COVID-19をテーマとする脅威からサイバーセキュリティ・コミュニティがシステムを防御するのを支援するため,Nozomi Networks Labsは,進化する状況についてthreat intelligence 調査を行っている.例えば,私たちは,アジアで非常に活発に活動している,最近 COVID-19 パンデミックを活用するためにマルウェアの配信ベクターを適応させた,多 数の脅威行為者を監視しています.
この脅威行為者が使用する最初のエクスプロイトと永続的な技術,そしてその目標は,セキュリティコミュニティ内で非常によく理解され,議論されています.今回の寄稿では,ネットワークトラフィックの分析が,この特定の脅威行為者による侵害の検出にどのようにつながるかを検証する.
Chinoxy Backdoorマルウェア・ファミリーがどのように動作し,どのようなツールを使って検出できるかを見てみましょう.
マルウェア「Chinoxy Backdroor」がCOVID-19を悪用して被害者を陥れる手口
この新バージョンのマルウェアファミリーの配信ベクターは通常,CVE-2017-11882を悪用したRTF文書の形をとり,文書のコンテンツには意図した被害者を罠にかけるために特別に細工されたメッセージが含まれています.この場合,作者は,国連がCOVID-19と戦うためにキルギスタンに提供している支援を悪用することに焦点を当てています.
被害者がドキュメントを開き,エクスプロイトが正常に実行されると,3つの主要なアーティファクトがターゲットマシンにドロップされる:
- 永続化メカニズム,この場合は実行ファイルを指すlnkファイルで,ユーザーがログインしたときに実行される.
- lnkファイルが指す,有効なデジタル署名を持つクリーンな実行ファイル.
- クリーンな実行ファイルによってサイドロードされるインプラントを含む DLL.

サイバー脅威分析:ポート443がC&Cサーバーとの通信に使用される
DLLの内部状態に基づいて,異なるHTTPヘッダーを使用してコマンド・アンド・コントロール・サーバー(C&C)に通信を戻すことができる.
逆アセンブルのスクリーンショットは,HTTPリクエスト行が実行時にどのように入力されるかを示している.これは,システム時間,スレッドID,プロセスIDのような,ターゲットマシーンから取得したデータを使用しています.

感染したマシンは,C&Cサーバーと通信するために,宛先ポート443で平文のHTTPトラフィックを送信する.
Nozomi Networks ラボは,感染を検出するための SNORT ルールを開発した.このルールは,マルウェアが要求するリクエスト形式を使用したPOSTリクエストがネットワークトラフィックに見られる場合にアラートを生成する.
#Nozomi Networks Labsによって作成された.
alert tcp any any -> any 443 (msg:"Chinoxy C&C POST Beacon"; flow:established,to_server; content:"POST"; pcre:"/\/[A-F0-9]{16}\/\d{4}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/[A-F0-9]{16} HTTP\/1\.1/"; content:"User-Agent: Mozilla/5.0"; sid:9000071; priority:9; metadata:created_at 2020_04_14;)
SNORTルールは,COVID-19サイバーセキュリティ およびGitHubのウェブページから入手可能です.アップデートは随時掲載されます.
OT およびIoT セキュリティにはリアルタイムのネットワーク監視が必要である.
脅威行為者は,そのツール,戦術,手順を常に進化させている.それにもかかわらず,彼らがネットワーク・データを流出させる際には,必ず痕跡が残ります.
OT/IoT ネットワークで行われている活動を明確に理解し,そのような情報に基づいて行動する能力は,サイバーセキュリティ戦略を成功させる鍵である.
参考文献
- https://medium.com/@Sebdraven/new-version-of-chinoxy-backdoor-using-covid19-document-lure-83fa294c0746
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
- https://attack.mitre.org/techniques/T1073/
- https://attack.mitre.org/techniques/T1071/