ライブデモ:Nozomi Networks 15分でわかるプラットフォーム
今すぐ登録
アカデミー
ラボ
採用情報
パートナーログイン
サポート
COVID-19 チノキシ・バックドアネットワークの視点

COVID-19 チノキシ・バックドアネットワークの視点

アレッサンドロ・ディ・ピント
|
2020年4月20日

COVID-19をテーマとする脅威からサイバーセキュリティ・コミュニティがシステムを防御するのを支援するため、Nozomi Networks Labsは、進化する状況についてthreat intelligence 調査を行っている。例えば、私たちは、アジアで非常に活発に活動している、最近 COVID-19 パンデミックを活用するためにマルウェアの配信ベクターを適応させた、多 数の脅威行為者を監視しています。

この脅威行為者が使用する最初のエクスプロイトと永続的な技術、そしてその目標は、セキュリティコミュニティ内で非常によく理解され、議論されています。今回の寄稿では、ネットワークトラフィックの分析が、この特定の脅威行為者による侵害の検出にどのようにつながるかを検証する。

Chinoxy Backdoorマルウェア・ファミリーがどのように動作し、どのようなツールを使って検出できるかを見てみましょう。

マルウェア「Chinoxy Backdroor」がCOVID-19を悪用して被害者を陥れる手口

この新バージョンのマルウェアファミリーの配信ベクターは通常、CVE-2017-11882を悪用したRTF文書の形をとり、文書のコンテンツには意図した被害者を罠にかけるために特別に細工されたメッセージが含まれています。この場合、作者は、国連がCOVID-19と戦うためにキルギスタンに提供している支援を悪用することに焦点を当てています。

被害者がドキュメントを開き、エクスプロイトが正常に実行されると、3つの主要なアーティファクトがターゲットマシンにドロップされる:

  • 永続化メカニズム、この場合は実行ファイルを指すlnkファイルで、ユーザーがログインしたときに実行される。
  • lnkファイルが指す、有効なデジタル署名を持つクリーンな実行ファイル。
  • クリーンな実行ファイルによってサイドロードされるインプラントを含む DLL。
スレット・アクター
この脅威者は、国連がキルギスのCOVID-19撲滅を支援しているというRTFファイルをクリックさせることでシステムを感染させます。

サイバー脅威分析:ポート443がC&Cサーバーとの通信に使用される

DLLの内部状態に基づいて、異なるHTTPヘッダーを使用してコマンド・アンド・コントロール・サーバー(C&C)に通信を戻すことができる。

逆アセンブルのスクリーンショットは、HTTPリクエスト行が実行時にどのように入力されるかを示している。これは、システム時間、スレッドID、プロセスIDのような、ターゲットマシーンから取得したデータを使用しています。

分解スクリーンショット
逆アセンブルのスクリーンショットは、HTTPリクエスト行が実行時にどのように入力されるかを示している。これは、システム時間、スレッドID、プロセスIDのような、ターゲットマシーンから取得したデータを使用しています。

感染したマシンは、C&Cサーバーと通信するために、宛先ポート443で平文のHTTPトラフィックを送信する。

Nozomi Networks ラボは、感染を検出するための SNORT ルールを開発した。このルールは、マルウェアが要求するリクエスト形式を使用したPOSTリクエストがネットワークトラフィックに見られる場合にアラートを生成する。

#Nozomi Networks Labsによって作成された。

alert tcp any any -> any 443 (msg:"Chinoxy C&C POST Beacon"; flow:established,to_server; content:"POST"; pcre:"/\/[A-F0-9]{16}\/\d{4}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/\d{1,2}\/[A-F0-9]{16} HTTP\/1\.1/"; content:"User-Agent: Mozilla/5.0"; sid:9000071; priority:9; metadata:created_at 2020_04_14;)

SNORTルールは、COVID-19サイバーセキュリティ およびGitHubのウェブページから入手可能です。アップデートは随時掲載されます。

OT およびIoT セキュリティにはリアルタイムのネットワーク監視が必要である。

脅威行為者は、そのツール、戦術、手順を常に進化させている。それにもかかわらず、彼らがネットワーク・データを流出させる際には、必ず痕跡が残ります。

OT/IoT ネットワークで行われている活動を明確に理解し、そのような情報に基づいて行動する能力は、サイバーセキュリティ戦略を成功させる鍵である。

参考文献

見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
見つかりませんでした。
アレッサンドロ・ディ・ピント
著者について

アレッサンドロ・ディ・ピント

Security Research Manager,Nozomi Networks .アレッサンドロ・ディ・ピントは、マルウェア解析、ICS/SCADAセキュリティ、侵入テスト、インシデントレスポンスに豊富な経験を持つ攻撃型セキュリティ認定プロフェッショナル(OSCP)です。GIAC Reverse Engineering Malware (GREM) および GIAC CyberThreat Intelligence (GCTI) 認定資格を保有。研究論文「TRITON: The First ICS Cyber Attack on Safety Instrument Systems」および「Analyzing the GreyEnergy Malware: from Maldoc to Backdoor」を共著。

関連記事

マングース狩り:Mongooseウェブサーバーライブラリにおける10の脆弱性の発見

信頼の問題:マター・プロトコルの脆弱性を暴く

GoAhead で発見されたセキュリティ上の欠陥は、埋め込み型 Web サーバーに影響を与える可能性があります。 IoT デバイス

Espressif ESP-NOWの欠陥により攻撃者は通信を再生することができる

サブスクライブ

LinkedIn

デモ

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat Intelligence (脅威インテリジェンス)Smart PollingPSIRT

プロフェッショナルサービス

概要デザイン配備ファストトラック最適化プロジェクト管理

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細

パートナーリソース会社概要お問い合わせアカデミー採用情報ラボリーガル
LinkedIn ロゴ
© 2024 Nozomi Networks Inc. All Rights Reserved.プライバシーポリシーと認証。システムの状態