CVE-2019-1458とxPack
xPackはバックドアです。
中国に関連しているとされているAntlionがこのマルウェアを使用しています。
このxPackを使った攻撃活動が非常に長期間にわたって実施されていた事例がいくつか確認されています。
175日間潜伏していたという事例や250日間潜伏していたという事例があります。
送り込まれたxPackはこんな感じです。
- WMIコマンドをリモートで実行する
WMIはWindows Management Instrumentationです。
Windows OSを管理することを目的にMicrosoftが開発した機構です。
WMIを活用することで、Windowsシステムの状態を示す情報を取得できます。 - EternalBlueエクスプロイトを動かす
最初に観測されてからかなりの時間が経過していますが、いまも使われることが少なくないようです。 - .NETローダーとして動作する
AESで暗号化されたペイロードをフェッチして実行する.NETローダーとして動作します。
持ってくるペイロードには、C++で書かれた次の段階のローダーや、SMBセッションの列挙ツール、ファイル転送ツール、Mimikatzを使った認証回避のためのツールなどがあります。 - データを取り出す
SMBを介して共有をマウントしてC2サーバにデータを送ります。
xPackは特権昇格にCVE-2019-1458を使用します。
名前からもわかるようにこの脆弱性は新しいものではありません。
2019年12月に出された更新を適用していない環境がこの脅威の被害にあっています。
攻撃活動の巧妙さは加速しています。
問題のあるURLを訪問してしまうこともあるかもしれません。
そんなときに少しでも被害を成り立たせてしまう可能性を下げるということを考える場合、できる対策は継続的なパッチ適用なのではないでしょうか。
参考記事(外部リンク):State hackers’ new malware helped them stay undetected for
250 days
www.bleepingcomputer.com/news/security/state-hackers-new-malware-helped-them-stay-undetected-for-250-days/
