RDPで取り出すRDStealer
RDStealerというインフォスティーラー型マルウェアの活動が観測されています。
これまでもRDPを起点とした侵害は多く観測されてきていますが、RDStealerのRDPの悪用はこれまでのものとは少し異なっています。
こういう流れで侵害は実行されます。
- 仕掛けの設置
初期感染の方法は明らかになっていませんが、まずはRDStealerが脆弱なRDPサーバに仕掛けられます。
RDPはRemote Desktop Protocolです。
仕掛けられたRDStealerは次のタイミングが来るのを待ち受けます。 - RDPの開始
RDPサーバで待ち受けていると、そのうち誰かがRDPで接続してきます。
それはそうですよね。
RDStealerはこれをトリガーとして活動を開始します。 - CDMの確認
RDStealerは接続されてきたリモート接続がCDMを利用できるものであるかどうかを確認します。
CDMはClient Drive Mappingです。
もともとCDMはリモート接続での操作を利用する際に、接続者の手元の環境と接続先の環境でファイルのやり取りを実施しやすくするために使われるものです。
リモート接続機器との間でクリップボードの共有ができる機能などもよく利用されますが、そのようなリモート接続を便利にする機能の一つです。 - CDMの開始
CDMは通常はリモート接続の利用者が利用するために使用されます。
しかしここでは異なります。
RDStealerがCDMを開始します。
RDStealerはtsclientというCDM名でリモート接続してきた人の手元環境のドライブをRDPサーバ上にマッピングします。 - CDM完了の通知
RDStealerは新たな被害環境を得たことがわかると、その情報をC2に送信します。
送信には、同じ侵害先ネットワークの上に用意したプロキシサーバーを経由して行われます。
通知される情報はCDM接続の完了した機器のホスト名とIPアドレスです。 - CDMでの情報の取り出し
CDMでリモート接続クライアントのドライブはRDPサーバで参照できる状態になりました。
この接続を悪用し、マルウェアはリモート接続クライアントのPCのファイルを収集します。
通常OSが置かれるCドライブをまずは収集対象としますが、その後すべての他のドライブも収集対象となります。
そして収集されたファイルは盗み出されます。 - バックドアの設置
バックドアの名前はLogutilです。
Logutilといっても、あの大騒ぎとなったJavaのLogutilではありません。
Goで書かれたバックドア型のマルウェアです。
これがリモート接続クライアントに設置されます。
このバックドアはC2と直接接続することもできますし、CDM完了の通知の際に使っていたプロキシを経由して利用することもできます。
コマンド実行、ファイルの送信や受信といったバックドアに期待される一通りの機能が実装されています。
普段自分の使っている機器には脆弱性対策パッチの適用は十分にできているという人は多いでしょう。
しかしこのケースでは、利用するRDPサーバが十分に安全でないとその利用者に侵害の範囲が広がってしまうというものになっています。
このRDStealerによる活動も、始まってしまうと技術的な要素の関係で、途中での検出や防御は容易ではなさそうです。
そもそも侵害が開始されない状態に保つことが重要ということでしょうか。
身の回りの必要十分な範囲のすべての機器が適切な状態である、という状態に保ちたいですね。
参考記事(外部リンク):Unpacking RDStealer: An Exfiltration Malware Targeting RDP
Workloads
www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads/
