主にアジアに焦点を当てたこの新しいサイバースパイグループは、PNG ファイルから PowerShell ペイロードをステガノグラフィーで抽出するなど、文書化されていないツールを使用しています。
ESET の研究者は最近、文書化されていないツールを使用して、主にアジアのさまざまな著名な企業や地方自治体に対する標的型攻撃を発見しました。 これらの攻撃は、私たちが Worok と命名した未知のスパイ グループによって行われ、少なくとも 2020 年から活動を続けています。 PNG ファイルからのペイロード。
ウォロクとは?
ProxyShell (CVE-2021-34523) 2021 年初頭に脆弱性が公開されました。 さまざまな APT グループからの活動. XNUMX つの共通の特徴を示した TA428:
- 活動時間
- 対象業種
- ShadowPadの使い方
ツールセットの残りの部分は大きく異なります。たとえば、TA428 は 有能なデスクトップの侵害 Worok が TA2020 と同じグループであると見なすほど強い関連性はないと考えられますが、428 つのグループはツールを共有し、共通の利益を持っている可能性があります。 クラスターを作成することにし、それを Worok と名付けました。 この名前は、グループが使用するローダーのミューテックスの後に選ばれました。 その後、同じツールの亜種によるさらなる活動がこのグループに関連付けられました。 ESET のテレメトリによると、Worok は 2020 年後半から活動しており、この記事の執筆時点でも活動を続けています。
2020 年後半、Worok は複数の国の政府や企業を標的にしていました。具体的には次のとおりです。
- 東アジアの通信会社
- 中央アジアの銀行
- 東南アジアの海運会社
- 中東の政府機関
- 南アフリカの民間企業
観測された作戦は 2021 年 05 月から 2022 年 01 月にかけて大幅に中断されましたが、2022 年 02 月には次の標的を狙ったウォロクの活動が再開されました。
- 中央アジアのエネルギー会社
- 東南アジアの公的機関
図 1 は、ターゲット地域と業種の視覚的なヒートマップを示しています。
ターゲットのプロファイルと、これらの被害者に対して展開されたツールを考慮すると、Worok の主な目的は情報を盗むことであると考えられます。
テクニカル分析
初期アクセスの大部分は不明ですが、2021 年から 2022 年にかけて、ProxyShell の脆弱性に対するエクスプロイトが使用されたケースがいくつか見られました。 このような場合、通常、これらの脆弱性を悪用した後に Web シェルがアップロードされ、被害者のネットワークに持続性を提供します。 その後、オペレーターはさまざまなインプラントを使用して、さらなる能力を獲得しました。
アクセスが取得されると、オペレーターは偵察用に公開されている複数のツールを展開しました。 ミミカッツ, ミミズ, リゲオルグ, NBTスキャン、そしてカスタム インプラントをデプロイしました。つまり、第 2021 段階のローダー、次に第 2022 段階の .NET ローダー (PNGLoad) です。 残念ながら、最終的なペイロードを取得できませんでした。 2 年には、第 XNUMX 段階のローダーは CLR アセンブリ (CLRLoad) でしたが、XNUMX 年にはほとんどの場合、フル機能の PowerShell バックドア (PowHeartBeat) に置き換えられました。両方の実行チェーンを図 XNUMX に示します。ツールについては、次のサブセクションで詳しく説明します。
図 2. Work 侵害チェーン
CLRLoad: CLR アセンブリ ローダー
CLRLoad は、32 ビット バージョンと 64 ビット バージョンの両方で見られる汎用 Windows PE です。 次のステージ (PNGLoad) をロードするのは、C++ で記述されたローダーです。 共通言語ランタイム (CLR) アセンブリ DLL ファイル。 そのコードは、ディスク上の正当なディレクトリにあるファイルからロードされ、被害者やインシデント対応者に正当なソフトウェアであると誤解させるためと考えられます。
一部の CLRLoad サンプルは、次の段階でコンテンツを読み込むファイルの完全なパスをデコードすることから始めます。 これらのファイル パスは、サンプルごとに異なるキーを使用して、XNUMX バイトの XOR でエンコードされます。 デコードまたはクリアテキストのファイル パスは絶対パスです。
- C:プログラム ファイルVMwareVMware ToolsVMware VGAuthxsec_1_5.dll
- C:プログラム ファイルUltraViewermsvbvm80.dll
- C:プログラム ファイルInternet ExplorerJsprofile.dll
- C:プログラム ファイルWinRarRarExtMgt.dll
- C:プログラム ファイル (x86)Foxit ソフトウェアFoxit Readerlucenelib.dll
