DNSトンネル、PsExec、キーロガー：スキームと技術的な攻撃ツールを分解する

記事「 SOCの寿命の4分の1。 「 カットのない3つのインシデント 」は非常に活発に行われたため、最近調査した別の興味深い攻撃について話すことにしました。



顧客へのサービスの提供を最新の状態に保つ国際企業や大企業も、情報セキュリティを含む活動のすべての分野でプロセスを明確に整理しているという意見があります。 残念ながら、これは常にそうではありません。



しばらく前に、開発されたインフラストラクチャを持つ大企業が助けを求めてきました。 問題は、会社のインフラストラクチャでの奇妙なイベントでした。

1. ワークステーションとサーバーが突然再起動し、ドメインから削除されました。
2. ユーザーはアカウントがロックされていることを発見しました。
3. 一部の従業員のコンピューターは、明らかな理由もなく「減速」し始めました。

状況を分析するために、主要なインフラストラクチャソースをSolar JSOCクラウドにあるSIEMシステムに接続しました。 これを行うために、お客様のサイトでログを収集するためのコレクターサーバーを配置し、サイト間のサイト間を構築しました。 並行して、会社には、必要な監査レベルの設定方法に関する指示と、ソースを接続するための準備作業の詳細な説明が送信されました。



最初の段階では、ファイアウォールとプロキシ、ウイルス対策、ドメインコントローラーのログ、およびDNSを接続しました。 翌日の夕方までに、必要なすべてのシステムのログがありました。



最初に検出されたのは、12台のワークステーションからCorkow / Metel管理サーバーへのアクセスです。 Win32 / Corkowウイルスの修正のクライアント部分は、ウイルス対策ソフトウェアが存在するにもかかわらず、2年以上にわたって会社のインフラストラクチャ内の誰にも気付かれていなかったことが判明しました。 悪意のある人々は、長い間オフになっていた制御サーバーに遠隔測定を送信しました（サーバーのドメイン名は、ロシアの2人の偉大なアーティストにちなんで命名され、情報セキュリティアナリストに広く知られています）。 会社でソフトウェアが使用されているウイルス対策ベンダーは、既知の署名をデータベースに追加しなかったため、ウイルスを検出できませんでした。



しかし、ポイントはこのセンセーショナルではなく、より危険なウイルスではありませんでした。 文字通り数時間の監視の後、Solar JSOCの実際の運用で初めて、会社のインフラストラクチャの複数のホストから情報を送信する本格的な非テストのDNSトンネルが発見されました。

DNSトンネルは、警備員の日常生活の中でフリルと呼ばれることがあります。 それらはめったに使用されませんが、最近、企業の外部に情報を出力するためのチャネルとして、国際的な規模で多くの注目を集めているケースで注目されています。



しかし、DNSトンネルの危険性は、それらの助けを借りて、インフラストラクチャからデータを静かに盗むことができるという事実だけではありません。 DNSトンネルを使用すると、最終ホストでリバースシェルを構築でき、そのアクションをリモートで制御できます。



DNSトンネルは非常に古いトピックであり、すべてのIPSおよびNGFWクラスソリューションがそれらを検出する必要があるという事実にもかかわらず、実際にはこれは事実とはほど遠いです。 パラメーターのわずかな変更（たとえば、ペイロードをキーフィールドまたは標準DNS形式の別のフィールドに転送したり、DNSクエリの標準フィールドの外側に置いたりする）ことにより、標準署名を簡単にバイパスできます。

まず、すべての境界ネットワークデバイスで外部アドレスをブロックするための対策が講じられました。



会社の発見直後に、発見されたDNSトンネルのソースを調査するための要求が送信されました。 複数のマシンがローカルログレベルで接続され、さらに調査するためにイメージングプロセスが開始されました。



