QualysGuardポリシーコンプライアンスを使用したAPT BlackEnergyトロイの木馬の検出

最新の脅威

11月 24, 2015

9 分で読めます

QualysGuardポリシーコンプライアンスを使用したAPT BlackEnergyトロイの木馬の検出

Eugene Tkachenko
Eugene Tkachenko コミュニティプログラムリード

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

こんにちは、今日は新しいバージョンの BlackEnergy (4.0?)の検出方法について話します。QualysGuardポリシーコンプライアンスモジュールを使用しています。

私達の 調査 および後日公開されるいくつかの他の報告によれば、IOC(Indicator Of Compromise:侵害の指標)として知られる攻撃の共通の兆候を発見し、上記のモジュールを使用してそれらをテストすることができました。IOCは感染したシステムの振る舞いの分析に基づいており、各攻撃に個別にマルウェアが設定されている事実をもとにしています。IOCは以下の基準に従って5つのグループに分けられました:

  • グループ1 – 疑わしい行動 – 手動テストの必要あり(誤検知を引き起こす正しいサンプルファイルを送って頂けることに感謝します – 制御を拡大し、誤検知の数を減らすことができますので、電子メールでお送りください。)
  • グループ2 – 感染の確認;
  • グループ3 – 極めて高い妥協の可能性
  • グループ4 – 極めて高い妥協の可能性
  • グループ5 – 高い妥協の可能性

グループ3、4、5のうち2つ以上の制御が存在すると、システムの妥協の証拠となります。どのファイルやシステム設定が変更されたかを確認し、この分析に基づいてQualysポリシーコンプライアンス用のUser Defined Control (UDC)を作成しました。

制御は5つのグループに分けられます:

  • 第1グループには、基準値に準拠しているか具体的なファイルハッシュをチェックする制御が含まれます;
  • 第2グループの制御は既知のマルウェアのハッシュをチェックするファイルです;
  • 第3グループは、典型的でない場所にあるsvchost.exeファイルを探します;
  • 第4グループの制御は既知で基準外のレジストリ設定の有無をチェックします;
  • 第5グループは感染を示す可能性のある既知のサービスの起動パラメーターをチェックします。
  • 各グループからの制御チェックの結果を詳しく見てみましょう。
  • に不整合が見つかった場合 グループ1、ファイル署名またはその存在を再確認しなければなりません。

マルウェアの acpipme.sys の署名は次のようになります:QualysGuard_1参照ファイルに通常署名はありません acpipmi.sys:

QualysGuard_2他の参照ファイルは次のような署名を持っています:QualysGuard_3そして、これが自己署名証明書を持つBEバックドア付きの一般的なドライバです:

QualysGuard_4また、任意の不整合または不一致についてファイルの詳細説明に注意してください。例えば、左に感染したファイルのスクリーンショットがあり、右に参照があります。QualysGuard_5こちらはもう一つの比較です。感染したファイルが左にあり、参照が右にあります。QualysGuard_6

  • に不整合が見つかった場合 グループ2、BlackEnergyドロッパーの既知のサンプルの1つを保持しています。
  • ファイルの場所に不整合が見つかった場合 グループ3、システムが攻撃を受けている可能性が高く、私たちの勧告に従う必要があります。
  • 問題のレジストリキーを見つけた場合(グループ4)、システムが感染している可能性が高く、緊急の対策を講じる必要があります。
  • ポリシーに準拠していないことを見つけた場合 グループ5、システムの管理者と相談し、サービスの非典型的な動作の原因を確認してください。

疑わしいシステムを分析するには(これらはどのWindowsマシンでも可能)、 記事の最後に記載されている制御をダウンロードし、ポリシーを作成し、 QualysGuard ポリシー コンプライアンス. を使ってスキャンを実行します。手順は以下の通りです:

  1. ドキュメント内でUser Defined Control (UDC)と名付けられたCIDをインポートします。QualysGuard_7
    新しい制御は制御リストに追加され、番号は直接順序で続行されます。それらを見るためにはCIDリストをカラムで並べ替えることができます。 作成日.
  2. 以前にインポートしたCIDを含むポリシーを作成します。
  3. スクリーンショットに示されているようにスキャンプロファイル設定を構成します。QualysGuard_8
  4. インフラ全体を迅速にスキャンするには、 ポリシーによるスキャン を選択し、関連するテストのみを実行してください。これによりスキャン時間が大幅に短縮されます。ただし、その結果では他のレポートを作成することはできませんので、その場合はフルスキャンを実行することをお勧めします。各ホストの通常のネットワーク負荷で約5分かかりますが、スキャナのマルチスレッディングを考慮せずに。 QualysGuard_9
  5. レポートテンプレートを作成する際には、このボックスをチェックすることが必要です。レポートでのファイルサイズを見るために。QualysGuard_10
  6. レポートを閲覧する際には、ハッシュの一致だけでなくファイルサイズや全ての制御の特性にも注意してください。QualysGuard_11ファイルが25KBを超える場合(または一部のファイルでは150KBを超える場合)は、懸念の理由です。

皆様からの フィードバックをお待ちしております。ご健闘を祈ります!

お身体にお気をつけください。追記:以下のzipアーカイブからすべての記載されたUDCをダウンロードできます。試用版QualysGuardポリシーコンプライアンスアカウントは こちらからリクエストできます。

Group 1Group 2Group 3Group 4Group 5
SPID_0004_QUALYS_ adpu320_Correct.xml 標準ハッシュ値をチェックします。SPID_0003_QUALYS_acpipmi_Correct.xml 標準ハッシュ値をチェックします。SPID_0007_QUALYS_aliide_Correct.xml 標準ハッシュ値をチェックします。SPID_0010_QUALYS_amdide_Correct.xml 標準ハッシュ値をチェックします。

SPID_0006_QUALYS_aliide_Compromised.xml ファイルのハッシュをチェックし、利用可能なマルウェアのハッシュを2つ使用し、ファイルサイズも確認できます。SPID_0009_QUALYS_amdide_Compromised.xml ファイルのハッシュをチェックし、利用可能なマルウェアのハッシュを2つ使用し、ファイルサイズも確認できます。SPID_0004_QUALYS_adpu320_Compromised.xml ファイルのハッシュをチェックし、利用可能なマルウェアのハッシュを2つ使用し、ファイルサイズも確認できます。SPID_0002_QUALYS_acpipmi_Compromised.xml ファイルのハッシュをチェックし、利用可能なマルウェアのハッシュを2つ使用し、ファイルサイズも確認できます。

SPID_0012_QUALYS_svchost_Location.xml 誤った場所でsvchost.exeファイルを探します。

SPID_0001_QUALYS_ Registry_IOC_MicrosoftSecurity.xml 疑わしいレジストリキーをチェックします。

SPID_0008_QUALYS_aliideStart.xml サービスの状態とデフォルトで実行されているかをチェックします。SPID_0011_QUALYS_amdideStart.xml サービスの状態とデフォルトで実行されているかをチェックします。

zip-iconQualys_Controls_BlackEnergy

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約