LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

PowerShell Empireを利用した標的型攻撃

2017年7月20日、そして7月24日と立て続けにアメリカ学会より同組織を装った不審メールが送信されていることが報告されました。(図1)
当社のサイバー救急センターの脅威分析チームが、この不審メールを調査したところ、この攻撃は、PowerShell Empireを利用した標的型攻撃の可能性があることが確認できました。
今回は、当該攻撃の調査結果を報告します。

アメリカ学会より報告された情報を元にVirusTotalやPassive Total等のサービスを利用して検体を調査したところ、アメリカ学会から報告があったと思われる不審メールが確認できました。(図2)
このメールを確認すると、外部のストレージサービスからファイルをダウンロードさせ、別途送付されたパスワードで解凍させるという手口を利用しています。

図1アメリカ学会からの緊急不審メール情報
図1 アメリカ学会からの緊急不審メール情報
図2不審メール(一部抜粋)
図2 不審メール(一部抜粋)

図3は、外部のストレージサービスからファイル(日本語版アーミテージ・ナイ報告書.zip)をダウンロードしたものを7-Zipを利用してZipファイル内のファイルを確認したものです。赤枠線で囲ったように、LNKファイル(2017_富士山会合プログラム.txt.lnk)およびRTFファイル(より強固な同盟を目指して.rtf)の2つのファイルが含まれていることが確認できます。また、ファイルの作成および更新日時を見てみると、不審メールが送信された7月20日の前日の19日に作成されていることもわかります。

図3日本語版アーミテージ・ナイ報告書.zip内のファイル一覧
図3 日本語版アーミテージ・ナイ報告書.zip内のファイル一覧

それぞれのファイルを見ていきますと、まずLNKファイルについては、NotePadに紐づくWindowsショートカットファイルアイコンを持っていますが、中身はリンク先としてHTML Application (HTA)を実行する機能を持つmshta.exeがIPアドレス(80[.]209[.]252[.]70)を引数として指定されています。(図4)
このIPに接続すると、HTAファイルがダウンロードされ、mshta.exeを介して実行されます。(図5)
また、当該通信は、ポート443/TCPを利用しますが、HTTP 通信を利用していることが確認できます。

図4 2017_富士山会合プログラム.txt.lnkのメタ情報
図4 2017_富士山会合プログラム.txt.lnkのメタ情報
図580[.]209[.]252[.]70への通信
図5 80[.]209[.]252[.]70への通信

次に、RTFファイルについては、CVE-2017-0199の脆弱性を悪用する不正ファイル(図6)であり、ユーザがこの脆弱性の影響を受けるMicrosoft WordまたはWordPadでこのRTFファイルを閲覧すると、103[.]253[.]41[.]76からDoc1.rtfファイルをダウンロードし(*1)、意図せず実行してしまいます。このダウンロードされたDoc1.rtfは、RTFファイルではなく、HTAファイルであり、前述したLNKファイルがダウンロードするHTAファイルの内容とほぼ同じものとなります。

図6より強固な同盟を目指して.rtfを閲覧画面(リンク更新前後)
図6 より強固な同盟を目指して.rtfを閲覧画面(リンク更新前後)

以降では、LNKファイルからダウンロードされたHTAファイルについて見ていきます。HTAファイルは、図7に示す通り、VBScriptを利用して、PowerShellスクリプトを実行します。オプション「-enc」以降のPowerShellスクリプトはコードがエンコードされており、図8がデコードしたものです。デコードされたコードを眺めてみると、コードの書き方や実装、変数名などにいくつか特徴があることに気が付きます。

図7LNKファイルからダウンロードされたHTAファイル例
図7 LNKファイルからダウンロードされたHTAファイル例
図8デコードしたPowerShellスクリプト例
図8 デコードしたPowerShellスクリプト例

実はこのPowerShellスクリプトは、post-exploitation(*2)フレームワークであるPowerShell Empire で作成されたものです。PowerShell Empireは、主にペネトレーションテスト等で利用され、システムへ侵入後に利用する様々なモジュール(パスワードダンプやネットワーク探索等)が実装されています。Empireのlauncher stagerで作成されたPowerShellスクリプトは、暗号化方式が前のバージョンまでは、XORを利用していましたが、バージョン2.0(*3)からは、RC4が利用されるようになりました。今回のケースでは、図8の赤線枠で囲ったように、RC4が使われていることが確認できます。また、同じくバージョン2.0から実装された、Windows 10より実装される Antimalware Scan Interface (AMSI)機能を回避するコードも含まれています。

昨年頃から、PowerShell EmpireやPowerSploitなどのペネトレーションツールを流用または応用した攻撃事例を散見するようになりました。PowerShellスクリプトは、ファイルを端末上に保存せずに、メモリ上でコードを実行させることが可能であるため、ウイルス対策ソフト等で検出は難しく、今後も攻撃に悪用されるケースは増加すると考えられます。このため、PowerShellを使用していない場合は、AppLockerやソフトウェアの制限のポリシーなどを利用して、PowerShellの実行制限をご検討することを推奨します。また、HTAを攻撃に悪用する事例も増加しているため、併せてmshta.exeをAppLockerやソフトウェアの制限のポリシーなどで制限することも推奨します。

IOC(Indicator Of Compromised)

ハッシュ値

940dbe7278951bc5d1a98f00ad2aa246
7371d24fbdcd32660c38a715d7bf7a51
25dacaf77a7c4c0f5ea4ddafe83e1032
d3bbbdbedf42c498c3c1fabaa314a17b
48286a1b5e015544e760ea27f47dae22

通信先

80[.]209[.]252[.]70
103[.]253[.]41[.]76

(*1)接続先URL: hxxp://103[.]253[.]41[.]76:443/Doc1.rtf
(*2)エクスプロイトを成功後の振る舞い
(*3)http://www.harmj0y.net/blog/empire/the-empire-strikes-back/

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • CVE-2017-0199の脆弱性を悪用したマルウェア「DreamBot」の拡散

  • 日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者

  • 攻撃者グループmenuPassとマルウェア「Poison Ivy、PlugX、ChChes」の関連性