ホストを接続するときに、Solar JSOCの専門家は最初の問題に直面しました-すべてのマシンでセキュリティログが空でした。 同時に、画像が検査され、ここで2番目の複雑さが生じました-USN（更新シーケンス番号）とMFT（マスターファイルテーブル）には少なくとも重要な情報が含まれていませんでした。後者は頻繁にスケジュールされたディスクの最適化のためです。



最初の重要な情報は、ドメインコントローラーのログで見つかりました-ドメイン管理者アカウントでホストへのアクセスが明らかになりました。 ログインは、ログオンタイプ3-ネットワーク入力で行われました。



さらに、セキュリティが侵害された可能性のあるすべてのシステムログホストがクリアされずに分析したところ、 it_helpdeskサービスのインストールが見つかりました。 MD5合計を分析した後、これが名前が変更されたユーティリティPsExecであることが明らかになりました。 同社のIT部門は、このソフトウェアが管理の企業標準ではなく、従業員によって使用されていないことを確認しています。

PsExecはPsToolsの一部です。PsToolsは、Sysinternalsが開発し、Microsoftが買収した無料のユーティリティパッケージです。 Microsoft Windowsオペレーティングシステムの管理を簡素化するように設計されています。 PsExecユーティリティ自体により、プロセスをリモートで実行できます。



PsExecを使用すると、SMBおよびリモートシステム上の$ ADMIN隠し共有リソースを使用して、リモートで実行中の実行可能プログラムの入力および出力データをリダイレクトできます。 このリソースを使用して、PsExecはWindowsサービスコントロールマネージャーAPIプログラミングインターフェイスを使用して、PsExecが実行される名前付きパイプを作成するリモートシステムでPsExecsvcサービスを開始します。

その後、企業の情報セキュリティ部門は、集中インフラ管理システムを使用して、このサービスがこれまでに起動されたすべてのホストを特定しました。 そのようなホストの総数は40ユニットを超えました。



ここで、ワークステーションの画像の研究に戻ります。 いずれかのマシンのファイルシステムの現在の状態を分析し、研究室で感染を再現することにより、感染の理解可能な年表が得られました。



Iステージ

• 元のsystem_dll.dllライブラリの名前をsystem_dll2に変更し、悪意のあるsystem_dll.dllオブジェクトを作成します。 この場合、system_dll.dllは、そのコードで定義されていない関数のsystem_dll2を呼び出します。 system_dll.dllは、_________。dllライブラリのロードに役立つタイプPEの悪意のあるオブジェクトです。
• Creating _________。Dll-タイプPEの悪意のあるオブジェクトで、DNSプロトコルを使用して任意のサーバーとの通信を確立し、さまざまなコマンドを実行します。 このライブラリは、system_dll.dll悪意のあるオブジェクトによってロードされます。
• 前回it-helpdeskがマシンで実行されたとき、オペレーティングシステムの再起動を開始するためにC：\ Windows \ system32 \ shutdown.exeオブジェクトが起動されたと思われます。 この再起動は、システムサービスが悪意のあるライブラリSystem_dll.dllをそのアドレススペースにロードするために必要です。

ステージII

• オペレーティングシステムの再起動後、random symbols.xxxxx.suドメインのエラー解決が表示されます。これは、DNSプロトコルを使用した隠しデータチャネルの機能を示す場合があります（任意のデータはドメインレベル3の名前で転送されます）。
• Windows / System32 / Malware_dll.dllライブラリの作成。これは、キーボードから入力されたデータを傍受するために使用されるPEタイプの悪意のあるオブジェクトです。 データの傍受は、ファイル％USER％/ AppData / LocalLow / NTUSER.DATに保存されます。 ファイル内のデータは、10Hバイトを減算したバイトエンコードを使用してエンコードされます。
• 攻撃されたホスト上に悪質なオブジェクトjusched.exeを作成します。これは、malware_dll.dllライブラリを再ロードするのに役立ちます。 この場合、jusched.exeオブジェクトは起動時に登録されます（レジストリブランチHKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run）。これは、システムがセッションの開始時にすべてのユーザーからこのオブジェクトをロードすることを意味します。

ステージIII

• 次回ユーザーセッションが作成されると、プロファイルが読み込まれ、キーロガーが起動され、LocalLow / NTUSER.DATファイルが作成され、ユーザーセッション全体でキーロガーの作業結果が記録されます。
• また、この段階で、アーカイブC：\ ProgrammData \ 0.0を作成するために、rar.exeコマンドラインからアーカイバを起動します。 このアーカイブには、SAMファイルとレジストリブランチHKLM \ SYSTEMのシャドウコピーが含まれています。 この一連のファイルを使用して、SAMファイルからアカウントハッシュを抽出できます。
• 場合によっては、この段階には、オペレーティングシステムの複数の再起動、wevtutil、gpscript、nslookup、cmdkey、およびその他のコマンドの実行、およびアプリケーションログのクリーニングが伴います。
• 調査中のマシンの1つで、tvnserver.exeオブジェクトの作成と複数の起動が記録され、悪意のあるusers.exeオブジェクトがマシン上に同時に出現し、マルウェア構成を含むキー000および001をHKLM \ Software \ Corporationレジストリブランチに書き込みました。

一般的な感染スキームは次のとおりです。

攻撃の実装に使用されるツールの説明

次のマルウェアコンポーネントを使用して、調査対象のワークステーションおよびサーバーのイメージのフレームワーク内で攻撃を実装しました。

コンポーネント名	コンポーネントの割り当て
Malware_dll.dll	キーロガー（32ビット）
Malware_dll64.dll	キーロガー（64ビット）
Bach.dll	SystemServiceである元のSystem_dll.dllライブラリの名前を変更しました
System_dll.dll	System_Serviceサービスの開始時にsvchost.exeにポンプされるライブラリ。 System_dll.dllは、これらのすべての関数をsystem_dll2.dllにリダイレクトすることにより、system_dll2.dllと同じ呼び出しをサポートします。 締めます_________。 32ビットバージョンです
System_dll.dll_	System_dll.dllの64ビットバージョン
_________。dll	BackDoor 32ビット
_________。dll_ver2	64ビット_________。Dll
S64	x64アーキテクチャ用のアナログSystem_dll.dll
P64	アナログ_________。x64アーキテクチャ用のDLL
It_helpdesk.exe	名前が変更されたPsExesvc.exe（指定されたアクションを実行するためにリモートマシンで作成および実行されるPSExecコンポーネント
Users.exe	バックドア 機能は_________ Dllに似ていますが、jusched.exeを装った「Java Update Scheduler」

悪意のあるコンポーネントのアクティビティ

1. Malware_dll.dll：
   
   
   • ファイル「\％APPDATA％\ LocalLow \ NTUSER.DAT」を作成します。
   • mbowefvncwiomcowermg32ミューテックスの作成。
   • キーボードのキーストロークのキャプチャを設定します。
   • 受信したデータの暗号化と、最初の段落からのファイルへの後続の記録。
   
   
   
2. System_dll.dll：
   
   
   • システムサービスによる自動起動。
   • _________をダウンロードします。
   
   
   
3. _________。dllおよびusers.exe：
   
   
   • DNSアドレスの解決：
     
     -www.gf8ealht9d22________________.com
     
     -832v1hda31sqfcl5bh81lmqk74z.xxxxxxxxx.com
     
     -13bmvqdr1ju64dqm6n8877hbo0z.xxxxxxxxx.com
   • 管理サーバー（xxxxx.su）にDNSパケットを送信します。
   • 管理サーバーから受信したコマンドの実行。
   • HKLMまたはHKCUブランチでのプロセスの再起動の間にデータを保存するためのレジストリキーを作成することができます。
     
