暗躍するPowerDrop

新しいマルウェアが観測されています。
初めて存在が確認されたのは2023年5月です。
どんなものなのでしょうか。

• PowerShellを使って構成されたマルウェアである
• PowerShellのスクリプト本体はディスクなどの保存領域に直接ファイルとしては保存されない
• PowerShellのコマンドライン引数は平文文字列ではない
  PowerShellのスクリプトはファイルとして保存されていませんので実行時にはスクリプト内容がPowerShellに直接渡されて動作することとなります。
  渡される様子は「powershell -window hidden -enc XXXXXXXXXX」のような形式です。
  PowerShellのプロセスは通常は実行時に窓が表示されて動作しますが、この引数の指定で窓が表示されるのが一瞬だけに変更できます。
  そしてさらに渡されるスクリプト内容はBase64で符号化されたものが渡されます。
  これによりEDRなどでの検出が困難となります。

   

• 待ち受け機構としてWMIが利用される
  WMIはWindows Management Instrumentationの略で、WindowsのOS管理の機構です。
  WMIは管理用の機構であるため、いくつもの機能を備えています。
  その機能の中には通信を受信する機能もありますし、通信を送信する機能もあります。
  このマルウェアは自分自身をWMIのイベントフィルターとして登録します。
  これによりこのマルウェアはほぼ確実に120秒に1回動作できるという永続性を手に入れることができてしまいます。

   

• C2との通信が暗号化されている
  C2との通信にはICMPパケットが使用されます。
  通常ICMPのペイロード部分は積極的に活用されませんが、PowerDropはその部分に伝えたい内容を挿入します。
  そしてその挿入される内容は暗号化されています。
  攻撃者にとってICMPは一見こういった用途に便利ですが、厳しい部分もあります。
  ICMPの128バイトを超える応答パケットは複数に分割されてしまいます。
  そのためこういった用途には利用しにくいといえるのですが、このマルウェアはここにも対策する機能を有しています。
  分断される中身の先頭と末尾に特定の文字列を挿入し、それらが出現するまでをひとまとまりとして連結して処理します。
  かなり手が込んだ構造といえます。
  攻撃ツールを構成する上ではこれは困難なことですが、また同時に実装完了後の動作の場面を見ますと、検出されにくい仕上がりにできた原因のひとつともなっているように思えます。

このマルウェアは初期感染経路がまだ特定されていません。
そして活動が観測されているのは現時点では航空宇宙防衛産業のみです。
しかし、だからといって、安心できるものとは考えないほうがよさそうです。
PowerDropの実現した攻撃の手法と論理的に同じものや類似したものが、別のマルウェアという形でいずれ登場することも考えておくべきでしょう。

参考記事（外部リンク）：PowerDrop: A New Insidious PowerShell Script for Command and
Control Attacks Targets U.S. Aerospace Defense Industry
adlumin.com/post/powerdrop-a-new-insidious-powershell-script-for-command-and-control-attacks-targets-u-s-aerospace-defense-industry/