Deep Pandaの新たなMilestone：Log4Shellとデジタル署名されたFire Chiliルートキット

米国時間2022年3月30日に掲載されたフォーティネットブログの抄訳です。

FortiGuard Labs Research

影響を受けるプラットフォーム：　Windows
影響を受けるユーザー：　　　　　Windowsユーザー
影響：　　　　　　　　　　　　　標的のマシンから機密情報を収集
深刻度：　　　　　　　　　　　　クリティカル

この1ヵ月の間に、FortiEDRは中国のAPTグループ「Deep Panda」による活動を検知しました。このグループは、VMware Horizonサーバーに含まれる悪名高い脆弱性「Log4Shell」を悪用していました。複数の国のさまざまなセクターで同じ日に多数の感染が起こっている状況より、標的の対象は日和見的な傾向がありました。標的になった業界は、金融、学術、化粧品、旅行業界に及んでいます。

脆弱性がエクスプロイトされると、Deep Pandaは感染したマシンにバックドアを配置していました。バックドアからフォレンジック調査を進めていったところ、盗まれたデジタル証明書で署名された新型のカーネルルートキットを発見しました。さらに、この証明書は別の中国のAPTグループ「Winnti」も使用していて、彼らのツールの一部を署名することに使われていたことがわかりました。

今回のブログでは、この活動が中国の国家支援型脅威アクターによるものであることに加え、感染の流れ、バックドア、新たなルートキットの分析について説明します。

攻撃の連鎖

顧客のアラートやテレメトリを調査しているときに、標的ネットワークへの侵入を複数発見しました。これは、VMware Horizonサーバーに含まれる脆弱性「Log4Shell」を悪用した侵入でした。この攻撃により、新たなPowerShellプロセスが生まれ、悪意のあるDLLをインストールするための一連のスクリプトがダウンロードおよび実行されました。

エンコードされたPowerShellコマンドにより、リモートサーバーから別のPowerShellスクリプトがダウンロードおよび実行されます。

次の段階のPowerShellスクリプトでは、同じサーバーから次の3つのファイルがさらにダウンロードされます。 1.bat, syn.exe、1.dll.

ダウンロード後、スクリプトは1.batを実行し、次にその1.batがsyn.exeを実行し、3つのファイルをディスクからすべて削除します。

syn.exeは、LoadLibraryを使用して最初のコマンドライン引数をロードするプログラムです。今回の場合は1.dllになります。1.dllモジュールは最終ペイロードで、我々がMilestoneと命名したバックドアになります。このコードは、リークされたGh0st RAT / Netbot Attackerのソースコードがベースとなり、Themeidaで圧縮されています。

バックドアは%APPDATA%\newdev.dllに自身のコピーを作り、さらに、レジストリにサービスエントリを直接作成します。これにより、msupdate2の名前でサービスを作成することができます。他にもいくつかのサービス名や説明が別のサンプルで確認されています。

正規のMicrosoftのnewdev.dllと同じ名前になっていますが、Milestoneバックドアのnewdev.dllのエクスポートは2つだけで、あとは付加的なServiceMainのエクスポートが1つあるだけです。

バックドアの機能は全体的にGh0st RATと似ていますが、大きな違いがあります。Gh0st RATの通信はzlib圧縮されますが、このC2通信は圧縮されません。コマンドにも違いがあります。たとえば、CMDコマンドにおいて、一部の亜種ではまずcmd.exeをdllhost.exeにコピーします。CMDの実行を監視するセキュリティ製品によって検知されないようにするためです。また、バックドアは、システムの現行セッションに関する情報をサーバーに送信するコマンドをサポートしています。このコマンドは、本来のGh0st RATソースコードには存在しません。

さらに、入手したバックドアのサンプルの多くは、2つのバージョンで区別できるようになっています。2016年にコンパイルされたバイナリにはバージョンを示す文字列「MileStone2016」が含まれ、2017年にコンパイルされたバイナリには「MileStone2017」が含まれています。最近検知された感染で使用されていたサンプルは、2017年の亜種のみです。

2016年と2017年のMilestoneには違いがいくつかあります。まず、2017年のMilestoneは一般的にThemeidaで圧縮されていますが、2016年のMilestoneは圧縮されていません。加えて、2016年のMilestoneには適切なタイムスタンプがありますが、2017年のMilestoneでは同一のタイムスタンプですべて共有されているので、偽装されていることがわかります。2017年のバックドアが今日の攻撃に使用されているという事実を含めて考えると、これが2017年以降にコンパイルされたものなのかどうかは断定できません。

