エグゼクティブ サマリー
Orcus RAT と RevengeRAT は、攻撃で多用されている 2 種類のリモート アクセス型トロイの木馬(RAT)です。RevengeRAT は 2016 年に登場して以来、世界中の組織や個人を狙った攻撃で幅広く使用されてきました。RevengeRAT に関連するソース コードは以前に一般公開されたことで、悪意のある目的で攻撃者に利用されています。RevengeRAT を利用して企業ネットワークに侵入しようとする、互いに無関係な攻撃者は多数存在しています。彼らの目的はネットワークへの最初の侵入経路を確立し、水平方向に移動した上で、金銭につながる機密情報を盗み出すことです。Orcus RAT は、今年の初めに、作成者とされる人物に対するカナダ警察の捜査活動によってニュースになりました。
最近の調査では、幅広いマルウェア配布キャンペーンで RevengeRAT と Orcus RAT の使用を確認してきました。標的となってきたのは政府機関や金融機関、IT サービス プロバイダー、コンサルティング会社などです。これらのキャンペーンでは、独自の戦術、手法、手順(TTP)も複数確認されてきました。たとえばファイルレス マルウェアで多用される一般的な永続化手口や、C2 インフラを隠すための難読化手法、自動分析プラットフォーム(マルウェア サンドボックスなど)による検出を回避するための手法、などです。
攻撃の特徴は、時間の経過とともに変化しています。企業ネットワークへの侵入効率を高め、長期的な目標を達成するために、攻撃者が常に手口を進化させているからです。
電子メール攻撃
マルウェア配布キャンペーンに関連した感染プロセスには、時間の経過と共にいくつかのバリエーションが見られました。大半の電子メールは、Better Business Bureau(BBB)などの機関から送られた「標的組織への苦情メール」を装っています。以下に、電子メールの一例を示します。
フィッシング メール
Better Business Bureau だけでなく、Australian Competition & Consumer Commission(ACCC、オーストラリア公正取引委員会)や Ministry of Business Innovation & Employment(MBIE、ニュージーランド企業・技術革新・雇用省)など、BBB と関連がある他の組織を装った電子メールも確認しています。
従来のマルウェア攻撃には、悪意のあるコンテンツ(マルウェア感染原)に標的を誘導するリンクが含まれていました。そうした従来の手口では、SendGrid 電子メール配信サービスを利用して、攻撃者が制御するマルウェア配信サーバに標的をリダイレクトしていました。
ある電子メールに含まれていたリンクは、以下の SendGrid URL を指しています。
https://u12047697[.]ct[.]sendgrid[.]net/wf/click?upn=X2vR6- 2FdIf8y2XI902U8Tc8qh9KOPBogeTLss4h7AKXe0xRjCQw1VcMTssPPPTU28KY7PwUPERvVvIa8n4VQD-2Fw- 3D-3D_tIiqtngjMfK6xwiZyGxyMuaZ5weLruJKBoFJsVrKYBziY2h51ElcQ2ocLru0oJCxt- 2FOlkcr6RH8ktqTc-2B-2BQjmMscOQaeiy2zw8OOUb6nD0f1srQnQG-2B- 2BIXtpubqjWMnnIHxJg3TvgFRq0itu75WQHjsdUv1O1g-2FrQzQAyJkGQN6vC9fH5R4R4FyLG9ahUnvbnHt- 2FEmdUJQuft0jfw2c5uPBA2M5Yspgi-2Fodr8cEU2b8-3D
この URL は、攻撃者が制御するサーバでホストされている URL にクライアントをリダイレクトします。このサーバは、感染源となる PE32 ファイル(32 ビット版の PE ファイル)を内包する ZIP アーカイブをホストしています。以下に、ZIP アーカイブを取得して感染プロセスを続行する HTTP GET 要求の例を示します。
ZIP ファイルのダウンロード
ダウンロードされた ZIP ファイルには PE32 ファイルが含まれています。この PE ファイルを被害者が実行すると、システムが Orcus RAT に感染します。ファイル名には二重拡張子(478768766.pdf.exe)が使用されていますが、Windows OS のデフォルト設定では最初の拡張子(.PDF)しか表示されません。また、ファイルのアイコンは Adobe Acrobat を連想させるデザインです。
二重拡張子のトリック