次に、ミューテックスが作成され、すべてのサンプルで異なる名前が見られました。 ローダーはこのミューテックスをチェックします。 見つかった場合は、ローダーが既に実行されているため、終了します。 サンプルの XNUMX つで、ミューテックス W0r0KGWhYGO グループにWorokという名前が付けられました。
次に、CLRLoad は、デコードされた可能性のあるファイル パスから CLR アセンブリを読み込みます。 アンマネージ コードとして、CLRLoad はこれを次の方法で実現します。 CorBindToRuntimeEx 32 ビット バリアントでの Windows API 呼び出し、または CLR作成インスタンス 64 ビット バリアントで呼び出します。
PowHeartBeat: PowerShell バックドア
PowHeartBeat は、PowerShell で記述されたフル機能のバックドアであり、圧縮、エンコード、暗号化などのさまざまな手法を使用して難読化されています。 ESET テレメトリに基づくと、PowHeartBeat は PNGLoad の起動に使用されるツールとして、最近の Wook キャンペーンで CLRLoad に取って代わりました。
バックドア コードの最初の層は、base64 でエンコードされた PowerShell コードの複数のチャンクで構成されています。 ペイロードが再構築されると、次の方法で実行されます IEX. デコードされると、難読化されたコードの別のレイヤーが実行されます。これを図 3 に示します。
図 3. PowHeartBeat の第 XNUMX 層のデコードされた main 関数の抜粋
バックドアの最初の base64 の XNUMX 番目の層は、そのコードの次の層をデコードします。 トリプルDES (CBC モード)。 復号化後、このコードは gzip これにより、実際のバックドアである PowerShell コードの第 XNUMX 層が提供されます。 これは、構成とバックドア コマンドの処理という XNUMX つの主要な部分に分かれています。
バックドア コードのメイン レイヤーも PowerShell で記述されており、HTTP または ICMP を使用して C&C サーバーと通信します。 これは、図 4 に示すように機能します。
図 4. PowHeartBeat の機能
構成には、バージョン番号、オプションのプロキシ構成、C&C アドレスなど、複数のフィールドが含まれています。 表 1 は、私たちが確認したさまざまなバージョンの構成フィールドの意味を示しています。
表 1. 構成フィールドの意味
| フィールド名 | 説明 |
|---|---|
| 鼻 / ikuyrtydyfg (その他のサンプル) |
未使用。 |
| クライアントID | 次の目的で使用されるクライアント識別子: ・構築時の値として クッキーヘッダー C&C通信用。 · 送信データ暗号化のための暗号アーティファクトとして。 |
| PowHeartBeat のバージョン番号。 | |
| 実行時間 | 発行時に許可される実行試行回数 実行コマンド (コマンド実行中) コマンド。 |
| ユーザーエージェント | C&C 通信に使用されるユーザー エージェント。 |
| リファラー | リファラー C&C 通信に使用されるヘッダー。 |
| AcceptEncoding | 未使用。 |
| CookieクライアントID CookieタスクID CookieターミナルID |
の構築に使用される値 クッキー C&C 通信のヘッダー。 |
| URLHttps | C&C 通信に使用するプロトコル。 |
| URLドメイン IPアドレス ドメイン |
C&C サーバーとして使用される URL、ドメイン、または IP アドレス。 もしも ドメイン は空ではありません。代わりに選択されます IPアドレス。 その他の場合、 IPアドレス とられます。 |
| URL送信ハートビート | バックドアが C&C サーバーにコマンドを要求するときに使用される URL パス。 |
| URL送信結果 | バックドアがコマンドの結果を C&C サーバーに送り返すときに使用される URL パス。 |
| URLの取得 | PowHeartBeat が C&C サーバーからコマンドを要求するために使用する完全な URL。 上記の URL 要素を連結したものです。 |
| PutURL | と同じ URLの取得 コマンドの結果を C&C サーバーに送り返すために使用されます。 |
| 現在のパス | 未使用。 |
| プロキシ有効フラグ | バックドアが C&C サーバーと通信するためにプロキシを使用する必要があるかどうかを示すフラグ。 |
| プロキシメッセージ | 使用するプロキシのアドレス プロキシ有効フラグ に設定されています $ true. |
| インターバル | スクリプトが GET リクエスト間でスリープする時間 (秒単位)。 |
| BasicConfigPath | を含むオプションの構成ファイルへのパス 稼働時間, ダウンタイム, デフォルト間隔, ドメイン. ファイルが存在する場合、これらの値は上書きされます。 |