この2つのバージョンは、コマンドや通信においても若干異なります。2016年のMilestoneでは、XOR暗号化が通信に適用され、さらに、管理者権限を持つ新規ユーザーとしてコマンドを実行することができます。そのため、バックドアは、まず最初にシステムで新規の管理者ユーザーを作成します。ユーザー名は「ANONYMOUS」、パスワードは「MileSt0ne2@16」です。作成後、管理者ユーザーとしてCreateProcessAsUserを使って自身の別のインスタンスを実行し、その後すぐにシステムからユーザーを削除します。

バックドアのすぐ近くで

バックドアに加えて、ドロッパーを入手しました。これで3種類目です。ドロッパーは、次の3つのファイルをディスクに書き込みます。

• 無害な実行ファイル：%APPDATA%\syn.exe
• Milestoneローダー：%APPDATA%\newdev.dll
• ドライバー：C:\Windows\system32\drivers\crtsys.sys

上記のペイロードは、XOR暗号化およびLZMA圧縮されて保存されます。XORキーはハードコードされたDWORDとなり、サンプル毎に変化します。

ドロッパーは、32ビットおよび64ビットシステム用の2つのビルドのドライバーを備えています。サービスコントロールマネージャー（SCM）のAPIを使用して、オペレーティングシステムアーキテクチャに準拠したビルドをドライバー「FSFilter-Min」としてインストールします。

ドロッパーは、ローダーバイナリの.dataセクションにパッチを適用して、そのコンフィギュレーションを追加してからディスクに書き込みます。次に、newdev.dllローダーモジュールをサイドロードするために、Synapticsによって署名された無害な実行可能ファイル「syn.exe」を実行します。

ローダーにはXOR暗号化ペイロードやLZMA圧縮ペイロードも含まれています。これがMilestoneバックドアとなります。XOR 0xCCでコンフィギュレーションを復号して、ドロッパーと同様に、バックドアの.dataセクションにパッチを適用します。このコンフィギュレーションには、バックドアのバージョン、C2サーバーアドレス、サービスパラメータが含まれています。

最後に、ローダーはMilestoneバックドアを速やかにロードし、エクスポートを呼び出します。

Fire Chiliルートキット

調査の一環として、4つのドライバーサンプル（32ビットと64ビットのサンプルを2組）を収集しました。1組は2017年8月上旬にコンパイルされ、他の1組は10日後にコンパイルされたものです。4つのドライバーサンプルはすべて盗まれた証明書でデジタル署名されています 。証明書は米国に拠点を置く「Frostburn Studios」と韓国の企業「433CCR」（433씨씨알 주식회사）のいずれかのゲーム開発会社から盗まれたものです。Frostburn Studiosの証明書で作成された署名には、タイムスタンプまで付いています。

2つのサンプルはVirusTotal上でも、検知率が非常に低くなっています。

ルートキットはまず最初に、被害者のマシンがセーフモードで実行されていないことを確認します。次に、オペレーティングシステムのバージョンを確認します。ルートキットでは、DKOM（Direct Kernel Object Modification:カーネル・オブジェクトの直接操作）が使用されます。これには、文書化されていないカーネル構造体やオブジェクトなどが関わっています。このようなことから、感染したマシンがクラッシュする場合があるため、特定のOSビルドに依存することになります。ルートキットがサポートしている最新のビルドは、2017年4月にリリースされたWindows 10 Creators Update（Redstone 2）です。

このドライバーの目的は、ユーザーモードのコンポーネントから悪意のあるアーティファクトを非表示にして保護することです。これには、ファイル、プロセス、レジストリキー、ネットワーク接続の4つの場合があります。各場合でグローバルリストがあり、ドライバーには、非表示にするアーティファクトを含むグローバルリストが4つあることになります。ドライバーのIOCTLsは、コントロールデバイス「\Device\crtsys」を使ってリストを動的にコンフィギュレーションできることを可能にします。このようにして、ドロッパーはこれらのIOCTLsでドライバーのレジストリキー、ローダファイルとバックドアファイル、ローダープロセスを非表示にできるのです。

ファイル

ルートキットは、Microsoft公式ドライバーのコードサンプルに基づくコードを使用するファイルシステムミニフィルターを実装しています。また、ミニフィルターインスタンスを登録する前に、Sfdev32TopInstanceという名前のレジストリにAltitude値483601を持つインスタンスを動的に作成します。

さらに、IRP_MJ_DIRECTORY_CONTROLのオペレーション後ルーチンに対するコールバックを1回だけ設定します。IRP_MN_QUERY_DIRECTORYのマイナー関数とグローバルファイルリストからのファイル名のIRPを受信すると、コールバックによって（FILE_BOTH_DIR_INFORMATION構造内体の）ファイル名が「.」に変更され、ファイル名の長さが0になります。