このローダ(478768766.pdf.exe)は、SmartAssembly .NET プロテクター(以下を参照)によって保護されていますが、d4dot によって簡単に難読化を解除できます。ローダは Orcus RAT の抽出と復号化を行います。以下の画面に示すように、「Resource」の「人豆认关尔八七」から Orcus 実行ファイルを抽出します。
Orcus ローダのリソース
以下の画面に含まれている Class5 smethod_1 メソッドは、リソース セクションのコンテンツを復号化し、元の Orcus RAT PE ファイルを復元します。
リソース セクションのペイロードの復号化
以下に示す smethod_3 が、最終的に別のローダ インスタンス(478768766.pdf.exe)を起動し、この中に Orcus PE ファイルをインジェクトします。その後 smethod_3 のプロセスが再開され、478768766.pdf.exe プロセス コンテキストのメモリ内で Orcus RAT PE ファイルが実行されます。つまり、元の Orcus RAT PE ファイルがクリア テキストでディスクに書き込まれることはありません。これにより、ウイルス対策システムでファイルを検出するのがさらに難しくなります。
プロセス インジェクション メソッド
このローダは、以下のスタートアップ ディレクトリに実行可能ファイルへのショートカットを作成することで、永続化を行います。
C:\Users\<Username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
同時に、%APPDATA%\Roaming\trfgtf\rfgrf.exe に本体をコピーし、rfgrf.exe.bat ファイルを作成して起動します(以下を参照)。rfgrf.exe.bat ファイルは 60 秒ごとにローダのコピーを実行します。
rfgrf.exe.bat
その後の攻撃では感染プロセスが変更され、電子メールで SendGrid の URL が活用されなくなりました。電子メールの内容は変化していませんが、以下のように、ZIP アーカイブが添付されるようになりました。
フィッシング メール
添付された ZIP アーカイブには、悪意のある PE32 ファイルを取得して実行する不正なバッチ ファイルが含まれています。このバッチ ファイルを実行するとシステムが感染します。以前のバッチ ファイルでは、ZIP アーカイブのホストに使用されていたサーバから、追加の不正ファイルが取得されていました。
悪意のある .bat ダウンローダ
このバッチ ファイルで注目すべき点は、一般的に見られない難読化手法が使用されていることです。初期の攻撃では、ファイルの先頭に「FF FE 26 63 6C 73 0D 0A」というバイトが付加されていたため、多くのファイル パーサーがファイルの内容を UTF-16 LE として解釈しました。その結果、パーサーはバッチ ファイルの内容を正しく表示できませんでした。
Unicode 難読化標準エディタ
同じファイルを 16 進数エディタで開くと、上記の先頭バイトを見てとれます。
Unicode 難読化 16 進数ビュー
これはよく知られた手法で、こちらのフォーラムのスレッドで確認できます。
以降の .bat ダウンローダでは、分析をより困難にするために難読化されるようになりました。使用された難読化手法は、実行時に解決される変数ですべての文字を置換しているだけのシンプルなものです。
難読化された RevengeRat .bat ダウンローダ
復号化されたバージョンの .bat ファイルは以下のようになります。難読化されていない .bat ファイルと同様に、.js ファイルがローカル ディレクトリ(C:\windows\r2.js)にダウンロード・実行されます。
難読化された .bat ファイルの復号化
この r2.js ファイルは、難読化された別のスクリプトです。このスクリプトには、大量の不要な文字と長い 1 行のコードが埋め込まれています。
ダウンロードされた r2.js ファイル
このスクリプトは、「TVqQ…」文字列をレジストリに書き込みます。
r2.js ペイロード
レジストリ キーに保存されたエンコード済みマルウェア
このスクリプトは、感染プロセスの最後にこの文字列をロードし、復号化して実行します。
r2.js ペイロード復号化ルーチン
dnSpy でこのペイロードを逆コンパイルすると、RevengeRAT が表示されました。
逆コンパイルされた RevengeRAT バイナリ
コマンド&コントロール(C2)サーバの難読化
多くの一般的な RAT と同様に、ここでの C2 インフラでも、攻撃者のインフラを難読化するために(DDNS)を活用しています。ただしこれらのマルウェア キャンペーンでは、追加の手口が使われています。インフラをさらに難読化するために、DDNS 設定で Portmap サービスが使用されているのです。