| 稼働時間 | バックドアが動作を開始する時間帯。つまり、C&C サーバーへの GET リクエストの作成を開始します。 |
| ダウンタイム | バックドアが動作できる時間帯。つまり、バックドアが C&C サーバーへのリクエストを停止する時間です。 |
| ドメイン インデックス | C&C サーバーとの通信に使用する現在のドメイン名のインデックス。 リクエストが以下とは異なるエラーメッセージを返した場合 304 (「変更されていません」)、 ドメイン インデックス 増加しています。 |
| シークレットキー | 構成の復号化/暗号化に使用されるキー。 構成は、複数バイトの XOR で暗号化されます。 |
| IfLog | 未使用。 |
| IfLogFilePath | ロギングが有効かどうかを示すフラグ。 |
| ログパス | ログ ファイルのパス。 |
| プロキシファイル | オプションのプロキシ構成のファイル パス。 空であるか、ファイル システムで見つからない場合、バックドアはレジストリ値からユーザーのプロキシ設定を取得します。 HKCUソフトウェアMicrosoftWindows現在のバージョンインターネット設定プロキシサーバー . |
| IfConfig | 構成ファイルを使用するかどうかを示すフラグ。 |
図 5 は、PowHeartBeat サンプルから抽出された構成の例を示しています (SHA-1: 757ABA12D04FD1167528FDD107A441D11CD8C427).
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
$Script:nouse = 100; if(Test-Path $MyInvocation.MyCommand.Path){Remove-item $MyInvocation.MyCommand.Path -Force;} $Script:ClientId = “83”; $Script:Version = “2.1.3.0003”; $Script:ExecTimes = 10; $Script:UserAgent = “Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3487.100 Safari/537.36”; $Script:Referer = “www.adobe.com”; $Script:AcceptEncoding = “text/html,app1ication/xhtml+xml,app1ication/xml;q=0.9,*/*;q=0.8”; $Script:CookieClientId = “s_ecid”; $Script:CookieTaskId = “aam_uuid”; $Script:CookieTerminalId = “AAMC_adobe_0”; $Script:UrlHttps = “http://”; $Script:UrlDomain= ” 118.193.78[.]22:443″; $Script:UrlSendHeartBeat = “/latest/AdobeMessagingClient.js”; $Script:UrlSendResult = “/content/dam/offers-homepage/homepage.jpg”; $Script:GetUrl = $Script:UrlHttps + $Script:UrlDomain + $Script:UrlSendHeartBeat; $Script:PutUrl = $Script:UrlHttps + $Script:UrlDomain + $Script:UrlSendResult; $Script:currentPath = Split-Path -Parent $MyInvocation.MyCommand.Definition; $Script:ProxyEnableFlag = $false; $Script:Proxymsg; $Script:Interval = 10 ; $Script:BasicConfigPath = “C:ProgramDataunins.dat”; $Script:UpTime = 0; $Script:DownTime = 24; $Script:Domains; $Script:DomainIndex; $Script:SecretKey = “###ConfigKey###”; #$Script:IfLog = $true; $Script:IfLogFilePath = “C:ProgramDatatpncp.dat”; $Script:logpath = “C:ProgramDataunins000.dat”; $Script:ProxyFile = “C:ProgramDatahwrenalm.dat”; $Script:IfConfig = $false; |
図 5. 構成例
データ暗号化
PowHeartBeat は、ログと追加の構成ファイルの内容を暗号化します。
ログ ファイルの内容は、サンプルで平文で指定されたキーを使用して、複数バイトの XOR によって暗号化されます。 興味深いことに、 クライアントID キー配列へのインデックスのソルトとして使用されます。 キーは 256 バイトの配列で、遭遇したすべてのサンプルで同一でした。 追加の構成ファイルの内容は、 シークレットキー その鍵として。
C&Cコミュニケーション
PowHeartBeat は、バージョン 2.4 まで C&C 通信に HTTP を使用していましたが、その後 ICMP に切り替えました。 どちらの場合も、通信は暗号化されません。
HTTP
無限ループでは、バックドアが GET リクエストを C&C サーバーに送信し、発行するコマンドを要求します。 暗号化された回答は、コマンドを処理するバックドアによって復号化され、コマンド出力がファイルに書き込まれ、その内容が POST 要求を介して C&C サーバーに送信されます。
GET リクエストの形式は次のとおりです。
|
GET <UrlSendHeartBeat> HTTP/1.1 User-Agent: <UserAgent> Referer: <Referer> Host: <Domain> Cookie: <CookieClientId>=<ClientId> Connection: close |
リクエストは、同名の構成フィールドを使用して作成されることに注意してください。
C&C サーバーからの応答では、コンテンツの XNUMX 番目のバイトは、バックドアによって処理されるコマンドを示すコマンド識別子です。 私たちはそれを呼びます コマンドID. 応答の残りの内容は、処理されるコマンドに引数として渡されます。 このコンテンツは、図 6 に示すアルゴリズムで暗号化されています。 タスク ID にちなんで名付けられたCookieの値です CookieタスクID構成からの の値。
|
1 2 3 4 5 6 7 8 9 10 |
o[int] $pos = $taskId % 256; for ($i = 0; $i -lt $tmpBytes.Value.Length; $i++) { $pos = $pos + $clientId; if ($pos -ge 256) { $pos = $pos % 256; } $tmpBytes.Value[$i] = [byte]($tmpBytes.Value[$i] -bxor $hexEnc[$pos]); } |
図 6. リクエストのコンテンツ データ暗号化アルゴリズム
C&C サーバーからの応答には別の Cookie も含まれており、その名前はバックドアによって指定されています。 CookieターミナルID 構成変数。 この Cookie の値は、バックドアからの POST 要求で繰り返され、空であってはなりません。 バックドア コマンドの実行後、PowHeartBeat は結果を POST リクエストとして C&C サーバーに送信します。 結果は、次の名前のファイルとして送信されます。 .png.
ICMP
PowHeartBeat のバージョン 2.4 から、HTTP は ICMP に置き換えられ、XNUMX 秒のタイムアウトを持つパケットが送信され、 断片化されていない. ICMP を介した通信は、検出を回避する方法である可能性が最も高いです。
バージョン 2.4 以降では大きな変更はありませんが、コードにいくつかの変更が加えられていることに気付きました。
- PowHeartBeat は、文字列を含むループごとにハートビート パケットを送信します。 a B C D E F G H I J K L M O P Q R S T U V w x y z、コマンドを要求する前に。 これにより、バックドアがコマンドを受信する準備ができていることが C&C サーバーに通知されます。
- バックドアによって実行されるコマンドを取得するリクエストには、文字列が含まれています abcdefghijklmnop.
ハートビート パケットの形式は、図 7 で説明されています。
図 7. ハートビート パケットのレイアウト
違い クライアントID & クライアントフラグ つまり クライアントID サンプルごとに異なりますが、 クライアントフラグ ICMP を使用するすべてのサンプルで同じです。 ハートビートフラグ バックドアがハートビートを送信していることを示します。 C&C サーバーからの応答の形式は、図 8 で説明されています。
図 8. C&C サーバーの応答レイアウト
フラグ here は、バックドアに発行するコマンドがあるかどうかを示します。 コマンドを取得するためのリクエストの形式は、図 9 で説明されています。
図 9. コマンドを取得するためのリクエストのレイアウト
バックドアの ICMP モードでは、チャンクに分割された無制限の量のデータと変数を受信できることに注意してください。 データ長, 現在位置 & 全長 送信されたデータを追跡するために使用されます。 これらの要求への応答は、図 10 で説明されている形式になります。
図 10. コマンド取得要求に対する応答のレイアウト
HTTP 応答と同様に、コマンド ID は XNUMX 番目のバイトです。 データ.
