ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Menlo Labsの研究チームは、テンプレートインジェクションのテクニックを使って武器化された複数のおとり文書を分析しました。この手法を使った文書にはマクロのような疑わしい部分が存在せず、後から悪意のあるテンプレートを読み込むため、見つかりにくく、攻撃者が好んで利用してきました。EmpireやPhisheryのようなフレームワークは、武器化されたテンプレートインジェクション文書を生成する機能を提供しています。
こういった特質を持っていることから、Menlo Securityではテンプレートインジェクション攻撃が今後も増加し、エクスプロイトをオンザフライでロードすることすら可能だと考えています。
このテクニックは、以下の理由からも注目されています:
このブログでは、テンプレートインジェクション攻撃の仕組みと、これらの攻撃を防ぐ方法について詳しく解説します。
Microsoft OfficeではOOXML(Office Open XML)形式が採用されており、文書にリソースを埋め込むことができます。そして、リレーションシップと呼ばれる手法を用いることで、XMLファイル内でソースパーツとターゲットリソースの関係を指定することが可能です。リレーションシップは、文書パッケージ内の.rels(XML)ファイルにカプセル化されています。
攻撃者は、LotL攻撃によってこのMicrosoft Officeの機能を不正に利用します。これらの攻撃は、悪意のあるテンプレートをホストしているURLを.rels XMLファイルに注入することで行われます(図1参照)。
上の例では、悪意のあるURLが "target=" の入力として提供され、"TargetMode" は "External" として設定されています。武器化された文書を実行すると、悪意のあるテンプレートがダウンロードされ、実行されます(図2参照)。
テンプレートインジェクション攻撃の流れは、以下の画像のようになります(図3参照)。
武器化されたテンプレートインジェクション文書は、表面的には良性と判断される可能性があります。悪意のあるURLやエクスプロイトマーカーなどのわかりやすい指標が含まれていない限り、セキュリティスキャナーでは検知できないことが多いのです。これは、これらの文書の大半がメールの添付ファイルとして届く大きな理由の1つです。
また攻撃者は、被害者を信頼させるために既存のメールスレッドの会話を乗っ取り、武器化されたテンプレートインジェクション文書を添付することもあります。
テンプレートインジェクション攻撃は、幅広い攻撃を行うために趣向を凝らし、さまざまな組み合わせを試してきました。その手法は、悪意のあるテンプレートをダウンロードしてエクスプロイトをロードするものから、フィッシング攻撃、さらには多段階攻撃を実行するものまで、多岐にわたります。
最近のテンプレートインジェクション攻撃では、攻撃者がマイクロソフトの正規のURL(http://schemas.openxmlformats.org/)を装って被害者を騙し、悪意のあるテンプレートをダウンロードさせました(図4参照)。
この文書(ハッシュ:ee8aef2974ddcdb3917308f6475100f8)は、http://www[.]xmlschemeformat[.]com/update/2021/Office/form[.]dotm から不正なdotmテンプレートをダウンロードしました。このテンプレートは、画像ステガノグラフィーを使ってJames Webb Telescopeが撮影した最初の画像の1枚にマルウェアを隠し、被害者のエンドポイントにダウンロードさせました。
次に、武器化されたテンプレートインジェクション文書を使用した攻撃のいくつかの事例を分析します。
「Follina」Zero脆弱性(CVE-2022-30190)は、Microsoft Support Diagnostic Tool(MSDT)に存在する脆弱性です。この脆弱性の背後にいる攻撃者は、外部の一般向けURLでFollinaエクスプロイトをホストしていました。このURLは、エクスプロイトテンプレートを起動するために末尾にエクスプロイトマーカー「!」を付けて文書内に注入されました。
テンプレートインジェクションを武器とするFollinaエクスプロイトを使用して行われた攻撃の1つでは、文書が「Doha Expo 2023へのVIP招待状」であると主張されました(図5を参照)。
実行されると、この文書(ハッシュ:85829b792aa3a5768de66beacdb0a0ce)は、Follina exploitを取得します: https://files.attend-doha-expo[.]com/inv[.]html. このHTMLファイルには、ms-msdtを呼び出すJavaScriptが埋め込まれており、エクスプロイトとそのペイロードを起動させることができます。
Patchworkは、外交や政府機関に関連する業界を標的とすることで知られるAPTグループです。このグループの手口は、一般的にオンラインフォーラムからのコピー&ペーストによって派生するマルウェアを使用するものです。
最近発生した攻撃では、Patchwork APTが「パキスタン国防省」を名乗る武器化文書が使用されています(図6参照)。
この文書(ハッシュ:ccf66fd0fc09ba0ea0d43d3e2f62f5fd )は、URL:http://office-fonts[.]herokuapp[.]com/en-us からテンプレートをダウンロードしました。これはさらに、パスワードで保護されたPDFファイル "Scan03.pdf "をダウンロードします。
攻撃に使用されたURLは、ドメインクラウドプラットフォーム "Heroku."でホストされていました。マルウェアの配信に良性/良好な評判のウェブサイトを使用するこのような手法は、Legacy URL Reputation Evasion (LURE) または Living Off Trusted Sites (LOTS) と呼ばれるHEATテクニックに属します。
複数の攻撃者や攻撃グループが、武器化されたテンプレートインジェクション文書を使用して標的型攻撃を実施しています。これらの武器化された文書を使用する攻撃グループの中から、最も新しい、あるいは進行中の攻撃をいくつか挙げます。
アイソレーションコアを活用したMenlo Securityのクラウドセキュリティプラットフォームをご利用のお客様は、テンプレートインジェクション攻撃から設計上保護されています。Menlo Securityのクラウドセキュリティプラットフォームは、インターネットからダウンロードされたすべての文書を、ユーザーのエンドポイントから離れたIsolation Coreで開きます(図7参照)。
検査エンジンがファイルの良し悪しを判断している間に、ユーザーが閲覧できる安全なバージョンの文書に変換されます。Menlo SecurityのSafedoc機能は、アクティブなコンテンツをすべて削除し、それによって悪意のある側面を確実に除去します。また、インターネット上のすべての文書が安全なバージョンとしてダウンロードされるように、ポリシーを設定することも可能です。
この記事では、悪意のあるURLを文書に注入することによって、武器化されたテンプレートインジェクション攻撃がどのように実行されるか、またLotL攻撃として知られていることを詳しく説明しました。このテクニックでは、文書に典型的な不審な指標が存在しないため、悪意のあるテンプレートが取得されるまで、セキュリティツールやソリューションを回避することができます。さらに、これらの攻撃は、一般的なHEAT(Highly Evasive Adaptive Threat)テクニックであるLURE(Legacy URL Reputation Evasion:レガシーURLレピュテーション回避)も使用しています。LUREは悪意のあるテンプレートが良性/良好な評判を持つウェブサイト、またはLOTS(Living Off Trusted Sites)でホストされている場合に使用される手法です。
Menlo Labsは、テンプレートインジェクション攻撃を使用する脅威グループやキャンペーンを継続的に監視し、研究の最新情報を共有していきます。