グローバルファイルリストは、デフォルトによりドライバーのパス（*\SYSTEM32\DRIVERS\CRTSYS.SYS）で初期化されます。

プロセス

プロセスには、次の2つのメカニズムがあります：

• プロセス終了の防止
• プロセスの非表示

ルートキットはプロセスの終了を防ぐために、保護するプロセスのPROCESS_TERMINATEアクセス権を拒否します。また、ObRegisterCallbacksを使用して、プロセスやスレッドへのハンドルがシステム内で作成されたり複製されたりしたときにトリガーされるオペレーション前のコールバックルーチンを登録します。ハンドルアクセスがユーザーモードによるものである場合や、ハンドルターゲットのイメージパスやPIDがグローバルプロセスリストにある場合、ドライバーはDesiredAccessパラメータからPROCESS_TERMINATEの権限を削除します。その結果、ユーザーモードのプロセスが、脅威アクターの悪意のあるプロセスを標準APIを使用して終了するのに必要な権限を取得できなくなります。

ルートキットはプロセスを非表示にするために、PsSetCreateProcessNotifyRoutine APIを使用するコールバックを登録して、システムで新たに作成されたプロセスをすべて監視します。システムで新たなプロセスが作成されると、ルートキットはパスがグローバルプロセスリストにあるかどうかをチェックします。リストにある場合、プロセスはEPROCESS構造体のActiveProcessLinksリストから削除されます。このリストは、システムで実行されているすべてのプロセスの双方向循環リストになります。ドライバーは、Flink（次のエントリ）とBlink（前のエントリ）をリンクさせて、ActiveProcessLinksからのプロセスリストエントリを削除します。その結果、タスクマネージャーなどのユーティリティでプロセスが非表示になります。

EPROCESS構造体はWindowsのビルド間で変わるため、ルートキットはランタイム中にActiveProcessLinksのオフセットを動的に解消します。まず、各要素をPIDと比較しながらプロセスのEPROCESS構造体を動き回り、UniqueProcessIdフィールドのオフセットを見つけます。これが見つかると、ActiveProcessLinksのオフセットがEPROCESS構造体の隣のフィールドにあるので、このオフセットも簡単に見つけられます。古いルートキットのサンプルでは、非表示メカニズムが使用されるのはWindows 8かそれ以前のWindows OSになりますが、新しいサンプルではWindows 7かそれ以前のWindows OSのみになります。

デフォルトでは、グローバルプロセスリストは*\qwerty.exeのパスで初期化されます。ただし、この名前のファイルによる活動への関与は確認されていません。

レジストリキー

ルートキットは、Microsoftのレジストリエディタを使用するユーザーからレジストリキーを隠します。コードは、中国の開発者が公開したオープンソースのプロジェクトに基づいています。

グローバルレジストリキーリストにあるキーのHHIVE->GetCellRoutine関数は、フィルタ関数に置き換えられます。クエリプロセスのパスが*\WINDOWS\REGEDIT.EXEの場合、関数はキーノードの代わりに0を返すだけになります。

デフォルトでは、グローバルレジストリリストはルートキットのレジストリキー（\REGISTRY\MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CRTSYS）で初期化されます。

ネットワーク接続

ルートキットは、netstatなどのツールからTCP接続を隠すことができます。この部分のコードの多くは、オープンソースのプロジェクトからコピーされていると思われます。

ルートキットはnsiproxy.sysのデバイススタックをフックし、送信されたIOCTL_NSI_GETALLPARAM (0x12000B)タイプのIOCTLsを妨害します。このIOCTLsは、システム上のアクティブなネットワーク接続に関する情報を取得するために使用されるものです。妨害が行われると、ドライバーによりIoCompletionルーチンが、結果をフィルタリングする関数に置き換えられることにより、ネットワーク接続が非表示になります。

IOCTL_NSI_GETALLPARAMでは、NSI_PARAM構造体のネットワーク接続に関する情報を返します。NSI_PARAMには、接続の形成を担う実行ファイルのIP、ポート、接続状態、プロセスIDなどの接続データが含まれます。フィルタ関数はこの構造体を反復処理して、グローバルネットワークリストに含まれるプロセスやポート番号を検索します。認識された接続は構造体からすべて削除され、IOCTLsを送信したプロセスから隠されます。64ビットルートキットの新しいビルドでは、32ビットプロセスからのIOCTLsをフィルタリングするサポートが追加されています。

nsiproxy.sysへのフックに失敗した場合、ルートキットは代わりに\Device\Tcpをフックして、IOCTL_TCP_QUERY_INFORMATION_EX (0x120003)を妨害し、同様の方法でネットワーク接続を非表示にします。

