はじめに
サイバーセキュリティアナリストとして、私は高度な持続的脅威(APT)の変化する環境とこれらの高度な脅威主体が使用するマルウェアを密接に監視してきました。この記事では、特定のAPTマルウェアサンプルの詳細な分析を行い、その実行、静的分析、および埋め込まれたペイロードの抽出と分析を探っていきます。これらの脅威主体の手法を理解することで、私たちや組織がそのような攻撃に対して防御する準備をすることができます。
マルウェアサンプルの実行
ビデオの登場者は、Excel アドイン ファイルの「summer collection outfits.xlam」をバーチャルマシンで実行し、その挙動を観察します。プロンプトが表示されたら、マクロを有効にすると、マルウェアが実行されます。マルウェアはその後、「Dely fashion」ドキュメントを開き、Excel ウィンドウの追加など、いくつかの不審な活動を行います。この初期の実行から、マルウェアの機能と意図した動作について重要な洞察が得られます。
マルウェアの静的分析
登場者は「oletools」スイートの「olevba」ツールを使用して、マルウェアサンプルからVisual Basic for Applications(VBA)コードを抽出し分析します。VBAコードには、ドキュメントが開かれたときに自動的に呼び出される「workbook_activate」、「workbook_open」、「workbook_sheet_calculate」などのサブルーチンが含まれています。これらのサブルーチンは、ユーザーのAppDataフォルダにオリジナルのワークブックをコピーしたり、実行可能なスクリーンセーバーファイルを作成するなど、メイン機能を呼び出しています。
埋め込まれたペイロードの抽出と分析
登場者は抽出されたVBAコードをさらに探索し、Base64でエンコーディングされた複数の埋め込みオブジェクト(XL Embedding)を特定します。これらの埋め込みオブジェクトには、実際のマルウェアペイロードが含まれている可能性があるため、別のファイルとして抽出されます。登場者はPEViewやdnSpyなのツールを使用して、抽出されたスクリーンセーバーファイルを分析します。このファイルは.NET アセンブリであり、Crimsonリモートアクセストロイ(RAT)の一部です。
コマンド・アンド・コントロールインフラストラクチャの特定
.NETアセンブリの分析から、マルウェアのコマンド・アンド・コントロール(C2)機能が明らかになります。マルウェアは、複数の事前定義されたポート番号を使用して、「Q.HEC.duckdns.org」というドメインに接続しようとしています。登場者は、CyberChefなどのツールを使用して、マルウェアサンプルから難読化されたドメインとIPアドレス情報を復号し、マルウェアのインフラストラクチャに関する重要な洞察を得ています。
マルウェアと既知のAPTグループとの関連付け
登場者は、ブログ記事の情報に基づいて、分析したマルウェアサンプルを「Transparent Tribe」と呼ばれるAPTグループに関連付けています。ブログ記事では、このグループがCrimsonRATを使用し、偽装Excelドキュメントや埋め込まれたペイロードなど、分析したマルウェアと同様の手法を採用していることが述べられています。さらに、登場者はオリジナルのマルウェアサンプルと抽出された.NETアセンブリのVirusTotalの検出率を提示し、これらのファイルの悪意を確認しています。
まとめ
この APTマルウェアサンプルの詳細な分析は、脅威主体が検出を回避し、標的システム内での存続を維持するために使用する高度な手法を強調しています。マルウェアの実行、静的分析、埋め込まれたペイロード、およびC2インフラストラクチャなど、さまざまなコンポーネントを理解することで、サイバーセキュリティ専門家は脅威インテリジェンスを強化し、自組織をこのような攻撃に備えることができます。継続的な監視、分析、そしてセキュリティコミュニティ内での協力が、高度な持続的脅威との戦いにおいて不可欠です。
主なポイント:
- このマルウェアサンプルは、「Transparent Tribe」APTグループが使用しているCrimsonリモートアクセストロイ(RAT)の一部です。
- マルウェアは、偽装Excelドキュメント、埋め込まれたペイロード、難読化されたコマンド・アンド・コントロールインフラストラクチャの使用など、さまざまな手法を使って検出を回避しています。
- VBAコードと抽出された.NETアセンブリの静的分析から、マルウェアの機能と「Transparent Tribe」APTグループとの関連性について重要な洞察が得られています。
- 脅威インテリジェンスの監視、マルウェアサンプルの分析、セキュリティコミュニティ内での協力は、高度なAPT攻撃に対して防御するために不可欠です。