ポートマップは、ファイアウォールの内側にあるシステム、またはインターネットに直接公開されていないシステムへの外部接続を容易にするために設計されたサービスです。
ポート フォワーディング サービス
上記のシステムが外部に接続する際は、ポートマップ サービスへの OpenVPN 接続を開始します。OpenVPN は、ポート マッピング経由でシステムへの要求を処理します。このような、C2 インフラを難読化する目的で OpenVPN を悪用する攻撃は増加傾向にあります。
HTTPS 証明書
上記に示したように、マルウェアが C2 インフラに使用する DDNS ホスト名の DNS 設定は、実際にはポートマップ サービスを指しています。ホストに関連付けられている SSL 証明書の発行元は Let’s Encrypt です。
ペイロードの解析
Talos が詳しく分析したキャンペーンでは、少なくとも Orcus RAT と RevengeRAT の 2 種類の RAT が使われていました。いずれの RAT もソース コードがアンダーグラウンドで流出しているため、複数の攻撃者がソースコードを基に独自の亜種を作成しています。以下に、流出した RevengeRAT バージョンと、Talos が分析したバージョンの比較を示します。
流出したマルウェアと修正されたマルウェアの比較
攻撃者はソース コードを若干変更しています。元のコードを別の関数に移動し、実行順序を少々変更するとともに、変数の追加といった多少の変更が行われていますが、全体的なコードは流出したコードと非常に似ています。ただし、これらの変更によってウイルス対策ソフトウェアはコードを異なるバイナリだと解釈しています。
興味深いのは、両方の(クライアント)ID が同一の名前、CORREOS を指していることです。Nuclear_Explosion ファイル(RevengeRAT)では、単に base64 エンコード「Q09SUkVPUw==」と定義されています。
RevengeRAT Atomic クラスの設定
復号化された Orcus XML 設定
まとめ
今回ご紹介したようなマルウェア配布キャンペーンは今も世界中で続いており、幅広い組織を標的にしています。RevengeRAT と Orcus RAT は攻撃で多用されている 2 種類の RAT ですが、今後も攻撃の初期段階で使用され続けると考えられます。
このようなマルウェアから組織を防御するには、包括的な多層防御セキュリティが必要です。各種の RAT を使った攻撃は毎秒発生しているからです。RevengeRAT と Orcus RAT のソース コードが容易に入手できるため、各 RAT の新しい亜種は今後も登場し続けるでしょう。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
マルウェア キャンペーンに関連して、次のような侵害の兆候(IOC)が確認されています。
ZIP ハッシュ(SHA256):
c66c96c8c7f44d0fd0873ea5dbaaa00ae3c13953847f0ca308d1f56fd28f230c
d6c5a75292ac3a6ea089b59c11b3bf2ad418998bee5ee3df808b1ec8955dcf2a
BAT ハッシュ(SHA256):
20702a8c4c5d74952fe0dc050025b9189bf055fcf6508987c975a96b7e5ad7f5
946372419d28a9687f1d4371f22424c9df945e8a529149ef5e740189359f4c8d
PE32 ハッシュ(SHA256):
ff3e6d59845b65ad1c26730abd03a38079305363b25224209fe7f7362366c65e
5e4db38933c0e3922f403821a07161623cd3521964e6424e272631c4492b8ade
JS ハッシュ(SHA256):
4c7d2efc19cde9dc7a1fcf2ac4b30a0e3cdc99d9879c6f5af70ae1b3a846b64b
ドメイン:
次のドメインは、マルウェア キャンペーンに関連していることが確認されています。
skymast231-001-site1[.]htempurl[.]com
qstorm[.]chickenkiller[.]com
IP アドレス:
次の IP アドレスは、マルウェア キャンペーンに関連していることが確認されています。
193[.]161[.]193[.]99
205[.]144[.]171[.]185
本稿は 2019年8月28日に Talos Group のブログに投稿された「RAT Ratatouille: Backdooring PCs with leaked RATs」の抄訳です。