攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。
今回は、攻撃グループLazarusが使用するツールについて紹介します。
ネットワーク内部での横展開
まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに感染させるために使用しています。さらに、Responder-Windowsを使ってネットワーク内部の情報を収集していたことも確認されています。
ツール名 | 内容 | 参考 |
AdFind | Active Directoryから情報を収集するコマンドラインツール | http://www.joeware.net/freetools/tools/adfind/ |
SMBMap | ネットワーク内のアクセス可能なSMB共有を一覧したり、アクセスしたりするツール | https://github.com/ShawnDEvans/smbmap |
Responder-Windows | LLMNR、NBT-NS、WPADになりすまして、クライアントを誘導するツール | https://github.com/lgandx/Responder-Windows |
情報窃取
情報窃取に使用されるツールは以下の3つです。マルウェアに多くの情報窃取機能が搭載されているため、ツールが使用される場面は限られています。その中でもブラウザーやメーラーのアカウント情報を収集するためのツールが使用されています。また、情報を持ち出す際にファイルなどをRAR形式に圧縮するのが、よく見られる攻撃者のパターンですが、攻撃グループLazarusでも同じくWinRARを使用してファイルの圧縮を行っています。なお、以前のブログで記載したとおりマルウェア自体にzlib形式でファイル圧縮して送信する機能も持っているため、RAR形式以外で情報が送信されることもあります。
ツール名 | 内容 | 参考 |
XenArmor Email Password Recovery Pro | メールクライアントやサービスのパスワード情報を抽出するツール | https://xenarmor.com/email-password-recovery-pro-software/ |
XenArmor Browser Password Recovery Pro | ブラウザーに保存されたパスワード情報を抽出するツール | https://xenarmor.com/browser-password-recovery-pro-software/ |
WinRAR | RAR圧縮ツール | https://www.rarlab.com/ |
その他
最後にその他のツールです。攻撃者はRDPやTeamViewer、VNCなどを使用して感染したネットワーク内にバックドアを仕掛けることがよくあります。攻撃グループLazarusもVNCを使用する場合があることを確認しています。さらに、マイクロソフト純正ツールであるProcDumpを使用していたことも確認しています。ProcDump は、攻撃者がLSASSプロセスのダンプから、ユーザーの認証情報を抽出するために使用されることがあります。
その他に、tcpdumpやwgetなどLinuxではお馴染みのコマンドのWindows版ツールも使用されています。
ツール名 | 内容 | 参考 |
TightVNC Viewer | VNCクライアント | https://www.tightvnc.com/download.php |
ProcDump | プロセスのメモリダンプを取得するマイクロソフト純正ツール | https://docs.microsoft.com/en-us/sysinternals/downloads/procdump |
tcpdump | パケットキャプチャツール | https://www.tcpdump.org/ |
wget | ダウンロードツール |
おわりに
今回は、攻撃グループLazarusが使用するマルウェアではなくツールについて紹介しました。攻撃グループLazarusが使用するマルウェアは、これまで説明したとおり多機能ではありますが、足りないものは正規のツールを悪用していることが確認されています。このような正規のツールはウイルス対策ソフトで検知できないこともあるため、注意が必要です。
なお、今回解説したツールのハッシュ値に関しては、Appendix Aに記載していますので、ご覧ください。
参考情報
[1]Cybereason: Dropping Anchor: From a TrickBot Infection to the Discovery of the Anchor Malware
https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware
Appendix A: ハッシュ値
注意: ここで記載するハッシュ値は正規のツールが多数含まれているため、インディケータとして使用する際は注意してください。
AdFind
- CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
- B1102ED4BCA6DAE6F2F498ADE2F73F76AF527FA803F0E0B46E100D4CF5150682
- CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
SMBMap
- 65DDF061178AD68E85A2426CAF9CB85DC9ACC2E00564B8BCB645C8B515200B67
- da4ad44e8185e561354d29c153c0804c11798f26915274f678db0a51c42fe656
Responder-Windows
- 7DCCC776C464A593036C597706016B2C8355D09F9539B28E13A3C4FFCDA13DE3
- 47D121087C05568FE90A25EF921F9E35D40BC6BEC969E33E75337FC9B580F0E8
XenArmor Email Password Recovery Pro
- 85703EFD4BA5B691D6B052402C2E5DEC95F4CEC5E8EA31351AF8523864FFC096
XenArmor Browser Password Recovery Pro
- 4B7DE800CCAEDEE8A0EDD63D4273A20844B20A35969C32AD1AC645E7B0398220
Winrar
- CF0121CD61990FD3F436BDA2B2AFF035A2621797D12FD02190EE0F9B2B52A75D
- EA139458B4E88736A3D48E81569178FD5C11156990B6A90E2D35F41B1AD9BAC1
TightVNC Viewer
- A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
- 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
- A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
- 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
Tcpdump
- 2CD844C7A4F3C51CB7216E9AD31D82569212F7EB3E077C9A448C1A0C28BE971B
- 1E0480E0E81D5AF360518DFF65923B31EA21621F5DA0ED82A7D80F50798B6059
Procdump
- 5D1660A53AAF824739D82F703ED580004980D377BDC2834F1041D512E4305D07
- F4C8369E4DE1F12CC5A71EB5586B38FC78A9D8DB2B189B8C25EF17A572D4D6B7
Wget
- C0E27B7F6698327FF63B03FCCC0E45EFF1DC69A571C1C3F6C934EF7273B1562F
- CF02B7614FEA863672CCBED7701E5B5A8FAD8ED1D0FAA2F9EA03B9CC9BA2A3B