     -\ソフトウェア\ Corporation \ 000
     
     -\ソフトウェア\ Corporation \ 001
     
     -\ソフトウェア\ Corporation \ 002

クライアントサーバー通信

クライアントとのサーバー通信はすべて暗号化されます。 暗号化キー：25 d9 01 4c 21 c9 ed 89 86 14 8d 05 _________



ウイルスは、解決のために管理サーバーにDNSパケットを送信します。 3番目のサブドメインで始まるDNS名は、エンコードされたデータです。



<27シンボル> .xxxxx.suという形式のパケットがサーバーに送信されます。 シーケンスは27文字を超えることができますが、最小パケットは27文字です。 27文字のシーケンスは、クライアントがサーバーに送信する暗号化後にエンコードされたデータです。 このパッケージには、擬似乱数とパッケージのハッシュ以外の情報は含まれていません。 すべての変換後、パケットが互いに類似しないように、擬似乱数が必要です。 27文字のパケットは、処理コマンドを受け入れる準備ができていることをサーバーに伝えます。 そのようなパッケージの例：







応答として、コマンドは6つのIPv4アドレス-24バイトのデータの形式で提供されます。 アドレスデータは順番に書き込まれ、低オクテットでソートされます。 下位オクテットを破棄すると、18バイトのシーケンスが得られます。



最初のバイトは未使用データの量です（n = 1-3）。

最後のnバイトは擬似ランダムであり、将来使用されません。

残りのバイトは、上記のキーで暗号化されたデータです。

最初の3バイトは、疑似乱数とパケットのハッシュであり、サーバーからの同じコマンドが視覚的に異なるため、IPアドレスがランダムに見えるのはこのためです。 残りはチームです。

次のステップと緩和策

インジケータの検索の最初の段階で、アクティブなDNSトンネルが記録された4つのワークステーションの画像が分析されました。



ホストとネットワークのインジケーター、および攻撃者のアクションの一般的なパターンを特定した後、感染源を特定し、侵害されたすべてのノードを検索するために、インフラストラクチャ全体をチェックする必要がありました。



侵害の兆候の検索の全体像は次のとおりです。







検索は、Solar JSOCの専門家と従業員の両方が実施しました。 合計で、検索には3日かかりました。 感染したシステムのスカウトは64に増加し、侵害されたマシンの1つがドメインコントローラーであったため、侵害されたアカウントの数は会社の従業員の総数まで増加する可能性がありました。



第二段階では、さらにいくつかのマシンが調査のために選択され、侵害の追加指標を検索しました。 イメージ、ダンプが削除され、侵害されたホストの「リロード」プロセスを開始することができました。



このような大規模で長期にわたる深い感染が検出された場合、「尾」をきれいにするプロセスは非常に困難で長くなります。 アクションのシーケンスは次のとおりです。

1. アカウントを操作する：
   
   
   • ビジネスアプリケーションのアカウントを含む、指定されたすべての侵害されたアカウントのパスワードを変更します。
   • サービスアカウントの特権は制限されており、サービスの操作のためのドメイン管理者権限を持つアカウントの使用が禁止されました。
   このフェーズの合計期間は約2週間でしたが、これは主にテクノロジーアカウントによるものです。
2. アカウントでの作業中に、IT管理者を除く従業員のリモートアクセスの使用に関するモラトリアムが導入されました。 並行して、彼らのために2番目の認証要素が開始されました。
3. 開発されたインフラストラクチャを持つ組織の典型的なギャップを埋めました：
   
   
   • プロキシをバイパスする直接インターネットアクセス。
   • ウイルスではないと分類され、インターネットを積極的に使用しているソフトウェアを削除しました。
   • 境界上の開いているポートのプロファイルが組み立てられ、不必要な「ホットな」ポートが検証されて閉じられました。
4. アプリケーション管理者は、重要なビジネスアプリケーションで実行されるアクションとトランザクション、特に金融トランザクション、ボーナスおよびロイヤルティプログラム内のトランザクション、クライアントおよびパートナーベースへのアクセスなどに関連するアクションの制御を厳しくしています。
5. IT管​​理者向けに、ワークステーションのローカルアカウントで重要なビジネスアプリケーションを操作することに対する完全な禁止が導入されました。 監視システムの制御下で、すべてが制限された特権を持つドメインアカウントに転送されました。

主な推奨事項と監視手段

攻撃者は常にインフラストラクチャへのアクセスを予約しているため、並行してインシデントの完全な監視とすべてのアクティビティのプロファイリングが実行されました。



後者には別の問題がありました。2週間でプロファイルを収集したため、攻撃者がインフラストラクチャ内にいる可能性があるため、自信を持って正当と呼ぶことはできません。 したがって、収集されたすべての活動を会社と調整し、将来的には収集されたプロファイルを修正する手順が必要でした。 バックアップアクセスを識別するための一般的な推奨事項は次のとおりです。

1. リモートコントロールツールと不正なソフトウェアを識別するために、ワークステーションとサーバーにインストールされているソフトウェアを監査する。
2. 会社の重要なコンピューターおよびサーバーでのプログラムの起動を制御し、許可されたソフトウェアの「ホワイトリスト」を導入します。特にリモートコントロールツールに関連します。

同時に、Solar JSOCは、次の分野の重要なサーバーとワークステーションのアクティビティを監視しました。

• 既知の危険なリソースと悪意のあるリソースへのネットワーククエリ、および悪意のあるドメインへのDNSクエリの試行。
• 特権アカウントアクティビティ-アクションの検証のために、レポートが責任ある従業員とアカウント所有者に毎日送信されました。
• 特権ユーザーグループの変更。
• 重要なサーバーおよびワークステーションでプロセスを起動しました。
• 不正な実行可能ファイル、ライブラリ、およびパラメーターのシステムディレクトリおよび重要なレジストリブランチの変更。
• リモートコントロールシステムを使用する。
• DNSトラフィックの異常。
• 重要なホストでのウイルス活動。
• 悪意のあるメーリングリスト。
• 重要なサーバーに接続するプロファイルの異常。
• サービスアカウントの誤用。

主な調査結果とインシデント調査の調査結果

脅威をブロックするための運用上の措置を講じた後、インシデントに関する完全なレポートの時間が登場しました。

• マルウェアが感染したマシンに到達するためのチャネルは、感染時にすでに侵害されており、会社のLAN内の複数のコンピューターから使用されていたドメイン管理者権限を持つアカウントでした。
• PsExecツールは、悪意のあるファイルをマシンに転送し、リモートコントロールコマンドを実行し、キーロガーでマシンの感染を完了するために使用されました。
• 数年前にそこに見つかった他のリモートコントロールソフトウェアの痕跡が、感染した感染マシンで見つかりました。 RATにはTIghtVNC、WinVNC、Pointdevがありました。
• キーロガーの結果として、原則として、OSおよび多数のビジネスアプリケーションからのユーザー資格情報、メール通信、主要なビジネスアプリケーションサーバーからのパスワード情報を含む重要なファイル、および従業員のパスポートデータが侵害されました。
• その後の攻撃者向けのリモート制御および情報転送チャネルはDNSトンネルでした。

最後に、同様のインシデントを検出することはセキュリティオペレーションセンターのタスクであることに注意したいと思いますが、それがなければ、会社の普通の従業員と作業を整理し、常にセキュリティ意識を高めることができます。



これらのカテゴリの従業員は情報セキュリティの分野で有能であり、さまざまな異常が外部の影響によって引き起こされる可能性があることを理解しているため、攻撃者はしばしば活動を情報セキュリティサービスおよびIT管理者から隠そうとします。 同時に、ハッカーは通常、自分の行動を一般ユーザーから隠すことを怠っています。 コンピューターの負荷の増加、システムでの奇妙なアクション、突然開閉するアプリケーション、新しいファイルの外観、アイコン、ユーザーが気付くインストール済みアプリケーションは、システムの侵害の指標として機能します。 したがって、警備員は、入ってくる要求、会社の職員からの苦情に注意を払う必要があり、従業員が上記の異常の責任者に通知するように動機付けする必要があります。