もっと詳しく

トレンドマイクロでは、情報窃取型マルウェア「BazarLoader」(トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出)を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。

そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル(.LNK)とダイナミックリンクライブラリ(.DLL)のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns(英語)」をご確認ください。

侵害されたインストーラを介した到達メカニズム

トレンドマイクロは実施する監視活動の1つにおいて、BazarLoaderが同梱されたメディアプレーヤ「VLC」およびリモートデスクトップソフトウェア「TeamViewer」パッケージの侵害されたバージョンを発見しました。最初の配信メカニズムはまだ特定されていませんが、これらのパッケージを用いた攻撃活動は、ユーザを騙して侵害されたインストーラをダウンロード・実装させるための幅広いソーシャルエンジニアリング手法の一部である可能性があります。

図1:BazarLoaderが同梱された侵害されたインストーラの例
図1:BazarLoaderが同梱された侵害されたインストーラの例

これらのインストーラは読み込まれると、BazarLoaderの実行ファイルを作成して実行します。これは、攻撃者がDLLを好んで使用していたとみられる、最近確認されたBazarLoaderの到達メカニズムとの顕著な違いの1つでもあります。

図2:侵害されたVLCインストーラは実行されると、同梱されたBazarLoaderの実行ファイル「ste.exe」を作成して実行する
図2:侵害されたVLCインストーラは実行されると、同梱されたBazarLoaderの実行ファイル「ste.exe」を作成して実行する

トレンドマイクロは、Trend Micro Vision Oneを使用して追跡調査することで、侵害されたインストーラが「vlc-3.0.16-win3…2.tmp」というプロセスを作成することを突き止めました(図3)。このプロセスは、ste.exeファイルを作成した後、ste.exeをディスクにコピーして実行します。その後、ste.exeは、遠隔操作(C&C)サーバに接続し、自身のコピーを新たに保留状態にあるMS Edgeプロセス内に注入(インジェクション)します(図4)。

図3:BazarLoaderの実行ファイルが作成したプロセスを追跡した様子
図3:BazarLoaderの実行ファイルが作成したプロセスを追跡した様子
図4:実行ファイル「ste.exe」がMS-Edgeを介してCCサーバに接続する様子
図4:実行ファイル「ste.exe」がMS Edgeを介してC&Cサーバに接続する様子
ISOファイルを介した到達メカニズム

同時にトレンドマイクロは、ISOファイルを悪用する配信メカニズムも発見しました。このISOファイルに含まれるDLLとLNKファイルは、BazarLoader DLLを実行します。LNKファイルは、フォルダアイコンを使用してユーザを欺き、アイコンをダブルクリックさせることで、同封のBazarLoader DLLファイルを実行させます(図5)。

図5:フォルダアイコンを使用してユーザを欺き、BazarLoader DLLをダブルクリックさせようと試みるLNKファイル
図5:フォルダアイコンを使用してユーザを欺き、BazarLoader DLLをダブルクリックさせようと試みるLNKファイル

次にDLLは、BazarLoaderが最近使用していたエクスポート関数「EnterDLL」を呼び出します(図6)。Rundll32.exeは、悪意のあるDLLを読み込んでC&Cサーバと通信した後、保留状態にあるMS Edgeプロセスを生成して自身のコピーをインジェクションします。

図6:BazarLoaderを背後で操る攻撃者が以前使用したエクスポート関数「EnterDll」
図6:BazarLoaderを背後で操る攻撃者が以前使用したエクスポート関数「EnterDll」
図7:BazarLoaderがMS Edgeプロセスを生成し、自身のコピーを注入したことを追跡した様子
図7:BazarLoaderがMS Edgeプロセスを生成し、自身のコピーを注入したことを追跡した様子
まとめ

攻撃者が検知を逃れるために攻撃パターンを多様化させるにつれて、BazarLoaderキャンペーンで使用される到達メカニズムのバリエーションも増加し続けています。ただし、本記事で解説した手法はどちらも注目に値するものです。これらの手法自体は目新しいものではありませんが、単一の検出技術の限界により、現在も攻撃手口として機能しています。例えば、侵害されたインストーラを使用する手口は他のマルウェアでも確認されていますが、ファイルサイズが大きいため、ファイルサイズに制限のあるサンドボックスなどの検知ソリューションでは対応できません。一方、ショートカットとして機能するLNKファイルが悪用された場合、ショートカットと悪意のあるファイルとの間に追加のレイヤーが作成されるため、難読化される可能性が高くなります。

