを発見します。
-
コピー&ペースト: 攻撃者はコメント行を含むスクリプト全体をコピーします “スクリプトがターミナルウィンドウにコピー&ペーストされました” (これはマルウェアの作者によって挿入されたリテラルマーカーです)。
-
実行: Linuxターミナルで、攻撃者は次を実行します:
bash -c "スクリプトがターミナルウィンドウにコピー&ペーストされました"このコマンドは、Bashに対して検出フレーズの名前を持つコマンドを実行しようとさせ、監査ログの
CommandLineフィールドにそのフレーズをそのまま表れるようにします。コマンドが失敗しても、作成イベントはログに記録され、Sigmaルールに一致します。 -
結果: A
process_creationイベントで、CommandLine=bash -c スクリプトがターミナルウィンドウにコピー&ペーストされましたが生成され、検出がトリガーされます。
-
-
回帰テストスクリプト: 以下の自己完結型Bashスクリプトは、監査dが有効な任意のLinuxホストでシナリオを再現します。
#!/usr/bin/env bash # # Sigmaルールの回帰テスト: eee9618f-c935-450d-9d51-7072fbfca466 # 目的: 正確な検出フレーズを含むプロセス作成イベントを発生させる。 # set -euo pipefail # 検出トリガーを引き起こすコマンドラインを発行する echo "[*] 検出トリガーを引き起こすコマンドを実行中..." bash -c "スクリプトがターミナルウィンドウにコピー&ペーストされました" echo "[*] テスト完了。検出をSIEMで確認してください。" -
クリーンアップコマンド: 一時ファイルや残存プロセスを削除します(テストによって作成されませんが、完全性のために):
# アーティファクトは作成されませんでしたので、不要なbashプロセスが残っていないことを確認してください。 pkill -f "スクリプトがターミナルウィンドウにコピー&ペーストされました" || true echo "[*] クリーンアップ完了。"