UPSTYLE

GlobalProtectというファイアウォールプロダクトがあります。
この製品の脆弱性を悪用する攻撃活動の解析の中で確認されたマルウェアに、UPSTYLEがありました。
UPSTYLEとはどのようなものなのでしょうか。

• Pythonスクリプト
  UPSTYLEはPythonで作成されたマルウェアです。

   

• UPSTYLEの自動実行機能
  UPSTYLEは「.pth」ファイルとして悪意ある機構を設置します。
  もともとは.pthファイルはPythonスクリプトが実行される際に参照させたいパス一覧を書き込めるファイルです。
  .pthファイルを配置することでpythonのモジュール検索パスに任意のディレクトリを追加できます。
  この本来の用途を実現するために、.pthファイルの内容は、なんらかのPythonスクリプトが実行され、そのなかでなんらかのimport行が動作するたびに実行されることになります。
  もともとは.pthには参照させたいPATHのリストが記述されるのですが、それとは別の機構が記述されたとしても、この同じタイミングで実行されてしまうことになります。

   

• UPSTYLEのC2とのやり取り手法
  UPSTYLEはC2から指示を受け取って動作します。
  しかし、指示は直接通信して受け取るようにはなっていません。
  指示は間接的に届けられます。
  攻撃者はUPSTYLEの設置された環境のWeb機構に特定のパターンを含む存在しないWebページを要求します。
  このWebページは存在しませんので、これによりWeb機構はエラーをログに書き出します。
  UPSTYLEはこのエラーログを解釈し、C2の指示内容を取り出します。
  UPSTYLEは指示に従って活動を実施し、活動の終了の際には利用したエラーログなどのファイルを内容的にもタイムスタンプ的にも元の状態に戻します。
  このC2とのやり取り機構がUPSTYLEの自動実行機能の内容として実行される構造となっていました。

便利な機構というのは、いつも裏と表があるようです。
今回のGlobalProtectの脆弱性を悪用する攻撃キャンペーンの例では、UPSTYLEの悪事は、結局は、全体としては意図した内容で実行されなかったようですが、このマルウェアで悪用されている手法は非常に強力なものです。
この作戦が他のマルウェアでも採用されてしまうことを想定した対策が必要ということになりそうです。

参考記事（外部リンク）：Zero-Day Exploitation of Unauthenticated Remote Code
Execution Vulnerability in GlobalProtect (CVE-2024-3400)
www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/