加えて、初期アクセス権を不正に得るためにBazarLoaderを展開する手法は、「Conti」や「Ryuk」などのランサムウェアに採用された「RaaS」と呼ばれる「ランサムウェアをアフィリエイト(実行犯)などに貸し出すサービス」と関連する手法として知られています。これらの既知のランサムウェアファミリが侵入手口のためにツールを増やしているだけでなく、別のマルウェアグループやランサムウェアのオペレータも、新たな攻撃手口を見つけ出す可能性があります。

被害に遭わないためには

BazarLoaderは、汎用性の高いマルウェア配信メカニズムの一例であり、今後もより多くのユーザを欺くための方法を模索していくことでしょう。BazarLoaderがシステム内部に侵入するために使用するすべての手法の詳細については、こちらの技術論文(英語)をご確認ください。

この脅威から保護するためのベストプラクティスをいくつかご紹介します。

  • ファイルのプロセスを追跡・可視化できるセキュリティソリューションを有効にし、セキュリティチームが悪意のあるネットワーク通信(発信、受信)やトラフィックを検知できるようにすること。
  • インストーラやアップデートをダウンロードする際は、それぞれの公式ウェブサイトやプラットフォームのみ利用すること。
トレンドマイクロの対策

BazarLoaderは、「単独の情報窃取型マルウェア」として、または、「他のマルウェアのオペレータが初期アクセスを不正に取得する際に利用可能なマルウェアサービス(Malware-as-a-Service、MaaS)」として、あるいは、「多重脅迫などの新たな手口が採用されたランサムウェアが実行するさらなる破壊的な攻撃活動を手助けするために二次的なペイロードの配信を可能にするマルウェア」として、今後も高度化していくでしょう。セキュリティチームは、既知の脅威に対しては既知のデータに基づいて監視・追跡を可視化し、未知の脅威に対しては機械学習型検索や挙動監視が可能な多層的なソリューションを用いる必要があります。

Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させることで、自動化された防御機能を提供して多くの攻撃を防ぐことが可能となります。

法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS(File Reputation System)」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。

また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

Trend Micro Hosted Email Security™」は、Microsoft Exchange、Microsoft Office 365、Google Apps などのSaaSおよびオンプレミスのメール環境を保護する、メンテナンス不要のクラウドソリューションです。継続的に更新される保護機能が、スパム、マルウェア、標的型メール、ランサムウェアなど、より高度な攻撃がネットワークに到達する前に阻止します。

スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security™」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などにより不審なメールやその添付ファイルをブロックすることができます。また、ゲートウェイへの対策としては、「InterScan Messaging Security™ Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge™」などのメール対策製品や、「InterScan Web Security™ Virtual Appliance & InterScan Web Security Suite Plus」などのWeb対策製品が有効です。メール対策製品「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などで使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。

Trend Micro Hybrid Cloud Security」として提供されるセキュリティソリューションは、クラウドネイティブシステムとその多様なレイヤーを保護するのに役立ちます。ソリューションとして提供される製品群は継続的インテグレーションおよび継続的デリバリー(CI / CD)パイプラインとアプリケーションの自動保護を提供するクラウドビルダー向けのセキュリティサービスプラットフォーム「Trend Micro Cloud One™」を利用しています。また、セキュリティの問題をいち早く特定して解決し、DevOpsチームの問題解決速度を改善するのにも役立ちます

侵入の痕跡(Indicators of CompromiseIoC

今回の記事に関する侵入の痕跡は、こちらを参照してください。

参考記事:

記事構成:高橋 哲朗(セキュリティマーケティンググループ)

平子 正人(セキュリティマーケティンググループ)

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)

The post 情報窃取型マルウェア「BazarLoader」にて侵害されたインストーラとISOファイルの悪用を確認 first appeared on トレンドマイクロ セキュリティブログ.