空または一貫性のない形式のコンテンツを含む ICMP 応答が XNUMX 回連続して送信されると、バックドアと C&C サーバー間の転送は終了したと見なされます。
発行されたコマンドの結果をC&Cサーバーに送信するリクエストに関して、サーバーモードはpostモードに変更され、最後の文字列(abcdefghijklmnop) は、結果データに対して変更されます。
バックドアコマンド
PowHeartBeat には、コマンド/プロセスの実行やファイル操作など、さまざまな機能があります。 表 2 に、さまざまな分析サンプルでサポートされているすべてのコマンドを示します。
表 2. PowHeartBeat コマンドの説明
| 名前 | コマンド識別子 | 説明 |
|---|---|---|
| CMD | 0x02 | PowerShell コマンドを実行します。 |
| エグゼ | 0x04 | コマンドを プロセス. |
| ファイルアップロード | 0x06 | 被害者のマシンにファイルをアップロードします。 ファイルの内容は gzip 圧縮されています。 |
| ファイルダウンロード | 0x08 | 被害者のマシンからファイルをダウンロードし、ファイル パス、ファイル長、作成時間、アクセス時間、およびファイル コンテンツを C&C サーバーに返します。 |
| ファイルビュー | 0x0A | 特定のディレクトリのファイル情報を取得します。特に: · ファイル名 ・ファイル属性 ・最終書き込み時間 ・ファイル内容 |
| ファイル削除 | 0x0C | ファイルを削除します。 |
| ファイル名の変更 | 0x0E | ファイルの名前変更または移動。 |
| 変更ディレクトリ | 0x10 | バックドアの現在の作業場所を変更します。 |
| インフォ | 0x12 | 指定された引数に従って情報のカテゴリを取得します。 ・ "基本情報": クライアントID, 、ホスト名、IP アドレス、 explorer.exeの バージョンとサイズの情報、OS (マシンがサーバーであるかどうかを示すアーキテクチャとフラグ)、 インターバル、現在のディレクトリ、ドライブ情報(名前、種類、空き容量、合計サイズ)、現在時刻 · 「時間間隔情報」: インターバル と現在時刻 ・「ドメイン情報」:復号化された設定ファイルの内容 |
| 設定 | 0x14 | 構成ファイルの内容を更新し、構成をリロードします。 |
| 無し | 0x63 | 裏口出口。 |
バックドア側でエラーが発生した場合、バックドアは C&C サーバーへの POST リクエストで特定のコマンド識別子 0x00 を使用し、エラーが発生したことを示します。
情報を C&C サーバーに送り返す前に、データは gzip 圧縮されていることに注意してください。
PNGLoad: ステガノグラフィック ローダー
PNGLoad は、侵害されたシステムで Worok によって展開された第 64 段階のペイロードであり、ESET テレメトリによると、CLRLoad または PowHeartBeat によって読み込まれます。 PowHeartBeat には PNGLoad を直接ロードするコードは見当たりませんが、バックドアには C&C サーバーから追加のペイロードをダウンロードして実行する機能があり、攻撃者が PowHeartBeat で侵害されたシステムに PNGLoad を展開した可能性があります。 PNGLoad は、PNG ファイルのバイトを使用して実行するペイロードを作成するローダーです。 これは XNUMX ビットの .NET 実行可能ファイルであり、難読化されています。 .NETリアクター – 正規のソフトウェアを装ったもの。 たとえば、図 11 は、WinRAR DLL を装ったサンプルの CLR ヘッダーを示しています。
図 11. 偽の WinRAR DLL の例
難読化が解除されると、存在するクラスは XNUMX つだけになります。 このクラスには、 メインパス バックドアが検索するディレクトリ パスを含む属性。 。PNG 図 12 に示すように、
図12。 。PNG ファイルリスト
各 。PNG この検索で見つかったファイル メインパス 次に、ステガノグラフィ的に埋め込まれたコンテンツがないかチェックされます。 最初に、各ピクセルの R (赤)、G (緑)、B (青)、および A (アルファ) 値の最下位ビットがフェッチされ、バッファーにアセンブルされます。 そのバッファの最初の 13 バイトが図 XNUMX に示すマジック ナンバーと一致し、次の XNUMX バイトの値である control が null でない場合、ファイルは PNGLoad のステガノグラフィック コンテンツ チェックに合格します。 そのようなファイルの場合、PNGLoad に格納されているキーを使用して、複数バイトの XOR で復号化されたバッファの残りの部分で処理が続行されます。 シークレットキーバイト 属性であり、復号化されたバッファは gzip で解凍されます。 結果は、すぐに実行される PowerShell スクリプトであることが期待されます。
図 13. PNGLoad が処理から作成するバッファーのフォーマット 。PNG ファイル
興味深いことに、PNGLoad によって実行される操作は、パスが変数に格納されているファイルに記録されます。 ログファイルパス. 内部変数によって指定されたパスを持つファイルが存在する場合にのみ、操作がログに記録されます。 IfLogFilePath.
サンプルを入手できていない 。PNG ファイルは PNGLoad と共に使用されますが、PNGLoad の動作方法は、有効な PNG ファイルで動作することを示唆しています。 悪意のあるペイロードを隠すために、Worok は C# の Bitmap オブジェクトを使用します。このオブジェクトは、ファイルのメタデータではなく、ファイルからピクセル情報のみを取得します。 これは、Worok が悪意のあるペイロードを有効で無害に見える PNG 画像に隠し、目立たないようにできることを意味します。
まとめ
Worok は、独自のツールを開発するだけでなく、既存のツールを活用して標的を侵害するサイバースパイ グループです。 被害者から情報を盗むことが攻撃者の狙いだと私たちは考えています。なぜなら、彼らはアジアとアフリカの著名な組織に焦点を当てており、民間と公共の両方のさまざまな部門を標的にしていますが、特に政府機関に重点を置いているからです。 活動時間とツールセットは TA428 との関連の可能性を示していますが、この評価は信頼度が低いものです。 カスタム ツールセットには、C++ と C# .NET の XNUMX つのローダーと、PowerShell バックドアが XNUMX つ含まれています。 私たちの可視性は限られていますが、このグループに光を当てることで、他の研究者がこのグループに関する情報を共有するようになることを願っています.
ESET Researchは、プライベートAPTインテリジェンスレポートとデータフィードも提供するようになりました。 このサービスに関するお問い合わせは、 ESET脅威インテリジェンス ページで見やすくするために変数を解析したりすることができます。
IOC
| SHA-1 | ファイル名 | ESET 検出名 | コメント |
|---|---|---|---|
| 3A47185D0735CDECF4C7C2299EB18401BFB328D5 | スクリプト | PowerShell/PowHeartBeat.B | パウハートビート 2.4.3.0003。 |
| 27ABB54A858AD1C1FF2863913BDA698D184E180D | スクリプト | PowerShell/PowHeartBeat.A | パウハートビート 2.4.3.0003。 |
| 678A131A9E932B9436241402D9727AA7D06A87E3 | スクリプト | PowerShell/PowHeartBeat.B | パウハートビート 2.4.3.0003。 |
| 757ABA12D04FD1167528FDD107A441D11CD8C427 | スクリプト | PowerShell/PowHeartBeat.B | パウハートビート 2.1.3.0003。 |
| 54700A48D934676FC698675B4CA5F712C0373188 | スクリプト | PowerShell/PowHeartBeat.A | パウハートビート 1.1.3.0002。 |
| C2F53C138CB1B87D8FC9253A7088DB30B25389AF | スクリプト | PowerShell/PowHeartBeat.A | パウハートビート 1.1.3.0002。 |
| C2F1954DE11F72A46A4E823DE767210A3743B205 | tmp.ps1 | PowerShell/PowHeartBeat.B | パウハートビート 2.4.3.0004。 |
| CE430A27DF87A6952D732B4562A7C23BEF4602D1 | tmp.ps1 | PowerShell/PowHeartBeat.A | パウハートビート 2.1.3.0004。 |
| EDE5AB2B94BA85F28D5EE22656958E4ECD77B6FF | スクリプト | PowerShell/PowHeartBeat.A | パウハートビート 2.4.3.0003。 |
| 4721EEBA13535D1EE98654EFCE6B43B778F13126 | vix64.dll | MSIL/PNGLoader.A | PNGローダー。 |
| 728A6CB7A150141B4250659CF853F39BFDB7A46C | rarExtMgt.dll | MSIL/PNGLoader.A | PNGローダー。 |
| 864E55749D28036704B6EA66555A86527E02AF4A | Jsprofile.dll | MSIL/PNGLoader.A | PNGローダー。 |
| 8DA6387F30C584B5FD3694A99EC066784209CA4C | vssxml.dll | MSIL/PNGLoader.A | PNGローダー。 |
| AA60FB4293530FBFF00D200C0D44EEB1A17B1C76 | xsec_1_5.dll | MSIL/PNGLoader.A | PNGローダー。 |
| B2EAEC695DD8BB518C7E24C4F37A08344D6975BE | msvbvm80.dll | MSIL/PNGLoader.A | PNGローダー。 |
| CDB6B1CAFEE098615508F107814179DEAED1EBCF | lucenelib.dll | MSIL/PNGLoader.A | PNGローダー。 |
| 4F9A43E6CF37FF20AE96E564C93898FDA6787F7D | vsstrace.dll | Win64/CLRLoad.C | CLRロード。 |
| F181E87B0CD6AA4575FD51B9F868CA7B27240610 | ncrypt.dll | Win32/CLRLoad.A | CLRロード。 |
| 4CCF0386BDE80C339EFE0CC734CB497E0B08049C | ncrypt.dll | Win32/CLRLoad.A | CLRロード。 |
| 5CFC0D776AF023DCFE8EDED5CADA03C6D7F9C244 | wlbsctrl.dll | Win64/CLRLoad.E | CLRロード。 |
| 05F19EBF6D46576144276090CC113C6AB8CCEC08 | wlbsctrl.dll | Win32/CLRLoad.A | CLRロード。 |
| A5D548543D3C3037DA67DC0DA47214B2C2B15864 | secur32.dll | Win64/CLRLoad.H | CLRロード。 |
| CBF42DCAF579AF7E6055237E524C0F30507090F3 | dbghelp.dll | Win64/CLRLoad.C | CLRロード。 |
ファイルパス
いくつかの メインパス, ログファイルパス & IfLogFilePath PNGLoad サンプルで遭遇した値:
| メインパス | ログファイルパス | IfLogFilePath |
|---|---|---|
| C:Program FilesVMwareVMware ツール | C:プログラム ファイルVMwareVMware ToolsVMware VGAuthreadme.txt | C:プログラム ファイルVMwareVMware ToolsVMware VGAuthVMWSU_V1_1.dll |
| C:プログラム ファイルWinRar | C:プログラム ファイルWinRarrarinstall.log | C:プログラムファイルWinRardes.dat |
| C:プログラム ファイルUltraViewer | C:Program FilesUltraViewerCopyRights.dat | C:プログラム ファイルUltraVieweruvcr.dll |
ネットワーク
| ドメイン | IP |
|---|---|
| なし | 118.193.78[。]22 |
| なし | 118.193.78[。]57 |
| 飛行機.旅行コマーシャル[.]代理店 | 5.183.101[。]9 |
| 中央.suhypercloud[.]org | 45.77.36[。]243 |
ミューテックス
CLRLoad サンプルで検出されたミューテックス名は次のとおりです。
aB82UduGX0EX
ad8TbUIZl5Ga
Mr2PJVxbIBD4
OERiQtKLgPgK
U37uxsCsA4Xm
W0r0KGWhYGO
xBUjQR2vxYTz
zYCLBWekRX3t
3c3401ad-e77d-4142-8db5-8eb5483d7e41
9xvzMsaWqxMy
侵入の痕跡(IoC)とサンプルの包括的なリストは、次の場所にあります。 私たちのGitHubリポジトリ.
