脅威リサーチ

署名付きの証明書による配信:署名されたXLLファイルを介してBuer Loaderを配信

投稿者 Val Saengphaibul および Fred Gutierrez | 2021年7月29日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     すべての組織または個人
影響:             リモート攻撃者が脆弱なシステムのコントロールを取得
深刻度:            モデレート

はじめに:署名されたXLLファイルを介してBuer Loaderを配信

FortiGuard Labsは、著名な2つの企業の名前をソーシャルエンジニリングの手口に利用してターゲットを騙し、不正に作成されたMicrosoft Excel文書を開かせる悪意のあるスパムキャンペーンを発見しました。文書を開くと、リモートサーバーにアクセスして、事前に定義されたWebサイトから悪意のあるペイロードがダウンロードされます。このキャンペーンが類似している他の不正なスパムキャンペーンと異なっている点は、Microsoft Excelの標準的の.XLSのファイル拡張子ではなく、.XLLのファイル拡張子を持つ署名入りのファイルを使用しているところです。

このブログでは、この攻撃の詳細、および使用されるインフラストラクチャについて詳細に考察しています。内容をご覧いただくことで、標的を確実に感染させるために、.XLLファイル拡張子を利用して検知技術を迂回する回避的なステップ、および有効な署名が付与されたデジタル証明書を利用するなどの複数ステップのプロセスが利用されていることを確認することができます。

XLLファイル拡張子とは

XLLファイル拡張子は、Excelのアドインファイルで使用され、Excelに追加的な機能を付加することができます。XLLファイルは構造的にDLLファイルと似ています。これにより、特定のExcelコマンド、Visual Basic(VBA)のワークシート関数、登録されているXLLコマンドを、Excelで参照している関数から呼び出すことができます。XLLファイルは、マクロやエクスプロイトが組み込まれた不正に作成されたXLSファイルのように一般的には使用されず、エンドポイントの検知を迂回するために脅威アクターが使用する回避策として確認されることは稀です。

問題を複雑にしている点は、このキャンペーンに使用される不正なXLLファイルは有効なデジタル署名が付与された、適切な信頼チェーンが構成されていることです。有効なデジタル証明書を持つ署名されたマルウェアを脅威アクターに悪用されると、アンチウイルスソフトウェアや他のエンドポイントセキュリティソフトウェアでは信頼済みと扱われるため、検知を回避できてしまいます。これらの証明書で署名されたファイルは、認証局(CA)が企業や組織を審査した後、デジタル証明書を発行することでクリーンなファイルとして扱われるため、結果として、署名付きのファイルは無害なものとして動作することができます。

最終的に、このケースでは、不正に作成されたExcelファイルが実行されると、事前に定義されたサーバーに接続して、ペイロードであるBuer Loaderがダウンロードされます。

キャンペーンの詳細

攻撃者の手口はスパムメールです。私たちの観察によると、攻撃は標的型ではなく、不正な添付ファイルを開封するすべての人を狙った単純な包括的なキャンペーンと思われます。

以下のメールの例は、宅配便の配送ステータスが記載された従来のEメールの亜種で、このバリエーションではDHLやAmazonの商標を使用して偽装しています。この具体例では、組織ではなく個人に送られており、これらのキャンペーンが標的型ではないという考えを補強するものとなっています。

この不正スパムは、メッセージの「We sincerely sorry due to inconvenience...」など文法的に不自然で、急ごしらえのものか英語が非ネイティブの話者が作成したように思われ、素人目にも信ぴょう性に欠けるものとなっています。

図1:受信者に送られた不正な添付ファイル付きのEメール

(ちなみに、このEメールの受信者は、過去にEメールのユーザー名とパスワードがオンラインに投稿されたことがあります。また、haveibeenpwned[.]comによると、このEメールアドレスは、異なる4つのセキュリティ侵害でも公開されていました)。

このEメールには「Detailed Invoice.xll(請求書の詳細)」というファイル名の添付ファイルが添付されています。この添付ファイルを確認すると、デジタル署名されており、信頼チェーンが適切に構成されています。このデジタル署名はHORUMに割り当てられており、参照Eメールアドレスは「admin[@]khorum[.]ru」となっています。

図2:デジタル署名の詳細

この証明書は2022年3月24日まで有効になっています。

図3:証明書の詳細

このWebサイトに直接アクセスしても、このキャンペーンの背後の組織に関する詳細はこれ以上記載されていません。

図4:Khorum.ruは空白のディレクトリが表示

WHOIS情報と同じ

図5:Korum.ruのWHOISの詳細

感染の連鎖

ユーザーがXLLファイルを開くと、Excelファイルはマクロと同様にxlAutoOpenを起動します。以下の画像では、エクスポート名が同じになっています。

図6:エクスポート名はExcelコマンドと同じ

このエクスポートによって、以下のURLへのアクセスを試みます。

hxxp://dmequest[.]com/dme/images/portfolio/products/1/csrsc.exe hosted on 68[.]67.75.66.

