検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

攻撃活動の進化: 2016年における疑似Darkleech

Brad Duncan Unit 42 12 30, 2016 at 05:00 午後

Darkleechは長期にわたる攻撃活動であり、エクスプロイト キット(EK)を利用してマルウェアを配信しています。2012年に初めて特定されたこの攻撃活動は、過去数年間にさまざまなEKを使用していろいろな種類のマルウェアを拡散させました。私たちは2016年3月における最新のこの攻撃活動について考察しました。これは攻撃活動がランサムウェアを拡散するパターンに落ち着いた後のことでした。現在“疑似Darkleech”と呼ばれているこの攻撃活動は、私たちが最後に検討したときから大幅な変化を遂げました。本日のブログ記事は2016年3月以降の疑似Darkleechトラフィックの進化に焦点を当てます。

イベントの連鎖

一般的に言って、疑似Darkleech攻撃活動がコンピューターへの感染に成功する前には、決まった形で一連のイベントが発生します。こうしたことは、使用されるEKにも配信されるペイロードにも関係せずに起こりますが、順番は以下のとおりです。

  • ステップ1: セキュリティ侵害を受けたWebサイトを被害者のホストが閲覧するが、このサイトには悪意のあるスクリプトが埋め込まれてある。
  • ステップ2: 悪意のあるスクリプトがEKのランディング ページ参照用のHTTPリクエストを生成する。
  • ステップ3: EKランディング ページが、コンピュータに脆弱なブラウザベースのアプリケーションがあるかどうかを判別する。
  • ステップ4: EKがいずれかの脆弱なアプリケーション(たとえば、古いバージョンのInternet ExplorerやFlash Player)に関するエクスプロイトを送信する。
  • ステップ5: エクスプロイトが成功すると、EKはペイロードを送信し、これをバックグラウンド プロセスとして実行する。
  • ステップ6: 被害者のホストが、マルウェア ペイロードによって感染させられる。

ある場合には、セキュリティ侵害を受けたWebサイトとEKランディング ページとの間に、ゲートが疑似Darkleech攻撃活動で使用されていました。しかし、セキュリティ侵害を受けたWebサイトに埋め込まれていたスクリプトからEKランディング ページに直接誘導される場合がはるかに多く見られました。EKと攻撃活動の間の関係についてさらに理解を深めたい読者は、EKの基本に関する以前のブログ記事を参照してください。

図1: 疑似Darkleech攻撃活動に関するイベントの連鎖

疑似Darkleechが使用するEK

疑似Darkleech攻撃活動はAngler EKを使用していましたが、それは2016年6月中旬にAngler EKが姿を消すまで続きました。他の多くの攻撃活動同様、疑似DarkleechはNeutrino EKへと切り替えましたが、それはAngler EK消滅後のことです。

2016年7月中旬まで疑似DarkleechはNeutrino EKを使用し続けました。2016年7月中旬にNeutrino EKが活動を停止しました。すると疑似Darkleech攻撃活動はRig EKへと切り替え、それ以降Rigを使用し続けています。いまだにNeutrino EK亜種の兆候は確認できますが、程度は以前に比べると大幅に減少しました。

EKの活動をAutoFocusにおいて検索してみると、2016年9月中旬を起点としてNeutrinoが著しく低下し、それに付随してRigの活動が上昇していることが分かりました。

図2: 2016年9月におけるNeutrino EKおよびRig EKの活動に関するヒット数

擬似Darkleechによって送信されるペイロード

2016年3月に、擬似Darkleech攻撃を確認したときには、TeslaCryptランサムウェアが配信されていました。それ以降、擬似Darkleechでは、配信するランサムウェア ペイロードが変更されてきました。2016年4月に、この攻撃は、TeslaCryptをシャットダウンし、そのマスター復号化キーをリリースした後、CryptXXXランサムウェアに切り替えました。2016年8月までに、擬似Darkleechは、CrypMICと呼ばれる、ランサムウェアCryptXXXの新しい亜種に切り替わりました。

2016年10月までに、擬似DarkleechはCerberランサムウェアの配信に切り替え、2016年12月上旬までCerberを送信し続けています。以下は、2016年までに擬似Darkleech攻撃活動で使用されたEKとペイロードの要約です。

  • 2016年1月: Angler EK、CryptoWallランサムウェアを配信
  • 2016年2月: Angler EK、TeslaCryptランサムウェアを配信
  • 2016年4月: Angler EK、CryptXXXランサムウェアを配信
  • 2016年6月: Neutrino EK、CryptXXXランサムウェアを配信
  • 2016年8月: Neutrino EK、CrypMICランサムウェアを配信
  • 2016年9月: Rig EK、CrypMICランサムウェアを配信
  • 2016年10月: Rig EK、Cerberランサムウェアを配信

埋め込みスクリプトのパターン

EK感染チェーンは、通常、侵害されたWebサイトで特定の攻撃によってページに埋め込まれたスクリプトから始まります。これらのページは、攻撃によって侵害され利用されている正規のWebサイトのページです。

擬似Darkleech攻撃による埋め込みスクリプトを以前に調べたときには、サイズが平均12,000~18,000文字のかなり難読化されたテキストの大きなブロックでした。2016年6月まで、大きなサイズと難読化は続きました。

図3:2016年6月の侵害されたWebサイトのページに埋め込まれた擬似Darkleechスクリプトの先頭部分。

図4: 2016年6月の侵害されたWebサイトのページに埋め込まれた擬似Darkleechスクリプトの中央部分。

図5: 2016年6月の侵害されたWebサイトのページに埋め込まれた擬似Darkleechスクリプトの終わりの部分。

しかし、2016年7月1日までに、擬似Darkleechの埋め込みスクリプトは、難読化の使用を止め、単純なiframeになりました。このiframeには、Webブラウザのウィンドウの表示可能領域の外部に配置されるspan値があります。

図6: 2016年7月の埋め込まれた擬似Darkleechスクリプトの例

埋め込みスクリプトはその後わずかに変更されましたが、2016年12月までは短く、難読化はされていませんでした。

図7: 2016年12月の埋め込まれた擬似Darkleechスクリプトの例

結論

最近のランサムウェアの増加では、引き続き、標的型攻撃と大規模配信の両方でさまざまな経路が検出されています。EKは、ランサムウェアの多数の攻撃経路の1つです。擬似Darkleech攻撃は、EKを通じたランサムウェアの目立った配信手法であり、私たちは、2017年もこの傾向が続くと予測しています。

この攻撃に関連するドメイン、IPアドレスなどの兆候は絶えず変化しています。Palo Alto Networksのお客様は、システムを侵害するEKを阻止する高度なエンドポイント ソリューションであるTrapsを含め、弊社の次世代セキュリティ プラットフォームを通じて、擬似Darkleech攻撃から保護されています。私たちは、継続してこの攻撃活動を調査し、その結果をコミュニティに伝え、さらに、脅威防御を強化していきます。


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.