Fully Undetectable PowerShell Backdoor
Fully Undetectable PowerShell Backdoor、すごい名前です。
Fully UnDetectableということで、FUD PowerShell Backdoorとも表記されます。
実際の活動が観測されています。
こんな風に進みます。
- 攻撃準備
PowerShellスクリプトを起動するマクロコードを含む悪意のあるWordドキュメントを作成します。
ファイル名は「Apply Form.docm」です。 - 初期アクセス用攻撃ツールの見た目
ファイルの名称が示す通り、ファイルの内容は求人情報です。
LinkedInベースの求人応募の内容のスピアフィッシングルアーとなっています。 - 初期感染
ファイルを開くと初期感染します。
マクロが実行され、そのマクロはupdater.vbsという名前のVBスクリプトを環境に作成します。
そしてWindowsアップデートの一部に見えるようなスケジュールタスクを作成します。 - 二段階目の感染
実行されたupdater.vbsは、新たなPowershellスクリプトを実行します。
そしてそれとは別にScript.ps1とTemp.ps1というファイル名のPowershellスクリプトも保存します。
Script.ps1とTemp.ps1は難読化されています。
難読化がうまかったのか、この脅威が観測された時点ではVirusTotalではどのセキュリティツールも検出できませんでした。 - Script.ps1
Script.ps1はC2サーバーとの通信を担当します。
C2に接続すると、コマンドを入手します。
そしてTemp.ps1を起動します。 - Temp.ps1
Temp.ps1はコマンドの実行を担当します。
C2から入手したコマンドとなる文字列を受け取り、これを復号化し、そのコマンドを実行します。
コマンドはBase64で復号化します。
ユーザ情報取り出し機能(管理者ユーザも含む)、ログイン履歴確認機能、ターミナルサーバ一覧機能、などが実行されます。
バイナリで構成されたマルウェアはロジックを少し変更するだけでHASHを使うことを無益化できます。
スクリプトで構成されたマルウェアも内容の書き方を変更することで検出を回避することができてしまっています。
各セキュリティベンダーは、こういった新しい情報を常に入手し、新しい技法に対応し続けていくことが必要です。
利用者の立場としては、環境を最適な状態に保ち、利用者教育を徹底するなどの通常実施しているべき対策を継続していくということになるのかもしれません。
参考記事(外部リンク):SafeBreach Labs Researchers Uncover New Fully Undetectable
PowerShell Backdoor
www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/
