サウジアラビア当局は最近、ハードディスクを消去してコンピュータを麻痺させるShamoon 2malware に警戒するよう、王国の組織に警告した。2012年、シャムーンはサウジアラムコを麻痺させたが、この新しい亜種は、サウジ労働省やいくつかのエンジニアリング・製造会社を標的にしていたと伝えられている。
最近の分析で、Vectra Networksは、スピアフィッシング配信された悪意のある文書と組み合わせて使用されていると思われる悪意のあるコンポーネントに遭遇しました。
これらの文書は、PowerShellを使用して偵察ツールをダウンロード・実行し、被害者のネットワークへの足がかりを作る。ISMとして知られるこのツールは、リモート・オペレーターがShamoon 2で痕跡を消す前にシステムをデータマイニングできるようにする本格的なスタンドアローン・ツールのようだ。
ISMは、最近のmalware に比べて比較的小さなバイナリである。サイズはおよそ565~580KBで、Microsoft Visual C++ 8.0を使ってコンパイルされているようだ。一旦実行されると、このツールは標的とされたシステムに関する重要な情報をできるだけ多く収集するために、いくつかのアクションを実行する。
これは、いくつかのアンチサンドボックスと分析メソッドを含み、その動作を正常に完了するために実行されている "ISM.exe "の存在を特に探します。
このツールは、対象となるマシンに関する以下の情報を取得する:
- アンチウイルス製品のインストール
- ファイアウォール製品のインストール
- 現在のシステム日付と時刻
- 現在のシステムのタイムゾーン
- ローカル「管理者」アカウントのドメイン
- 完全なnetstatダンプ(netstat -ant)
- ipconfig の完全なダンプ (ipconfig /all)
- username%環境変数
- userdomain%環境変数
- 完全なシステムプロファイル情報ダンプ (systeminfo)
- 現在実行中のプロセスのリスト(タスクリスト)
- WPADと現在のプロキシ設定
このツールはまた、システムのシャットダウンが成功しなかった場合に、Windowsの初期化プロセスであるwinit.exeをタスクキルすることによって、システムのシャットダウンを強制する。スケジュールされたタスクを作成し、アプリケーションやシステムの更新チェックを妨害するために使用することもできる。
さらに、このツールは、追加のリモートアクセスツール(RAT)とバックドアツールを実行する能力を持っています。以下のツールは、コード内で特にラベル付けされている:
- Wusa.exe Windowsバイナリを使用してさまざまなDLLファイルをドロップすることにより、UACをバイパスして特権を昇格させるためのPowershell UACMEツールです。このツールは、特にOOBE手法を悪用することを目的としています。
- PowerShell EmpireのInvoke-bypassuacメソッドは、プロセスインジェクション時に信頼された公開証明書を悪用して特権を昇格させ、UACをバイパスします。
- Mimikatz - マシンに保存された Windows 認証情報を取得するための一般的なツール。
- Powercat - ncat や netcat と互換性のある Powershell TCP ポート 4444 ベースのバックドア。
- ExecuteKL - 汎用的なキーロガーをシステム上で実行でき、その結果は一時ファイルに保存されます。
このツールはまた、update.winappupdater.comというサーバーにDNSとHTTPのアウトバウンドリクエストを行う。調べてみると、このサーバーにはある時点で、C&C機能を示すページへの不審なPHPとURIリクエストがいくつかあった。
このツールは、HTTP C&Cリクエストを行うために、GeckoのようなMozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0)というユニークなユーザーエージェント文字列を使用します:
C&C中のパラメーター例は以下のようなものだ:
commandid=62168133-0418-411c-a6f9-27b812b76759
commandId=CmdResult=85bd26b3-c977-47d8-a32b-f7bae6f8134d
これらのHTTPリクエストは、Home/BM、Home/CC、Home/SCV、Home/CCまたはHome/CRを含むURIに対して行われる。Home/SFやHome/gfといった他のリソースもいくつか指摘されており、テストや以前のキャンペーンに使用された可能性がある。
さらに、このサーバーは、古いマイクロソフト認定のインテル無線LANドライバー(NB500_Win7_intel_wireless_LAN_Driver_13.3.0.24.1.s32)もホストしているようだ。このツールは、既存のネットワーク・ドライバを操作するか、ドライバ自体の脆弱性を利用して、標的のシステム上で特権昇格の脆弱性を利用するために、悪意のある方法で使用されている可能性が高い。
このバイナリがシステム上で実行され、攻撃者が収集したデータに満足すると、ツールはシステムからその一時ファイルの痕跡をすべて削除する機能を持つ。
この盗まれたデータは、データ消去の効果を最大化するため、Shamoon 2ビルダー・アプリケーションで直接使用される。この段階で認証情報とネットワークロケーションが盗まれているため、オペレーターは主要な任務の実行が終わるたびに、ISMバックドア経由でシステムにShamoon 2malware 。
初期化すると、Shamoon 2のバイナリは、ローカルマシンが接続されている現在の/24ネットワークをスキャンする。このネットワーク・スイープは、TCPポート135、139、445を介して、ISMmalware によって収集された盗まれた認証情報を使用するマシンをスキャンする。
作者は、標的となるシステムに対してリモートレジストリ呼び出しを悪用することで、システムに対して有効なパスワードをチェックします。リモート・レジストリ・セッションの成功が検知されると、マルウェアはRPCとpsexecを使用してこれらのマシンにファイルをリモート・コピーし、各バイナリをサイレント実行します。
現在の Shamoon 2 バイナリのコピーは、システム時間 0230 に実行された後、次の火曜日にシステムを削除します。私たちは、ペイロードの爆発日時も現在のキャンペーンに基づいてカスタマイズされる可能性があると考えています。
何をすべきか
Shamoon 2の活動を検知した場合、影響を受けるすべてのシステムの電源を直ちに物理的にオフにすることを強くお勧めします。管理者は、影響を受けるデバイスを安全なUSBデバイスから起動し、ファイルシステムをマウントして読み取りアクセスする必要があります。
その後、ミッションクリティカルなファイルをシステムから削除し、別の認証情報を使用してシステムを再イメージする必要がある。管理者は、Shamoon 2 バイナリまたはそのネットワーク・アクティビティが検知された場合、ドメイン認証情報およびその他の機密情報がすでに窃取され、感染したネットワークから流出している可能性が高いことに注意する必要があります。
その結果、MBRを消去してイメージに置き換えるShamoon 2のペイロードは、攻撃者の痕跡とその真の動機を隠すために使用される可能性が高い。
Vectra 脅威検知を支えるデータサイエンス
このホワイトペーパーでは、Vectra AIベースの脅威検知モデルが、人間の専門知識と幅広いデータサイエンスおよび洗練された機械学習技術を融合させ、シャムーン2のような脅威をどのように特定するかをご紹介します。