BatCloak -> ScrubCrypt

BatCloakとScrubCrypt、これらはなんでしょう。
ともに難読化に使用されるツールです。

これらを使った実際の攻撃活動が観測されています。
流れを見てみましょう。

• メールが送られてくる
  メールは荷物が配達されたことを伝える内容のフィッシングメールです。
  メールにはSVGファイルが添付されていて、巧みな本文で誘導し、添付のSVGを開かせようとします。
  SVGは通常2次元のグラフィック、グラフ、イラストをwebサイトで表示する場合によく使用されるツールです。
  PNGなどの形式に比較すると、ファイルのサイズを小さくできる場合が多いため、利用者としては警戒しにくいかもしれません。

• 添付を開く
  被害者が添付のSVGを開きます。
  これは単なるグラフィックのデータのみではなく、Base64でエンコードされたデータが含まれています。
  SVGを開くと、このエンコードされた部分が展開されます。

• ZIPファイルが配置される
  SVGからファイルが出てきてローカルに配置されます。
  配置されるファイルの形式はZIPファイルです。

• ZIPのなかのBATを実行する
  ZIPファイルの中には、バッチファイルが入っています。
  このバッチファイルは、一見、何の処理をしているのかわかりません。
  バッチファイルは通常は人が読みやすい書式で書かれていますが、このバッチファイルは異なります。
  このファイルは、BatCloakで難読化されています。

• BATが動作する
  バッチが動作を開始すると、PowerShellの実行ファイルと、それに渡して使用するデータが配置されます。

• PowerShellが動作する
  持ち込まれたPowerShellが渡されたデータを復号化します。
  またしても、この機構は別のバッチファイルを作成し配置します。
  配置が終わると、途中で生成されたファイル群を削除します。

• 別のBATが動作する
  このバッチは、前述のBatCloakとは別の難読化ツールです。
  このバッチは、ScrubCryptです。
  Base64形式でエンコードされた2つのペイロードが組み込まれている形式になっていて、AES-CBC復号化とGZIPの解凍の方法で中身を取り出します。

• マルウェアを取り込む
  2つのペイロードのうちの1つ目は、マルウェアを取り込み、永続化します。
  デバッガによる解析が環境で動作していないかについての確認機能も搭載しています。
  持ち込まれるマルウェアはVenomRATです。

• 回避する
  2つのペイロードのうちの2つ目は、回避機能を持っています。
  搭載されている回避機能は、AMSIバイパスとETWバイパスです。
  AMSIはMicrosoftのセキュリティ機能のWindows Antimalware Scan Interfaceです。
  AMSIバイパスはこれを回避します。
  ETWはEvent Tracing for Windowsです。
  こちらはMicrosoft Defenderに搭載される機能ですが、これをETWバイパスで回避します。

攻撃手法は次々に新しいものが出てきます。
なかにはこの例のように、1つの攻撃活動の中に複数の難読化ツールによる難読化が実施されたものも出てきています。
難読化は、解析者による手動の解析では内容を調査することができる場合もありますが、通常のセキュリティ対策機構の範囲では判別が容易ではありません。
既存の安全のための機構の効能のみによって安全を担保することは期待できそうにありません。
その添付ファイルを開くかどうか決断するのは、私たちです。
安全が保てるかどうかは、私たち次第です。

参考記事（外部リンク）：ScrubCrypt Deploys VenomRAT with an Arsenal of Plugins
www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins