ドライブバイ攻撃の増加:ソコホーリッシュマルウェアのダウンロード

Menlo Labsは、正規のブラウザ、Flash、Microsoft Teamsのアップデートを装ったドライブバイ攻撃の増加を発見しました。この2か月間、Menlo Labsチームは、「SocgHolish」フレームワークを使用して被害者を感染させるドライブバイダウンロード攻撃が急増しているのを目の当たりにしました。この特定のフレームワークは、正規のソフトウェアアップデートになりすまして悪意のあるペイロードを配信するために広く使用されていることが知られています。隔離することで、この種の攻撃がペイロードをエンドポイントに配信するのを防ぐことができます。わかっていることは次のとおりです。

ドライブバイアタックとは？

ドライブバイ攻撃とは、ユーザーが感染したWebサイトにアクセスし、そのWebサイトがユーザーの介入なしに悪意のあるダウンロードをトリガーすることです。

ソクホリッシュとは

「SocgHolish」フレームワークの「Soc」という用語は、攻撃者がソフトウェアアップデートを装ってソーシャルエンジニアリングツールキットを使用することを指します。これまでのところ、Menlo は、ブラウザーのアップデート (Chrome/Firefox)、Flash Player のアップデート、そして最近では Microsoft Teams のアップデートを装ったソーシャルエンジニアリングのテーマがいくつか使われているこのフレームワークを観察してきました。

Menlo Labsは、悪意のあるZIPファイルがGoogleドライブでホストされているにもかかわらず、悪意のあるWebサイトのiframeから提供されている偽のGoogleドライブ共有リンクサイトも検出しました。この ZIP ファイルには JScript ファイルが埋め込まれており、実行時に追加のマルウェアがダウンロードされます。

ソクホリッシュは野生でどのように活動しているのか？

次の図は、SocgHolishフレームワークで使用される一般的なキルチェーンを示しています。

ブラウザーコンテキスト内の SocgHolish フレームワークについて、次の 2 つの重要な点があります。

• 攻撃者は、侵害された Web サイトをホストして提供する方法を選択します。通常は、iframe 経由で侵害された Web サイトを提供した正規の Web サイトを組み合わせて使用します。
• ドライブバイダウンロードメカニズムは、悪意のある ZIP ファイルのエンドポイントへのダウンロードをトリガーするために使用されます。次のセクションでは、このフレームワークで使用される特定のメカニズムについて詳しく説明します。

悪意のある ZIP ファイル内のコンテンツを抽出して実行するには、依然としてユーザーの操作が必要ですが、ここで役立つのがソーシャルエンジニアリングとファイルのソースからの信頼です。ファイルは正規のサイト内の iframe でホストされているため、ユーザーは騙されてファイルが正規のサイトからのものだと思い込ませられます。 正当な情報源 そして、ファイルをダウンロードして実行するように促されます。悪意のある ZIP ファイルには JScript ファイルが埋め込まれており、実行時に Living-off-the-land バイナリ (PowerShell/cmd など) を使用して悪意のあるダウンロードを取得し、最終的なマルウェアをダウンロードするための追加のコマンドと制御通信を提供します。このフレームワークは次の目的で使用されます。 初期アクセス エンドポイントへ。過去の調査から、このフレームワークが Dridex バンキング型トロイの木馬や WastedLocker ランサムウェアファミリーのバリエーションを配布していることがわかりました。

分類がソックホリッシュをブロックしないのはなぜですか？

悪意のあるサイトからのコンテンツを提供するために使用されるiframeは、正当なカテゴリに分類されているサイト（ダウンロードサイトや、それなりに人気のあるWebサイトがホストされていることが多いその他のカテゴリなど）でホストされています。

悪意のある ZIP ファイルは通常、一般的なクラウドホスティングプロバイダーから配信されます。次の表は、これらの悪意のある ZIP ファイルをホストするために使用された特定のサービスプロバイダーの内訳を示しています。

どのような攻撃ベクトルが使用されているか

分析の結果、SocgHolish フレームワークが使用しているドライブバイダウンロードメカニズムには、悪意のあるペイロードを配信するためのブラウザエクスプロイトキットやエクスプロイトキットは含まれていなかったことがわかりました。使用しているソーシャルエンジニアリングのテーマにもよりますが、ドライブバイダウンロードのトリガーとして以下のメカニズムが使用されていることが確認されています。

1) 水飲み場の使用:

被害者は、Alexaの上位10万位以内にある比較的人気のあるWebサイトに誘導され、攻撃者はiframeを仕掛け、ユーザーに一連のリダイレクトを送信して悪意のあるダウンロードをトリガーします。

• これらのリダイレクトは通常、一般的に使用されているクラウドホスティングサービス (上記の例では Bitbucket) から行われます。
• 悪意のある ZIP ファイルを配信するための最終的な URL は Amazon S3 から提供されます。
• ウェブサイトの分類に頼ってダウンロードを検査するアプローチは、ZIP ファイルが Amazon S3 からダウンロードされたと勘違いしてしまいます。

2) JavaScriptを使用してブロブのダウンロードをトリガーする方法:

攻撃者は、WordPressなどのコンテンツ管理システムでホストされている侵害サイトを選択して、JavaScriptブロブを使用するiframeを挿入してZIPファイルのダウンロードを自動的にトリガーします。

このメカニズムは、最近書いたDURIキャンペーンとよく似ています。ペイロード全体がエンドポイント内で構築されるため、この方法はペイロードを密輸したり、従来のネットワークプロキシやサンドボックスを迂回したりするためによく使用されます。

3) JavaScriptを使用してリンクを動的に生成し、ダウンロードを開始します。

これは、sites.google.comのフェイクシェアテーマで見たメカニズムです。

• 攻撃者はsites.google.comを使用して、iframe経由で悪質なサイトを配信します。
• iframe は、ダウンロードリンク要素を動的に作成し、クリックをシミュレートして悪意のある ZIP ダウンロードをトリガーする JavaScript をロードします。
• ダウンロードリンクは、正規の Google ドライブリンクでホストされている ZIP ファイルを動的に指します。

iframe 周辺のブラウザセキュリティ管理に関する注意事項

最近、 クロム そして Firefoxの 開発者は、サンドボックス化されたiframeからのダウンロードを自動的にブロックするセキュリティ機能を追加しました。上記の手法では、以下の設定で指定された iframe からのダウンロードが許可されていました。

• 「sandbox」属性が指定されていない状態でiframeを挿入すると、iframeからのダウンロードのみが許可されます。
• sites.google.com の例には、「サンドボックス」属性の iframe がありますが、「ダウンロードを許可する」、「スクリプトを許可する」、「フォームを許可する」なども設定されています。

確かに、安全、安心

ホリデーシーズンが近づき、2020年が終わりに近づくにつれ、正規のソフトウェアアップデートになりすまして悪意のあるペイロードを配信するこの種の巧妙な攻撃に警戒することが重要です。Chrome を含む多くのブラウザでは、パッチ適用と更新が自動化されているため、Socgholish が必要とするようなプロンプトが表示されないことを覚えておいてください。あるいは、ネイティブユーザーエクスペリエンスに影響を与えずに、（リスクの有無にかかわらず）コンテンツがエンドポイントで実行されないようにすることで、ウェブベースの攻撃をすべて防ぐ唯一のセキュリティテクノロジーである隔離の実装を検討する時期かもしれません。簡単です。悪意のある攻撃者は、アクセスできないものには感染できません。隔離について詳しくは、menlosecurity.comでご覧ください。