分析により、この実行ファイルに使用されているIPアドレスは、米国フロリダ州のWebホスティングリセラーのものであることが明らかになりました。さらに分析を進めた結果、このIPアドレスは経験上、セキュリティ侵害を受けたサーバーである可能性が高く、不正行為者自身か、不正行為者の関連者がコントロールしているものと思われます。

このサーバーを詳細に分析すると、公開されているオープンディレクトリが含まれていることがわかりました。このフォルダにはcsrsc.exeが格納されており、ディレクトリのタイムスタンプは、オリジナルの2016年の各ファイルの1つであるように変更されているように見えますが、実際には、csrsc.exeファイルは2021年に作成されていたことが分析によってわかりました。

図7:アクセス可能なディレクトリ

このディレクトリは、他にも複数の2021年6月のファイルが含まれており、別のキャンペーンで使用された可能性があります。また、過去数年間の古いキャンペーンで、この同じIPアドレスがダウンロードされていることを確認しました。これらのキャンペーンの一部には、偽のデータ復旧ソフトウェアを提供したり、PayPalを装ったりするフィッシングサイトが含まれています。一方で、これらの攻撃者がすべて関連しているのか、複数の脅威アクターが使用する単なるリースサーバーなのかを判断することは困難です。

このIPアドレスに割り当てられているドメインは複数あり、これらのパッシブDNSエントリにはさまざまな組織が含まれていますが、全体的に、このWebホスティングリセラーに所属する顧客のWebサイトのランダムなコレクションだと思われます。

XLLファイルを使用してcsrsc.exeのダウンロードが完了すると、ダウンロードされたファイルは

 「%PUBLIC%\srtherhaeth[.]eXe」として保存されます。

srtherhaeth.exeの詳細な情報

ダウンロードされたこのファイルがBuer Loaderです。Buer Loaderは2019年に初めて発見された最初のMalware-as-a-Service(サービスとしてのマルウェア)で、バンキング型トロイの木馬や他のさまざまなマルウェアの配信で脅威アクターによって使用されています。利用の拡大に伴い、その後、Ryukの脅威アクターがBuer Loaderを導入し、標的のネットワークへの最初の足がかりを構築できるようになりました。この足がかりが構築されると、悪名高いRyukランサムウェアが展開されます。Buer Loaderはその後も進化しており、この最新のバージョンの詳細なインサイト情報は次のとおりです。

srtherhaeth.exeの分析を通して、署名は無効か期限切れの可能性が高く、そのため、適切なチェーンが構成されておらず、正規の証明書として検証できないことが明らかになりました。

図8:無効なデジタル署名

図9:無効な証明書

このファイルをさらに調査すると、以下のことがわかりました:

    ファイルのバージョン情報

        著作権:Cistae

        説明:Weenong

        オリジナル名:Detrition

        内部名:Phytoflagellata

        ファイルバージョン:0, 1, 3, 1

        コメント:Nonrival

        署名日:2010-09-08 00:04:00

RUSTのクレートとツールチェイン

srtherhaeth.eXeは約2 MBです。マルウェアの世界ではこのようなサイズ範囲は一般的ではありません。これは、2021年5月にProofPointが最初に指摘したとおり、完全に書き換えられたBuer loaderの新しい亜種です。詳細に確認すると、これはRUST言語で記述され、RUSTクレート / ライブラリが使用されていることが明らかになり、このことはファイルサイズが従来のマルウェアと比較して異常であることからも説明できます。

このバージョンでは、最新バージョンのBuer Loaderと同様にwhoami(https://github.com/libcala/whoami)のRUSTクレートが組み込まれており、現在のユーザーの詳細情報(ユーザー名、フルネーム、優先言語、OS名 / バージョン、配置されている環境など)を取得することが可能で、使用バージョンは2021年3月13日にリリースされたwhoami-1.1.1であることが確認されました(https://github.com/libcala/whoami/blob/main/CHANGELOG.md

RUSTの興味深いコンポーネントの1つにツールチェインがあります。簡単に言うと、RUSTツールチェインとは、RUSTアプリケーションのコンパイルに必要なさまざまな依存関係が含まれるプログラムのコレクションのことです。

Buerで過去に使用が確認されたRUSTツールチェインは以下のとおりです。

ureq 2.0.2 

  • 最小限のHTTPリクエストライブラリ

minreq 

  • ureqより機能が少ない、最小限の依存関係のシンプルなHTTPクライアント
  • ユーザーエージェントの文字列は「something/1.0.0」

Ring

  • 公式サイトによると、Ringとは汎用的な暗号化向けの安全で高速な、小型の暗号です。Ringは、RUSTとBoringSSLの暗号プリミティブを使用しています。

