Quasar RATの多段階読み込み
Quasar RATは、オープンソースのリモートアクセストロイです。
GitHubで公開されている、C#でコーディングされた高速かつ軽量のリモート管理ツールです。
ご丁寧にスタートガイドも開発者が用意してくれています。
案内されたとおりに使うと、用途は、ユーザーサポートから日常の管理業務、従業員の監視まで多岐に利用可能なものに思えますが、悪意を持って使うことで強力な攻撃ツールになります。
このQuasar RATを実際の攻撃キャンペーンで悪用している活動が確認されています。
この攻撃キャンペーンの注目の点は、マルウェアの読み込み手法です。
次のように進みます。
- 攻撃の開始点はISOファイル
ISOファイルは光ディスク用アーカイブファイルの形式で、ファイルやフォルダーを格納して配布することができます。
このISOのなかに攻撃ツールが配置されて配布されます。 - ISOの中身の3つのファイル
ISOの中には、正規のWindowsファイルのCTFMON.EXEの名前を変更したもの、CTFMON.EXEの読み込むDLLの名前を変更したもの、CTFMON.EXEの読み込むDLLの名前と同じにした悪意あるDLL、が含まれます。 - 実行開始
CTFMON.EXEの名前を変更したものが実行されると、CTFMON.EXEの読み込むDLLの名前と同じにした悪意あるDLLが読み込まれます。
DLLの読み込みはファイル名で識別されて動作するため、このように動作します。
そして悪意あるコードの実行が開始されます。
もともと必要だった機能は、CTFMON.EXEの読み込むDLLの名前を変更したものに含まれていますので、これを読み込むことでエラーにはなりません。 - ステージ1ファイルの生成
CTFMON.EXEの読み込むDLLの名前を変更したもののなかには、いくつかの内容が含まれます。
次の段階で使用する攻撃ツールそのものを暗号化した内容、そしてその暗号化された内容を復号化するための機構が含まれています。
復号化機構は元のファイルに含まれていたデータを使用し、次の段階のマルウェアを利用できる状態にします。 - ステージ1がステージ2を生成
このファイルも構造化されています。
64ビットMSILバイナリファイルで、zipアーカイブ形式で保存された3つのバイナリを含むリソースセクションが含まれています。
これが実行されると、3つのバイナリがシステムに配置されます。
3つのファイルは、正規のWindowsファイルのCALC.EXEの名前を変更したもの、CALC.EXEの読み込むDLLの名前を変更したもの、CALC.EXEの読み込むDLLの名前と同じにした悪意あるDLL、です。
ISOの中身の攻撃ツールの配置と論理的に同じになっています。これがステージ2のファイル群です。 - ステージ2の実行
ステージ2として置かれたCALC.EXEが実行されます。
実行オプションとして終了するためのコマンドラインオプションが指定されていますので、実行が開始されるとすぐにCALC.EXEは終了します。
しかし、その起動した瞬間に悪意あるコードは読み込まれていますので、悪事は継続します。
悪事の内容は、またもやデータの復号化とその結果の配置です。
配置といっても、ファイルとして置かれるわけではありません。
正規のツールの使用するメモリ空間に悪意あるコードが置かれます。
手法は、process hollowingです。プロセスの空洞化ですね。 - ステージ2の実行結果はMSIL
また同じ手法の繰り返しになっています。
ステージ2の実行結果はMSILファイルです。
この段階のMSILの中身が、Quasar RATです。 - Quasar RATの活動
もともとのQuasar RATに搭載されている機能を使用し、さまざまな活動が実施されます。
キーロギング、パスワードの盗用、スクリーンショットの取得、リバースプロキシ、ファイルのダウンロードとアップロードなどの機構を使用し、侵害環境の情報を集めます。
この脅威も、活動開始後に動作を抑制することが困難な構造になっています。
そもそもとして、出所の確かでないファイルを取り扱わないようにすることで対応することが重要に思えます。
ダウンロードしたISOファイルをちょっと開いただけ、これだけで、残念な結果となってしまいます。
セキュリティソリューションでの保護も重要ですが、それだけでなく組織のメンバーが意識することが重要ということなのでしょうね。
参考記事(外部リンク):Double Trouble: Quasar RAT’s Dual DLL Sideloading in Focus
www.uptycs.com/blog/quasar-rat
