PNGステガノグラフィーからバックドア

ほぼこもセキュリティニュース By Terilogy Worx

ステガノグラフィーとは、情報隠蔽技術の一つであり、情報を他の情報に埋め込む技術のことです。
画像ファイルや動画ファイルのデータの中に別の情報を混ぜ込んで侵害環境にペイロードを持ち込むものです。
この種の新たな実際の攻撃が観測されています。

攻撃は次のように進んでいきます。

  • 初期侵害
    この一連の攻撃の進んでいく様子は解析が進んでいますが、初期侵害の部分についてはまだ明らかになっていません。
  • CLRLoader
    2段階目の攻撃を実現するものにつけられた名前がCLRLoaderです。
    CLRLoaderはMicrosoft Visual C++で記述されたDLLファイルです。
    次のステージのローダーを読み込むためのものになっています。
    この手の話でよく出てくるsvchost.exeを使った動きでこのCLRLoaderを動作させます。
    多重感染を予防するための排他制御機構もこの部分が担当します。
  • PNGLoader
    3段階目の攻撃を実現するものにつけられた名前がPNGLoaderです。
    PNGLoaderは名前の通りPNG ファイルからバイトを抽出し、実行可能なコードに再構築するローダーです。
    .NET Reactorを利用して難読化された.NET DLLファイルの形式になっています。
    PNGファイルを読み込み特定の8バイトの並びを検出するとそれ以降の部分からデータを抽出します。
    抽出されたデータはGzip形式になっています。
    ちなみにデータの埋め込まれた画像ファイルは画像ファイルとして通常の方法で閲覧してもなんら特別な兆候は見られません。
    これは攻撃者が「最下位ビット (LSB) エンコーディング」と呼ばれる手法を使用したためと解釈されています。
    この手法は、悪意のあるコードの小さなチャンクを画像のピクセルの重要度の低いビットに埋め込むものです。
  • PowerShellスクリプト
    4段階目の攻撃の2つのうちの1つがPowerShellスクリプトです。
    これはPNGLoaderによって取り出されたものです。
    この実物はまだ補足されていませんが、別のバイナリの実行結果を非同期に待つための動作部分を担当していると考えられています。
  • DropBoxControl
    4段階目の攻撃の2つのうちのもう1つがDropBoxControlです。
    これもPNGLoaderによって取り出されたもので.NET C#で作成されたInfo Stealerです。
    C2通信と取得したファイルの流出のためにDropBoxファイルホスティングサービスを悪用します。
    このモジュールは多機能です。
    任意コマンド実行機能、DropBoxからのファイル入手機能、DropBoxへのファイルアップロード機能、侵害環境のファイル削除機能、侵害環境のファイル名変更機能、システム情報収集機能、自分自身の更新機能などを有します。

この攻撃は現時点ではWorokに関連したものと考えられていて、一部の限られたAPTプロジェクトとしてのみ利用されていると思われます。
しかしこの攻撃の手法はいずれ他の攻撃にも組み込まれていくものとなるかもしれません。
攻撃者と同等かそれ以上に防御側でも継続的な研究が必要ということかもしれません。

参考記事(外部リンク):PNG Steganography Hides Backdoor
decoded.avast.io/martinchlumecky/png-steganography/

参考記事(外部リンク):Worok: The big picture
www.welivesecurity.com/2022/09/06/worok-big-picture/