※ 本記事は2018年9月7日(米国時間)に米国で掲載されたブログ記事の抄訳版となります。

2018年8月15日、トレンドマイクロ社がMicrosoft Internet ExplorerのVBScriptエンジンにおけるリスクの高い脆弱性を詳細に記述したブログ記事を公開しました(CVE-2018-8373)。この脆弱性は本稿執筆現在(2018年9月7日)で最新バージョンのInternet Explorerを実行中のエンドポイントと、関連パッチを適用していないWindowsに影響します。

エクスプロイトは悪意のあるWebホスト hxxp://windows-updater[.]net/realmuto/wood.php?who=1?????? で行われており、Qihoo 360による分析の結果、DarkHotelのAPT攻撃との関連が指摘されています。今年初めには同攻撃者による別のVBScript脆弱性(CVE-2018-8174)の悪用も確認されていました。同社は攻撃初期段階のペイロードについても完全な分析を行っています。このペイロード名はzlib1.dllです。

 

traps prevents 1

図1悪意のあるサンプルで観測された攻撃フロー

 

図1は、悪意のあるサンプルについて観測された攻撃フローです。まず、侵害を受けた端末が悪意のあるWebホスト(1)のエクスプロイトURLを参照します。 ここで返されるWebページには、vbscript.dllでUAF(Universal Authentication Framework ユニバーサル認証フレームワーク)を悪用するVBScriptが含まれています。 このエクスプロイトは、Read/Write命令を実装することでエクスポートされた関数のアドレスを特定してリークさせ、偽のCONTEXT構造を作成後、NtContinue()関数を使ってシェルコード上のVirtualProtect()関数へジャンプし、その後、偽のCONTEXT構造のアドレスに直接に戻ります(2)。トレンドマイクロ社のブログで、このエクスプロイト フェーズが完全に分析されています。

次にこのシェルコードは、先と同じ悪意のあるWebホスト(hxxp://windows-updater[.]net/realmuto/wood.php?var=xxx&name=dr.john&q=yyy&d=z) から初期ペイロード(DLL)を一時ファイル(3)としてダウンロードし、当該一時ファイルをさらに別の一時ファイル(4)に復号後、LoadLibrary() 関数 (5) によってロードします。

x86系システム上でこのペイロードは自身を%ALLUSERSPROFILE%\zlib1.dll (6)としてドロップし、mmc.exe を使ってUACをバイパス(7)した後、rundll32.exe (8)により自身を再実行します。x64系システム上では、iexplore.exeからメインロジックを直接実行します。

初期ペイロードのメインロジックは、感染したコンピュータの構成を送信し、先と同じ悪意のあるWebホスト(hxxp://windows-updater[.]net/dragon/config-donkey.php?inst=xxx&name=yyy)から2つ目のペイロードをダウンロードして(9)復号し、そのままメモリから反射的にロードします(10)。

残念ながら弊社では2つ目のペイロードのサンプルを入手できなかったため、こちらについては分析が行えませんでした。

 

Trapsがどのようにこの脅威を防止したか

パロアルトネットワークスの次世代エンドポイントセキュリティ製品 Traps™ Advanced Endpoint Protection は、何重ものマルウェア対策、エクスプロイト対策を提供してこうした複雑な脅威からお客様環境を保護します。

先の脅威が悪用していた数々のエクスプロイト テクニックは、Traps のエクスプロイト防御で防止されます。これに加え、機械学習によるローカル解析、WildFireとの統合により、攻撃の様々な段階で悪意のあるペイロードが実行されることを防止します。図1にはTrapsロゴが複数描かれていますが、これらのロゴが示しているのは、同脅威の侵害に対してTrapsがそれ以降の攻撃進行を阻止していたであろうと思われるポイントです。

何年も前にリリースされた古いバージョンのTrapsであっても、とくに設定を変更したりポリシーを更新したりする必要もなく、このエクスプロイトの実行を防止できていたはずです。

AutoFocusをお使いのお客様は、当該攻撃者グループをDarkHotelのタグで追跡できます。


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 10190

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5217

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 3755

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1708

MiraiとGafgytの新たなIoT/Linuxボットネット攻撃キャンペーン

パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42は、インターネット上で公開されているMiraiおよびGafgytマルウェア ファミリのソースコードを使った3種類のマルウェア攻撃キャンペーンに属するサンプルをいくつか調査するうち、これまでMiraiの亜種が使用したことのないDDoS手法がいくつかサポートされていることを発見しました。
Palo Alto Networks,
  • 0
  • 525