ロッキード・マーティンのサイバーキルチェーンの「Delivery」と呼ばれる攻撃段階の学習に進みましょう。
この段階について多くのことが言えますが、今日は最近分析のために受け取った1つのサンプルについての解析を共有します。このサンプルは、一方でのその単純さと、もう一方でのその洗練さで私の注意を引きました。著者たちの創造力と想像力の欠如を責めることはできません。
始めましょう。
ここでは、Wordファイルが添付された標準的なメールを見ることができます:
そのようなメール詐欺について警告するいくつかのウェブサイトがあります(メール詐欺)、さらなる詳細を提供しています。
このような侵入方法の複雑さや、1通のメールを開くだけでどのようにしてあなたのビジネスに壊滅的な結果をもたらす可能性があるかについて詳しく見てみましょう。まずは、このファイルを即席のラボに届け、詳細に分析します。初めのステップとして、ドキュメントにマクロが含まれているか確認する必要があります。この操作を達成するためには異なるツールキットを使用できますが、今日はOLETOOLSを使用します。 OLEVBA, ツールを次の操作のために使用します。
- MS Office 97-2003および2007+ファイル内のVBAマクロの検出
- VBAマクロのソースコード抽出
- 自動実行されるマクロの検出
- マルウェアによく使われる疑わしいVBAキーワードの検出
- Hex/Base64/StrReverse/Dridexで難読化された文字列の検出とデコード
- IPアドレス、URL、電子メールアドレス、実行ファイル名などのIOC/関心パターンの抽出
- 複数のファイルとサンプルコレクションをスキャン(ワイルドカード、再帰的)
- 複数ファイルの概要表示用トリアージモード
- パスワード保護されたZipアーカイブ内のマルウェアサンプルをスキャン
- アプリケーションからollevbaを使用するためのPython API
ツールolevba.py:
olevba.py 750786446.doc > macros.txt結果として macros.txtというファイルが作成され、調査されたドキュメントから全てのマクロが含まれます。
このWordファイルがどのようなものを隠しているのか見てみましょう:
もちろん、誰もがまともなプログラマーならばその目的を隠すためでないかぎり、関数や変数をこのような方法で命名することはありません。
これらのマクロの操作の図式的な表現がここにあります。この記号のセットをよりよく理解することができます:
今や明らかになったのは、表示された操作の90%は分析を混乱させ、マクロの研究を複雑にするために作られたゴミであるということです。「余計な」操作を取り除くと、このマクロがどう働くかの明確な図が得られます。
では、実際にマクロは何をしようとしているのでしょうか?
- DOCファイルが開かれた後、マクロは環境変数を通じて一時フォルダーの場所を見つけます。それから、このフォルダーに自身をRTFとしてBYFE.RTFという名前で保存します。
- 次に同じ操作を繰り返しますが、別の名前 – JWUD.RTF を使用します。この操作は、BYFE.RTFファイルをさらなる操作のために解放するために必要です。なぜなら、Microsoft Wordが「保持」している間は、このファイルに「読み取り専用」モードでしか誰も参照できないからです。このファイルには特別な計画があります。
- その段階で、マクロはBYFE.RTFファイルを「不可視」モードで実行します。
ここで、RTFファイルの1つの特定の特徴について述べなければなりません。
RTFファイルには音楽や実行ファイルまでもが任意のオブジェクトを添付できます。ユーザーがこのようなオブジェクトを含むファイルを開くと、そのオブジェクトは一時フォルダーに抽出されます。そして、ドキュメントが閉じられるまでRTFファイルに添付されている限り、そこに存在します。重要なのは外部からでも使用可能であるということです。
実験を行いましょう: - RTFファイルが閉じられると、calc.exeは跡形もなく消え去ります。
- これで、なぜ対抗者がRTFファイルを使用するのか、なぜ彼らが2秒のポーズを必要とするのかが理解できます。彼らは自分たちの「オブジェクト」を一時フォルダーに配置する必要があります。
その後、オブジェクトが実行され(私たちが電卓で行ったように)、私たちの例では、そのオブジェクト名は後ほど明らかになります。:
対抗者たちはこのオブジェクトがタスクを完了するのに3秒のポーズが必要です。このケースでは、この「オブジェクト」はダウンローダー/ドロッパーであり、指令センターとの通信とさらなる指示の取得を行います。私たちの例では、54.225.64.111–hxxp://api.ipify.org:80/と通信しました。VirusTotalのウェブサイトでは、このIPアドレスで2016年4月末から5月初めにかけて何らかの異常な活動があったことが示されています。https://www.virustotal.com/ru/ip-address/54.225.64.111/information/
- 最後に、最終段階。マクロはRTFファイルを閉じ、ドロッパーが消える原因となります。タスクが完了しました。侵入が終了し、跡は消されています。
結論:
- 企業の境界にますます多くの「サンドボックス」が導入され、メールを精査して悪意のある活動を特定し、侵入リスクを低減する能力を持っている。
- スパムフィルターによって捕獲されたスパムの手動および詳細な分析(マルウェアのリバースエンジニアリング)は非常に重要です。これにより、監視システムのルールに使用される主要なIOCを見つけ、境界を突破するようなメールのケースを追跡するのに役立ちます。我々の例では、これがIPアドレスとなります。組織を保護するためには、ファイアウォールでそれをブロックし、接続を試みるあらゆる試みに対して監視する必要があります。これは、スパムフィルターがマルウェアを含むメールを見逃し、ユーザーがそれを開いた場合でも、ファイアウォールがマルウェアとその指令センター間の通信をブロックする準備を整え、その結果、侵害されたワークステーションを発見し、インフラの保守を開始することにつながります。
- ドロッパーは通常、企業のアンチウイルスでは「見えない」ものです。発見されたサンプルをアンチウイルスベンダーに送信すれば、シグネチャーに追加され、侵害されたワークステーションを見つけることが可能になります。
この記事が役立つことを願っており、フィードバックをお待ちしています。
