Serpentバックドア検出：新たにフランスの機関を狙う巧妙なマルウェア

フランスの政府および建設業界を標的とした新しいマルウェアが観測されています。Proofpointは広範囲にわたる 調査を行いました この マルウェアはSerpentと名付けられました. 

Serpentバックドア分析 では、対抗者がこれまで検出されていなかったいくつかの珍しい動作を使用していることが示されました。これにより、これら新しい防御回避技術を具体的に捉える新しい検出コンテンツの作成が求められます。Serpentバックドアマルウェアの検出に対する新しいアプローチを探求し、この新たな脅威に先んじましょう。

Serpentバックドアを検出する: 疑わしい活動を特定する方法

このルールは、私たちのThreat Bountyデベロッパー Emir Erdogan により作成され、ペイロードが一時的なタスクを作成してPEを呼び出し、イベントをトリガーし、最後にタスクを削除する際の疑わしい動作を検出します。

SOC Primeアカウントにログイン（まだない場合は新規作成）すると、Sigmaやベンダー特有のフォーマットでコードおよびその Serpentと追跡されるバックドアに関連するインテリジェンスデータにアクセスできます.

スケジュールされたタスクバイパス方式を使用した積極的な Serpent バックドア防御回避（cmdline経由）

このルールは以下のSIEM、EDR & XDRフォーマットに翻訳されています: Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、LimaCharlie、Sumo Logic、ArcSight、QRadar、Humio、SentinelOne、Microsoft Defender for Endpoint、CrowdStrike、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、AWS OpenSearch。

このルールは最新のMITRE ATT&CK®フレームワークv.10と一致しており、署名されたバイナリープロキシ実行を主要手法として取り扱っています。

以下のボタンを押して、弊社のDetection as Codeプラットフォーム上で数千もの他の貴重な検出ルールにアクセスしてください。また、サイバー研究者や検出エンジニアの経験がある方は、弊社のThreat Bountyプログラムにコンテンツを提出して貴重な洞察を共有し、金銭的な奨励を受けることができます。

検出を見る Threat Bountyに参加

Serpent 滑らかな攻撃チェーン

攻撃の第一段階で、スピアフィッシングメールがマクロ対応のMicrosoft Wordドキュメントを提供し、その中に悪意のあるペイロードを含んだChocolatey Windowsパッケージマネージャーが含まれています。いくつかの場所では、VBAマクロがASCIIで描かれた蛇を示しており、これがこのバックドアがSerpentと呼ばれる理由です。

誤ったMicrosoft Wordファイルは、GDPRドキュメントを装っているため、結果として被害者は異常をほとんど疑いません。マクロの実行は、ステガノグラフィによって隠されたBase64のPowerShellスクリプトを含む画像URLを導きます。

Chocolateyパッケージインストーラーは、これまで攻撃チェーンの実行で観測されたことがない新しい要素です。Windowsの正当な自動化ツールで、個別のZIPアーカイブ、スクリプト、インストーラー、EXEファイルからパッケージをコンパイルします。攻撃者はChocolateyを使用してSerpentをダウンロードおよび ユーザーのデバイスにバックドアをインストールします。このマルウェアは、リモート管理、C&Cサーバーのアクセス、データ窃取、およびその他のペイロードのインストールを可能にします。 backdoor on a user’s device. This malware would enable remote administration, C&C servers’ access, data theft, and the installation of other payloads as well. 

次のステージでは、ChocolateyはPythonの依存関係をSerpentバックドアのためにインストールしてリモートでシステムを制御します 。例えば、pip PythonパッケージインストーラーがPySocksプロキシクライアントをインストールし、画像URLを介して別のステガノグラフィーで隠されたスクリプトを受け取り、その実行によりBATファイルを作成し、Pythonスクリプトも実行します。. For example, a pip Python package installer installs PySocks proxy client, receives another steganography-hidden script via an image URL, which upon execution creates a BAT file, which also executes a Python script.

Proofpointの研究者はこの攻撃の目的を明確に指定していませんが、複数のユニークな動作が高度な標的型攻撃を示していると述べています。

このようなサイバー攻撃がますます巧妙化する中で、個々の組織が独力でこの戦いに立ち向かうことはますます困難になっています。実行可能な解決策は、 SOC PrimeのDetection as Code プラットフォームに参加し、協力的な防御アプローチの利点を活用することです。