MITER ATT&CKテクニック
このテーブルは バージョン11 MITER ATT&CKフレームワークの
| 戦術 | ID | 名前 | 説明 |
|---|---|---|---|
| 偵察 | T1592.002 | 被害者ホスト情報の収集: ソフトウェア | パウハートビートが集まる explorer.exe の 情報を表示します。 |
| T1592.001 | 被害者ホスト情報の収集: ハードウェア | PowHeartBeat は、ドライブに関する情報を収集します。 | |
| T1590.005 | 被害者のネットワーク情報を収集する: IP アドレス | PowHeartBeat は、侵入先のコンピュータの IP アドレスを収集します。 | |
| リソース開発 | T1583.004 | インフラストラクチャの取得:サーバー | Worok は独自の C&C サーバーを使用しています。 |
| T1588.002 | 機能の取得:ツール | Workok は、侵害されたマシンに公開されている複数のツールを展開しました。 | |
| T1583.001 | インフラストラクチャの取得:ドメイン | Worok は、C&C 通信とステージングを容易にするためにドメインを登録しています。 | |
| T1588.005 | 機能の取得:エクスプロイト | Worok は ProxyShell の脆弱性を利用しています。 | |
| T1587.001 | 機能の開発:マルウェア | Worok は、CLRLoad、PNGLoad、PowHeartBeat という独自のマルウェアを開発しました。 | |
| T1587.003 | 機能の開発:デジタル証明書 | Worok は、マルウェアの相互 TLS 認証を有効にするために、Let's Encrypt SSL 証明書を作成しました。 | |
| 実行 | T1059.001 | コマンドおよびスクリプト インタープリター: PowerShell | PowHeartBeat は PowerShell で記述されています。 |
| 固執 | T1505.003 | サーバーソフトウェアコンポーネント:Webシェル | Worok は webshell を使用します リゲオルグ. |
| 防衛回避 | T1140 | ファイルまたは情報の難読化/デコード | Worok は、さまざまなカスタム XOR ベースのスキームを使用して、PowHeartBeat、PNGLoad、および CLRLoad で文字列とログを暗号化します。 |
| T1036.005 | マスカレード:正当な名前または場所と一致する | PNGLoad のサンプルは、正当に見える VMWare ディレクトリに展開されます。 | |
| クレデンシャルアクセス | T1003.001 | OS 資格情報のダンプ: LSASS メモリ | Worok は Mimikatz を使用して、LSASS メモリから資格情報をダンプします。 |
| Discovery | T1082 | システム情報の発見 | PowHeartBeat は OS 情報を収集します。 |
| T1083 | ファイルとディレクトリの検出 | PowHeartBeat は、ファイルとディレクトリを一覧表示できます。 | |
| T1046 | ネットワークサービスディスカバリ | ウォロックが使う Nbtスキャン 侵害されたマシンのネットワーク情報を取得します。 | |
| T1124 | システム時刻の検出 | PowHeartBeat は、被害者の時間情報を収集します。 | |
| 収集 | T1005 | ローカルシステムからのデータ | PowHeartBeat は、ローカル システムからデータを収集します。 |
| T1560.002 | 収集されたデータのアーカイブ:ライブラリを介したアーカイブ | PowHeartBeat は、データを C&C サーバーに送信する前に gzip 圧縮します。 | |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル | 一部の PowHeartBeat 亜種は、C&C サーバーとの通信プロトコルとして HTTP を使用します。 |
| T1090.001 | プロキシ: 内部プロキシ | PowHeartBeat は、被害者のマシンでプロキシ構成を処理します。 | |
| T1001.002 | データの難読化: ステガノグラフィー | PNGLoad はピクセル値を抽出します 。PNG ペイロードを再構築するためのファイル。 | |
| T1573.002 | 暗号化されたチャネル:非対称暗号化 | PowHeartBeat は、C&C サーバーとの HTTPS 通信を処理します。 | |
| T1095 | 非アプリケーション層プロトコル | 一部の PowHeartBeat 亜種は、C&C サーバーとの通信プロトコルとして ICMP を使用します。 | |
| T1132.001 | データエンコーディング:標準エンコーディング | Worok は、PowHeartBeat と PNGLoad で XOR エンコーディングを使用します。 | |
| T1132.002 | データエンコーディング:非標準エンコーディング | Worok は、追加のソルトを利用する XOR エンコーディング アルゴリズムを使用します。 | |
| exfiltration | T1041 | C2チャネルを介した浸透 | PowHeartBeat は、C&C 通信チャネルを使用して情報を盗み出します。 |
