米国連邦捜査局(FBI)とサイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、「BLINDINGCAN」と名付けられた新種のマルウェアについて警告するマルウェア分析レポート(AR20-232A)を発表した。このマルウェアは、北朝鮮の国家支援を受けたハッカーによって作成されたリモートアクセス型トロイの木馬(RAT)で、軍事防衛や航空宇宙分野で活動する米国内外の企業に対して、機密情報や極秘情報を狙って一連の攻撃を仕掛けています。
このブログでは、脅威行為者の隠された戦術を分析し、マルウェアの感染ベクターとその実行について説明し、この種の攻撃を防ぐためのソリューションを提供します。
感染ベクター
このマルウェアは、大手防衛・航空宇宙企業の求人情報を模倣したフィッシング・キャンペーンを通じて被害者のシステムに侵入した。被害者は、添付されたMS Word文書を開くよう要求され、最終的にシステムに感染する。攻撃シナリオは見慣れたものであり、簡単に発見できる。しかし、今回のキャンペーンでは、北朝鮮のハッカーは、添付された文書内にマルウェアやVBAマクロを埋め込むのではなく、AttachedTemplateメソッドを使用して、開くと外部ソースから感染したファイルをダウンロードして実行します。おそらく、この外部オブジェクトは、AVを迂回するための多段攻撃を行うために使用されたのだろう。この回避的な攻撃手法は新しいものではないが、検出を回避・軽減するために非常に効率的である。
MetaDefender Cloud 実施した詳細なスキャン結果はこちらでご覧いただけます。わずか14/38のAVエンジンが脅威をキャッチしました。
以下、OLEオブジェクトを使った3つの攻撃のデモンストレーションを調査し、この回避トリックがなぜ危険なのか、どうすれば防ぐことができるのかを理解しよう。
埋め込みオブジェクトVSマクロVS添付テンプレート、これらの仕組みは?
最初のデモでは、MS Word文書にマルウェアをOLEオブジェクトとして挿入した。
MetaDefender Cloud Microsoft Officeファイルを抽出するように設定されていないにもかかわらず、MetaDefender ドキュメントをスキャンしたところ、9つのAVが埋め込まれたマルウェアの検出に成功しました。MetaDefender Core (完全な設定機能を持つオンプレミス版)でドキュメントをスキャンし、抽出が有効になっている場合、より多くのエンジンがマルウェアを検出します。
つ目のデモでは、マルウェアをダウンロードするために埋め込みマクロを使用した。脅威を検出したエンジンは4つあった。
最後に、AttachedTemplateメソッドを使用して、上記のマルウェアを外部のeicarファイルに置き換えた。その結果、脅威を検出できたAVは1つだけでした。
概して、最初のデモでは、マルウェアは埋め込みオブジェクトとして「embeddings」フォルダに存在し、AVが簡単に検出できるようになっている。
しかし、2つ目や3つ目のデモのようにリンクされたオブジェクトであれば、AVが脅威を検知するのはかなり難しくなります。この種の攻撃は、被害者がファイルを開くまでマルウェアがダウンロードされないため、シグネチャベースの防御に対して効果的です。
埋め込みマクロを使用した攻撃の場合、検出ベースの保護システムの中には、ファイル内の悪意のあるコードによってマルウェアを特定できるものもあります。しかし、Attached Document Templateを利用してマルウェアが外部ソースからダウンロードされた場合、疑わしい要素はXMLファイル内のURLのみとなります。残念ながら、市場に出回っている既存のAVのほとんどは、URLをスキャンする機能を持っていない。また、悪意のあるURLはいつでも変更可能です。
解答:OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDRは、検知に頼らない高度な脅威防御技術です。その代わりに、すべてのファイルが悪意のあるものであると仮定し、各ファイルをサニタイズして再構築することで、安全なコンテンツによる完全なユーザビリティを保証します。OLEオブジェクトの種類に関係なく、Deep CDR 、潜在的な脅威オブジェクトとして識別し、ファイルからそれらをすべて削除します。その結果、上記の 3 つの感染ベクターはすべて使用できなくなります。ユーザーは、完全な機能を備えた安全なファイルを受け取ることができます。
Deep CDR で処理された後、3つのサンプルはすべて脅威から保護されました。画像のような埋め込みファイルも再帰的にサニタイズされ、脅威を100%防ぎます。
Deep CDRは、組織に侵入するすべてのファイルが有害でないことを保証し、ゼロデイ攻撃や回避型マルウェアの防止を支援します。当社のソリューションは、PDF、Microsoft Officeファイル、HTML、画像ファイル、およびJTDやHWPなどの多くの地域固有の形式を含む、100種類以上の一般的なファイルタイプのサニタイズをサポートしています。
OPSWAT 、高度化する攻撃から組織を保護するための高度なテクノロジーについて、さらに詳しくお知りになりたい方は、当社までお問い合わせください。
参考までに:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