デフォルトでは、グローバルネットワークリストは次のプロセスパスで初期化されます。

• *\SYN.EXE
• *\SVCHOST.EXE

その結果、MilestoneバックドアのTCP接続だけでなく、svchost.exeで実行されるあらゆるサービスのTCP接続が非表示になります。

背後にいる脅威アクター

Milestoneバックドアは、実は2010年初頭にDeep Pandaが使用していたInfoadmin RATと同じで、2013年と2015年のブログでも触れられています。バックドアの多くはGh0st RATコードに基づいていますが、MilestoneとInfoadminは他のものと区別できます。どちらのバックドアにも類似したコードがあるだけでなく、Gh0st RATのコードに他の亜種では見られない同一の修正が組み込まれています。

この2つのバックドアは、通信を暗号化するXOR暗号化機能を共有し、元のGh0st RATの様にzlib圧縮を実装していません。また、主にCMDやスクリーンキャプチャ関数など、Gh0st RATコードの改変方法も同じでした。さらに、他のGh0st RAT亜種には存在しない2つのコマンド（セッション列挙のコマンド、管理者としてのコマンド実行）を共有しています。

さらに、Winnti（脅威アクター）との関係を示唆する形跡も確認しました。ルートキットは、ゲーム開発会社から盗まれた証明書でデジタル署名されています。これはWinntiの特性として知られています。これらの証明書の1つを使用して署名されたファイルをさらに検索すると、winmm.dllの名前でVirusTotalにアップロードされた悪意のあるDLLに行き着きました。これをさらに詳しく調べたところ、2013年に公開されたWinntiに関するブログで触れたツールと同じものであることがわかりました。更なるWinntiへの関連性はC2ドメインによって分かりました。newdev.dllローダーのうち2つがgnisoft[.]comのサーバーでコンフィギュレーションされています。このサーバーが2020年の時点でWinntiに帰属していました。

結論

今回のブログでは、先月からの一連の日和見的なLog4Shellの脆弱性を悪用した感染はDeep Pandaによるものであるという結論に至りました。Deep Pandaに関するこれまでの技術的な公表文献は5年以上前から公開されていましたが、このブログではMilestoneバックドアに関する最新のレポートにまで及んだ解説となりました。このことから、この活動がどれだけ長く続いているものなのかがわかることでしょう。

さらに、未知のFireChiliルートキットと2つの侵害されたデジタル署名について解説しました。そのうちの1つはWinntiと直接的に関連付けることができました。Deep PandaとWinntiはいずれもルートキットをツールセットの一部として使用していることが知られていますが、FireChiliは、これまでグループが使用していたものとは異なる独自のコードベースを持つ新種です。

これらのツールが2つの異なるグループと関連している理由は、現時点では不明です。しかし、グループの開発者たちが、盗まれた証明書やC2インフラストラクチャなどのリソースを互いに共有していた可能性はあります。サンプルが署名されたのがコンパイルされたわずか数時間後だったのはこうした理由だったのかもしれません。

フォーティネットのソリューション

FortiEDRはこれらの脅威を検知してブロックします。予備知識や特別なコンフィギュレーションは不要で、すぐに利用できます。これは、実行後の保護エンジンで悪意のあるアクティビティを識別して行われるものです。

すべてのネットワークIOCがFortiGuard Webフィルタリングのブロックリストに追加されています。

FortiGuardアンチウイルスサービスのエンジンは、フォーティネットのFortiGate、FortiMail、FortiClient、FortiEDRソリューションに含まれています。FortiGuardアンチウイルスの対応範囲は次のとおりです。

W32/Themida.ICD!tr
BAT/Agent.6057!tr
W64/Agent.A10B!tr
W32/Agent.0B37!tr
W32/GenKryptik.FQLT!tr
W32/Generic.AC.F834B!tr
W32/GenKryptik.ATCY!tr
W32/Generic.AP.33C2D2!tr
W32/GenKryptik.AQZZ!tr
W32/Generic.HCRGEJT!tr
W32/Agent.DKR!tr
W32/Agent.QNP!tr
W32/Agent.RXT!tr
W32/Agentb.BXIQ!tr
W32/Agent.DA3E!tr
W32/Agent.D584!tr
W32/Agent.0F09!tr
W32/Agent.3385!tr
W64/Agent.D87B!tr.rkit
W32/Agent.69C1!tr.rkit

さらに、この脅威の詳細は、フォーティネットが参加するCyber Threat Allianceの他の参加メンバーに、顧客保護の強化を目的としてリアルタイムで共有されました。

付録A：MITRE ATT&CK技術

添付資料B：IOC（Indicators of Compromise：侵害指標）