【転載】マルウェア感染対策としてPowershellの制御を検討すべきか!?



サイバースパイグループ「DeathStalker」とその攻撃手段:

Kasperskyのエキスパートは、取引の機密情報を盗み出すことを専門に行うサイバー犯罪者グループの存在を突き止めました。同グループには「DeathStalker」というコード名が付けられています。これまでに標的となった組織を見ると、DeathStalkerの目的は主に、フィンテック企業、法律事務所、金融アドバイザーを攻撃することにあるようです。外交関連の組織が攻撃された事例も1件ありました。

標的となった組織のタイプから考えると、DeathStalkerは特定の情報を販売目的で探しているか、「需要に応じた攻撃」をサービスとして提供していると考えられます。要するに金銭目的です。

DeathStalkerが活動を始めたのは2018年もしくはそれよりも前で、2012年に活動を開始していた可能性があります。最初に当社エキスパートの注意を引いたのは、攻撃に使用されていたPowerShellベースのインプラント「Powersing」でした。最近の攻撃でも同様の手法が使われています。

攻撃の方法

DeathStalkerはまず、スピアフィッシングによって標的のネットワークに侵入し、何らかの文書に見せかけた悪意あるLNKファイルをその企業の社員に送ります。このファイルはシステムのコマンドラインインタープリター(cmd.exe)を起動するためのショートカットで、これを使って悪意あるスクリプトを実行します。標的となった人のコンピューターには、特に意味のない文書が表示されます。そのファイルはPDF、DOC、またはDOCX形式であるため、普通のファイルを開いたかのように見えます。

興味深いことに、この悪意あるプログラムには指令サーバーのアドレスが含まれません。その代わり、このプログラムは一般のサービスプラットフォーム上に公開されている投稿にアクセスし、一見すると意味不明な文字列を読み取ります。実はその文字列は暗号化された情報で、これを読み取ることで、次段階の攻撃が発動します。このタイプの攻撃方法は「デッドドロップリゾルバー(Dead Drop Resolver)」と呼ばれます。

攻撃の次段階では、攻撃者がコンピューターを掌握し、悪意あるショートカットを自動実行フォルダーに配置し(システム上で継続的に動作できるようにするため)、本当の指令サーバーとの接続を確立します(サーバーのアドレスは、正規のWebサイト上に掲載されている別の意味不明な文字列を復号することで入手します)。

基本的に、Powersingが実行するのは2つのタスクです。一つは感染したコンピューター上でスクリーンショットを定期的に撮影して指令サーバーに送信すること、もう一つは指令サーバーからダウンロードされたPowerShellスクリプトを実行することです。さらに別のツールを実行するために、感染したコンピューターに足がかりを築くことが目的です。

セキュリティメカニズムを欺く方法

Powersingは、攻撃の全段階で、さまざまな方法を使ってセキュリティ対策をくぐり抜けようとします。使われる方法は標的によって異なります。それだけでなく、このマルウェアは、標的のコンピューターでセキュリティ製品が動作していることを認識すると、戦術を変えたり自らを無効化したりすることが可能です。当社エキスパートは、このサイバー犯罪者グループは標的を研究し、攻撃ごとにスクリプトに調整を加えていると考えています。

しかし、DeathStalkerが使うテクニックのうち最も興味深いのは、一般のサービスをデッドドロップリゾルバーのメカニズムとして使用している点です。固定のURLに、暗号化された情報が投稿、コメント、ユーザープロフィール、コンテンツ説明などの形で置かれています。以下は攻撃に利用されていた投稿の例ですが、「My keybord doesnt work…(キーボードが使えません…)」などのコメントの後に、意味不明な文字列が続いています。



このように、誰かが一般のWebサイトにアクセスしているだけであるとセキュリティ製品が判断するように仕向けて、指令サーバーと通信を開始したことが分からないようにしています。当社エキスパートが特定した事例の中では、このような投稿はGoogle+、Imgur、Reddit、ShockChan、Tumblr、Twitter、YouTube、WordPressに見つかりましたが、攻撃者が利用しているサービスがこれですべてではありません。それにもかかわらず、このような一般的なサービスに対するアクセスをすべて企業がブロックするとは、まず考えられません。

DeathStalkerグループとマルウェア「Janicab」および「Evilnum」との関連性、また脅威存在痕跡(IOC)を含むPowersingの技術的な情報について詳しくは、DeathStalkerに関するSerurelist記事をご覧ください(リンク先は英語)。

DeathStalkerから企業を守るには

DeathStalkerの手法とツールを見ていくと、比較的規模の小さい企業であっても遭遇する可能性のある脅威の姿が浮かび上がります。もちろん、DeathStalkerの攻撃はAPTではなく、特に複雑な手法を用いているわけでもありません。しかし、彼らの使うツールは、多くのセキュリティ製品をかいくぐるようにカスタマイズされています。当社エキスパートは、以下の対策を推奨しています。

  • Powershell.exeyやcscript.exeのようなスクリプト言語のインタープリターが実行するプロセスには、特別な注意を払う。業務上必要がないのであれば、無効にしましょう。
  • メールに添付されたLNKファイルを使って侵入してくる攻撃を警戒する。
  • エンドポイントにおける検知および対応(Endpoint Detection and Response:EDR)機能を備えた製品など、高度な保護テクノロジーを利用する。
Kasperskyでは、エンドポイント保護プラットフォーム(Endpoint Protection Platform:EPP)とEDRの両機能を備える統合型ソリューションをご用意しています。詳しくはこちらをご覧ください。