最後に、このファイルは次のコマンド&コントロール(C2)サーバーから追加的な指示を受け取ります:

hxxps://shipmentofficedepot[.]com (195[.]123.234.11)

C2サーバーの「shipmentofficedepot[.]com(195[.]123.234.11)」のインサイト

30日間の詳細な分析を通してわかったことは、接続元の大半は米国の被害者のもので(66%)、興味深いことに、その後にモザンビーク(22%)、シンガポール(5%)、他の国々(1%未満)が続きます。

図10:30日間にわたる195[.]123.234.11へのすべてのトラフィック

テレメトリを大まかに確認したところ、トラフィックの3分の1以上がポート22(SSH/SFTP)を使用していることがわかりました。これらのポート22の接続のほぼすべてが、セキュリティ侵害が報告されているサーバーから接続されたものでした。これは、複数のWebサイトをホストしている共有サーバーであるため、プロバイダが不正なWebサイトをホストすることを気にしていないことがこの情報により示唆されます。

結論

不正なXLLファイルの利用は新しくはありませんが、あまり使用されません。しかし、有効なデジタル署名が使用された(攻撃時)という事実を組み合わせると、攻撃者の巧妙さと能力のレベルが高まっていると脅威研究者は考えています。使用された偽装メールは基本的なものでしたが、これは、このキャンペーンの背後のグループが単に自身の技術の有効性をテストしたことを示しているだけかもしれません。

一方で、このキャンペーンで使用された技術は、平均的な攻撃と比較して特定が困難です。このブログの例では、慎重に考え抜かれたキャンペーンとなっており、攻撃者は感染前に行動が検知されないよう、必要な時間とステップを取っていることが明らかになりました。幸い、最新の定義セットを実行しているフォーティネットのお客様は、すでにこのキャンペーンから保護されています。

フォーティネットのソリューション

FortiGuard Labsのアンチウイルスでは、このブログで言及した各サンプルを以下の名前で対応しています。

W32/Agent.ADBL!tr
W32/Buerak.TO!tr.dldr
W32/Kryptik.HLHY!tr
W32/PossibleThreat

ネットワーク上のすべての既知のIOC(Indicators of Compromise:侵害指標)はWebフィルタリングクライアントによってブロックされます。

お客様のシステム上でのさらなる実行を防止するため、すべての既知のIOCは、FortiEDRの高度なリアルタイム保護によってブロックされ、すでに当社のクラウド基盤にもインテリジェンスとして追加されています。

FortiMailFortiGuard Labsの脅威インテリジェンスが採用されており、フィッシング攻撃を検知 / ブロックしたり、不正な添付ファイルを削除 / 無害化することができます。

また、フォーティネットのフィッシングシミュレーションサービスのFortiPhishを利用すると、このようなタイプのフィッシング攻撃に対する影響度を事前対応的にテストすることができます。

また、読者の皆様には、フォーティネットの以下の無料のNSEトレーニングを受講することをおすすめします。NSE 1:Information Security Awarenessはインターネット脅威に関するモジュールが含まれており、エンドユーザーがフィッシング攻撃を特定し防御する方法を学習できるよう設計されています。

IOC (Indicators of Compromise:侵害指標)

詳細なInvoice.xll

6F9D943F88F715FF8A122D7B88AF986C1A9F38F4484E48CDE768CF22A5935EFE

srtherhaeth.eXe(Buer Loader)

C28ABAAAD1B7B2C7A37F28E974E8214F07C88FEFFEF986E0A60A44AB0FA575AA

ペイロードのダウンロードURL

hxxp://dmequest[.]com/dme/images/portfolio/products/1/csrsc.exe

C2

195[.]123.234.11

追加的なBuer Loader(接続先195[.]123.234.11)

bd734170160b363e70602626baab37a1eb93cfb2d254cf17b6ff1b5e7313b568

9d1be741e3b09057cdaffb6e87d602afff496dee364767b161dfaab7e639866d

MITRE ATT&CK

Initial Access

T1566.001 – Spearphishing Attachment

Execution

T1204.002 – Malicious File

Persistence

T1547.001 – Registry Run Keys / Startup Folder

Defense Evasion

T1218 – Signed Binary Proxy Execution

T1480.001 – Environmental Keying

T1497.001 – System Checks

T1553.002 – Code Signing

Discovery

T1082 – System Information Discovery

T1497.001 – System Checks

Collection

T1005 – Data from Local System

Command and Control

T1071.001 – Web Protocols

T1105 – Ingress Tool Transfer

Exfiltration

T1041 – Exfiltration Over C2 channel