検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

Dukesが研究開発によって新たな分析回避手法を発見

Robert FalconeおよびMicah Yates 9 12, 2016 at 05:00 午後

※本記事は2016年9月9日に米国で掲載されたブログ記事の抄訳を基にしています。

攻撃の成功率を上げると共に、侵害したシステムにアクセスできる期間を延ばすため、攻撃者は絶えず検出回避と分析回避の手法を探しています。場合によっては、脅威グループは、インターネットで話題になっている手法を攻撃活動に用いることもあります。たとえばSofacyグループは、2014年に公開されたブログでOffice Test持続手法を見つけています。2016年8月10日に発生した最近の攻撃を分析中に、私たちはDukes脅威グループ(別名APT29、CozyBear、Office Monkeys)が前例のない興味深い分析回避手法を使っていることを確認しました。このブログで解説する分析回避手法を使っていることから、この脅威グループが新しい分析回避手法を継続的に調査していることは確実です。

悪意のあるマクロ

2016年8月10日に発生した攻撃において、Dukesグループは悪意のあるOLEファイル(SHA256: 23a8a6962851b4adb44e3c243a5b55cff70e26cb65642cc30700a3e62ef180ef)を使っていました。具体的には、悪意のあるペイロードをドロップして実行するマクロが含まれたExcelスプレッドシート(.xls)です。悪意のあるペイロードは、このマクロが次の場所に保存するダイナミック リンク ライブラリ(DLL)です。

%APPDATA%\Adobe\qpbqrx.dat

このDLLがシステムに保存されると、マクロは次のコマンドラインを使ってペイロードを実行します。

rundll32.exe %APPDATA%\Adobe\qpbqrx.dat,#2

上のコマンドの"#2"は、rundll32アプリケーションがDLLのエントリ ポイントとして扱う、DLL内のエクスポート関数を示しています。この場合、rundll32アプリケーションは、エクスポート関数の名前を使うのではなく、序数2でエクスポート関数を呼び出します。

分析回避トリック

エクスポート関数を序数で呼び出す手法は、目新しい手法でも独自の手法でもありませんが、話が面白くなるのはここからです。序数でエクスポート関数を使うということは、エクスポート関数名は不要であり、このDLLの開発者は、図1のオレンジ色のボックスに示すようにエクスポート関数名を空白のままにできることを意味します。

図1 関数名が空白であることを示す、Dukes ペイロードのエクスポート アドレス テーブル
 

これらのエクスポート関数名を空白のままにすることには、どのような意味があるのでしょうか。最初に挙げられる明白な理由は、マルウェアのアナリストが関数名を使用して関連サンプルを相関付けできない点です。また、そこまで明白ではないにせよ、人気のあるIDA逆アセンブラのバグを利用できるという理由もあります(このバグは先日、最新バージョンのIDAで修正されました)。図2は、最新バージョンではありませんが最近のバージョン(具体的にはバージョン6.9.160222)のIDAでDLLを開いた状態を示しています。[Exports]タブを見るとエクスポート関数はDllEntryPointだけであり、空白の名前を持つ他の関数は一切表示されていません。

図2 DukeペイロードをIDAバージョン6.9.160222で開き、エクスポート関数が1つだけ表示された状態
 

図3は、IDAの最新バージョン、特に、すべてのエクスポートされた関数、それらの空白の名前、それぞれの序数を表示するバージョン6.95.160808で開かれたDLLを示しています。

図3 すべてのエクスポートされた関数を表示するIDA 6.95.160808で開かれたDucksペイロード
 

迅速さを伴う

分析時に、2つのバージョンのIDA間でエクスポートされた関数の表示に相違がある背後の理由を探ろうとしました。IDAバージョン6.95のリリース ノートによれば、図4のオレンジ色のボックスで示すように、IDA逆アセンブラは、名前が空の場合、DLLのエクスポートされた関数は検出せず、表示しません。この空白のエクスポート名手法は、IDAの最新バージョンを所有していないマルウェア アナリストを対象に分析の難度を高めることができる分析回避手段です。

図4 DLLエクスポート問題を示すIDAバグ修正
 

このバージョンのIDAのリリース ノートは2016年8月8日に投稿されました。それは、攻撃でその手法を活用してペイロードを配信した2日前です。この脅威グループは、IDAでバグ修正の原因となったこのバグを見つけたか、または分析を困難にする方法を見出すためにIDAリリース ノートのバグ修正を監視しているかのいずれかであると確信しています。正確にはわかりませんが、IDAリリース ノートの順番と攻撃日から、後者がもっともらしい説明だと考えています。また、後者は、グループがすばやく分析回避の機会を見つけ、ツールセット内にその手法を導入できることも示唆しています。

結論

脅威グループは、検出を回避し、ペイロードの分析に必ず伴う困難さを高めるための新たな手法を探求しています。グループがインターネット上のオープン ソースから手法を取り入れたと思われる今回のインシデントからわかるとおり、すべての探求が脅威グループ内部の労力に基づいているわけではありません。この場合、Dukes脅威グループは、ツールのリバース エンジニアリングが課せられるマルウェア分析では、通常、IDA逆アセンブラを使用することを知っています。このグループは、特にこの場合は、彼ら独自の対抗手段を導入するために既知のマルウェア分析ツールを監視することで、分析ツールを回避する方法を探しているようです。脅威グループの分析回避手法に追随するために、これをリマインダーとして、古いバージョンのIDAを実行しているツールを更新する必要があります。

標的とされた組織および個人での共通点の所見、既知のDukesツールHAMMERTOSSに共通する手法(特に、セカンダリ ペイロードをダウンロードするための画像とステガノグラフィの使用)、C2をホストするための侵害されたサーバの使用方法を含め、このインシデントとDukes脅威グループの関与については、引き続き必要に応じて詳細を提供していきます。


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.