StrikeSharkキャンペーンがSharkLoaderを介してCobalt Strikeを配信
Detection stack
- AIDR
- Alert
- ETL
- Query
要約
StrikeSharkは、新たに確認された脅威キャンペーンであり、SharkLoaderというカスタムマルウェアローダーを使用してCobalt Strikeビーコンを配信します。この作戦は、インターネットに接続されたアプリケーションの脆弱性の悪用や、ドロッパーベースの配信を含む複数の初期アクセス方法に依存しています。また、マルウェアはDLLサイドローディングやAPIフックといった高度な回避手法を用い、セキュリティ防御をかいくぐっています。
調査
調査により、SharkLoaderの感染が複数の国や産業セクター、特に外交関係者やソフトウェア開発組織にわたっていることが確認されました。研究者たちは、ProxyLogonなどの脆弱性の悪用からCobalt Strikeの最終ペイロードの実行に至るまでの侵入チェーン全体を追跡しました。また、“Perfect DLL Hijacking”や検出を減少させるための高度なAPIフックの技術的利用についても記述しています。
緩和
組織は特にMicrosoft Exchange、SharePoint、および公開されているネットワークアプライアンスを優先して、インターネットに接続されたシステムのパッチを当てることに注力すべきです。強力なエンドポイント検出および対応機能を展開することで、疑わしいDLLサイドローディングや不正なスケジュールタスク作成を発見するのに役立ちます。セキュリティチームは、svchost.exeのようないつもとは異なる親子プロセス関係を監視するべきです。 svchost.exe 予期しないプロセスが実行されるなど。
対応
この活動が検出された場合は、横移動やコマンドアンドコントロールのトラフィックを阻止するために、影響を受けたシステムを直ちに隔離してください。初期のアクセスポイントと被害の全体的な範囲を特定するために、完全なフォレンジック調査を実施してください。影響を受けた可能性のあるアカウント、特に特権を持つユーザーの資格情報をリセットし、Active Directoryで無許可の変更や新しく割り当てられたグループメンバーシップを確認してください。
攻撃フロー
検知
疑わしいNtdsutilの活動(コマンドライン経由)
表示
ユーザー/グループ列挙試行の可能性(PowerShell経由)
表示
アカウントまたはグループの列挙/操作の可能性(コマンドライン経由)
表示
システムネットワーク構成の探索の可能性(コマンドライン経由)
表示
システム列挙の可能性(コマンドライン経由)
表示
サービス列挙の可能性(コマンドライン経由)
表示
疑わしいスケジュールタスクがシステムユーザーの下で実行される(コマンドライン経由)
表示
存在の可能性がある持続化ポイント [ASEPs – ソフトウェア/NTUSERハイブ] (レジストリイベント経由)
表示
異常なパスからのシステムプロセスの実行(プロセス作成経由)
表示
StrikeSharkキャンペーンによるネットワークおよびシステム情報の列挙 [Microsoft Windowsセキュリティイベントログ]
表示
SharkLoaderによるSystemSettings.exeの使用とActive Directory列挙の検出 [Windowsプロセス作成]
表示
シミュレーション実行
条件: テレメトリとベースラインの事前点検が通過している必要があります。
合理性: このセクションでは、検出ルールをトリガーするために設計された攻撃技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックで期待される正確なテレメトリを生成することを目指しています。抽象的または無関係な例は誤診に繋がります。
-
攻撃の説明とコマンド: 攻撃者は、SharkLoaderキャンペーンの署名メソッドを使用して足場を確立することを目指しています。最初に、攻撃者は正当なバイナリの名前を変更したバージョンを起動することで、DLLサイドローディングの副産物をシミュレートします。
SystemSettings.exe。プロセスが実行されると、攻撃者はドメイン環境を列挙することで状況認識を得ようとします。観察されたTTPを模倣するために、攻撃者はPowerShellを使用してActive Directoryのユーザーおよびコンピュータオブジェクトをクエリし、これはドメイン侵害の偵察段階での一般的なステップです。 -
リグレッションテストスクリプト:
# SharkLoaderとAD列挙検出のシミュレーションスクリプト Write-Host "[*] シミュレーションを開始します..." -ForegroundColor Cyan # 1. SystemSettings.exeを介したSharkLoaderプロセス実行をシミュレート # sideloadedバイナリの動作をシミュレートするためのプロキシとしてnotepad.exeを使用 Start-Process "notepad.exe" -ArgumentList "/c "これはシミュレートされたSystemSettings.exeです"" -WindowStyle Hidden # 注意: 実際の環境では、ファイル自体はSystemSettings.exeと名付けられているでしょう。 # このテストでは、プロセスエントリーの作成をシミュレートします。 # 2. 悪意のあるActive Directory列挙をシミュレート Write-Host "[*] AD列挙をシミュレートしています..." -ForegroundColor Yellow # ルールが特に検出する標準的なcmdletsを使用 Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] シミュレーションコマンドが実行されました。" -ForegroundColor Green -
クリーンアップコマンド:
# 残存プロセスを残さないようにするクリーンアップスクリプト Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] クリーンアップが完了しました。" -ForegroundColor Cyan