PY#RATION

PY#RATIONは攻撃キャンペーンの名前です。
名前が示すようにPythonが使われています。
どんなものでしょうか。

• 初期アクセスはメール
  攻撃はメールの受信から始まります。
  メールには添付ファイルがあります。
• 添付ファイルはパスワード付きZip
  メールのアンチウイルス機構はパスワードが付いていることによって機能が制約されることが多いです。
  この手は広く知れ渡ってしまっていますが、現在も自動識別されにくいという点では一定の効果があります。
  このパスワード付きZipの解凍を操作者が実施するのか、という部分が攻撃の広がりにくさを感じますが、まだ現役の手法ということでしょうか。
• 添付ファイルの中身は画像ファイル
  画像ファイルに見えるように作成されていますが、ファイルとしてはLNKファイルです。
  LNKファイルを画像ファイルを閲覧する気持ちでダブルクリックすると、LNKファイルが開かれます。
  通常のLNKファイルはなんらかの別のファイルを開く動作となりますが、ここでは侵害環境に2つのバッチファイルを配置し実行します。
• バッチファイルはexe取得
  バッチファイルを実行すると、外部からexeファイルを取得します。
  単純にファイルを外部から取得する手順ではないため、活動を検出して対策することは容易ではなさそうです。
  この段階で永続化も施されます。
• exeはpackしたPythonコード
  取得されたものはexeファイルなのですが、それはPythonのコードをexe化したものになっています。
  今回のキャンペーンでは、exe化にはpy2exeが使われていました。
  py2exeとpyinstallerで作成されたexeなら、pyinstxtractorでの逆コンパイルが可能なため、exe化はされていましたが研究者に詳細に動きを解析されてしまっています。
• Pythonコードの内容の一部は暗号化されている
  これも自動での解析を困難にしているポイントになっています。
  コードの一部がfernetで暗号化されています。
  しかしその暗号化されたコードを復号化する機構が暗号化文字列の外側のPythonコードにそのまま見ることができたため、自動での解釈は困難だとしても研究者によって内容は確認できてしまっています。
• マルウェア部分の機能性はよくあるRAT
  特別な機能はなさそうですが、よくみるRATの機能を搭載しています。
  ネットワークを使った列挙機能、C2との相互のファイル送受信機能、キーロガー機能、コマンド実行機能、ブラウザの認証情報抽出機能、クリップボード取得、アンチウイルス機構の検出、といったものです。

この攻撃キャンペーンそのものは、特別な注意や対策が必要なものではないかもしれません。
従来取り組んでいるような通常の安全のための活動が必要十分に実施されていれば感染は回避できることも多いように思われます。

しかし、この攻撃キャンペーンでも新しい手法が使われていることが明らかになったともいえます。
この手法は攻撃コードの一部を暗号化して自動解析で悪意あるコードが含まれているかを検出することを容易ではなくすることができそうです。
PY#RATIONのソースは現時点では公表されているわけではなさそうですが、検体を入手してしまえば逆コンパイルでソースは手に入ります。
またソースが手に入らなくても手法は論理的に模倣をすることができるとも思えます。

新たな手法が投下されたと考え、新たな対策の検討の開始が必要な状態となったようです。

参考記事（外部リンク）：Securonix Security Advisory: Python-Based PY#RATION Attack
Campaign Leverages Fernet Encryption and Websockets to Avoid Detection
www.securonix.com/blog/security-advisory-python-based-pyration-attack-campaign/