好まれるSYSTEMBC

SYSTEMBCは、バックドア機能を提供できるSOCKS5プロキシの実装です。
ランサムウェアを展開する脅威アクターが好んで使用するツールの一つです。
脅威アクターは、初期侵害の後、このツールを使って永続的なアクセスを手に入れることができます。

• SYSTEMBCを使用するマルウェアファミリー
  RHYSIDIA, BLACKBASTA, CUBA, GOOTLOADER, EMOTET

   

• 入手経路
  このツールは、ダークウェブで購入することができます。

   

• 構成要素
  このツールには、インプラントマルウェア、C2サーバー、PHP管理ポータルが含まれています。
  サーバ部分はWindowsで利用することもできますし、Linux機器で利用することもできます。
  サーバ部分のインストール手順書も簡単に入手できます。

   

• 機能：SOCKS5プロキシ
  侵害環境で展開されたインプラントモジュールは、最初の動作時にC2に接続します。
  C2からはそれぞれの侵害環境に個別のポート番号が割り当てられ、以降の接続に利用します。

   

• 機能：ローダー
  これは、侵害環境にファイルを送り込んで動作させる機能を提供します。
  入手が完了したファイルはランダムな名称で配置され、1回だけ実行されたらなくなるタイプのスケジュールタスクから起動されます。
  これにより、送り込まれたファイルの動作時の親プロセスがsvchost.exeとなります。
  これは、それぞれの送り込んだファイルや、もともとのマルウェアであるインプラントモジュールとの関連性の調査を困難にします。
  悪意ある活動の一部が検出されてしまったとしても、まだ別の悪事部分を継続利用できる可能性を残す特徴として作用します。

   

• 機能：モジュール読み込み
  追加で実行したい機能をファイルで送り込むという形式ではなく、シェルコードをインプラントに送信してインプラントにシェルコードを実行させるという機能です。
  送り込まれたシェルコードはファイル状態を経由しません。
  侵害環境のメモリを確保し、シェルコード実行用のthreadを作成してシェルコードを実行します。
  このため、ディスクフォレンジックツールによる収集やアンチウイルス機構による防御を回避できる可能性がある方式です。
  ただし、この手法は親プロセスがインプラントとなってしまうため、この意味ではローダーに比較して必ずしも優れた機能とはいえそうにありません。

このツールは、脅威アクターのメインのバックドアとして使われる場合もありますし、他のバックドアのバックアップ手段として利用される場合もあります。

攻撃ツールをめぐる攻撃者とセキュリティ研究者の戦いは、常にイタチごっこです。
SYSTEMBCの悪用は増加していますが、調査情報の公開で研究者側の対策も前進することでしょう。

参考記事（外部リンク）：Inside the SYSTEMBC Command-and-Control Server
www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server