新しい HTML 密輸攻撃アラート:Duri

Krishnan Subramanian

August 16, 2020

HTML密輸キャンペーンはMenloセキュリティクラウドプラットフォームによって中止されました

Menlo Securityは、私たちが「Duri」と名付けた攻撃を注意深く監視してきました。Duri は HTML スマグリングを利用して、サンドボックスやレガシープロキシなどのネットワークセキュリティソリューションを回避して、悪意のあるファイルをユーザーのエンドポイントに配信します。隔離することで、この攻撃がエンドポイントに感染するのを防ぎます。わかっていることは次のとおりです。

HTML スマグリングとは何ですか?

HTMLスマグリングの目的は、HTML5/JavaScriptの機能を利用してファイルのダウンロードを行うことであり、通常は次の2つの種類があります。

ダウンロードを次の方法で配信データ URL クライアントデバイス上。
を作成ジャバスクリプト・ブロブ適切なものとマイムタイプその結果、クライアントデバイスにダウンロードされます。

この特定の攻撃では、JavaScript BLOB手法を使用して、ブラウザ経由でユーザーのエンドポイントに悪意のあるファイルを密輸していることが確認されました。このようにクライアントブラウザ上にコンテンツを作成すると、サンドボックスやサンドボックスなどのネットワークセキュリティソリューションを回避できます。代理人。

ドゥリって何？

私たちの観察によると、Duriキャンペーンは7月の初めに始まり、現在活発に行われています。今月初め、あるユーザーによるウェブサイト訪問とその後のファイルのダウンロードを確認しましたが、疑わしいためブロックされました。調査の結果、このファイルは HTML スマグリングを通じてダウンロードされたことが判明しました。プロキシ、ファイアウォール、サンドボックスなどの従来のネットワークセキュリティソリューションは、ネットワーク経由でのオブジェクトの転送に依存していました。たとえば、サンドボックスは、.exe、.zip などのファイルオブジェクトやその他の不審なオブジェクトをネットワークから抽出し、サンドボックスに送って爆発させることがあります。Duri では、ペイロード全体がクライアント側 (ブラウザ) で構築されるため、サンドボックスが検査する対象にオブジェクトがネットワーク経由で転送されることはありません。

Duriはどのような戦術を使用していますか？

Duri がダウンロードするマルウェアは新しいものではありません。によるとシスコ以前はDropbox経由で配信されていましたが、攻撃者はDropboxを他のクラウドホスティングプロバイダーに置き換え、HTMLの密輸手法を融合してエンドポイントに感染させています。この戦術変更は、侵害されたエンドポイントの成功率を高めるために利用されていると推測されます。

ランディングページ

ユーザーがリンクをクリックすると、duckdns [.] orgでホストされているHTMLページにユーザーが移動する前に、複数のレベルのリダイレクトが行われます。ランディングページは JavaScript オンロードを呼び出し、以下に示すように base64 でエンコードされた変数から Blob オブジェクトのデータを初期化します。

上記のように、ZIP ファイルは MIME タイプが octet/stream の blob オブジェクトから動的に作成され、エンドポイントにダウンロードされます。それでも、ユーザーは ZIP ファイルを開いて実行する必要があります。

悪意のある MSI ドロッパー

ZIP アーカイブには MSI ファイルが含まれています [1218.007]。.msi ファイル拡張子は、そのファイルが Microsoft Windows インストーラーであり、アプリケーションとそのすべての依存関係が含まれていることを示します。解凍して PUVG OKZAGE SBKZXONA ETRWDDQGBL .zip アーカイブ:PUVG OKZAGE SBKZXONA ETRWDDQGBL .zip 膨張:PUVG OKZXONA ETRWDDQGBL (869261) .msiファイル PUVG OKZAGE SBKZXONA ETRWDDQGBL (869261) .msipuvg OKZAGE SBKZXONA ETRWDDQGBL (869261) .msi: 複合ドキュメントファイル V2 ドキュメント、リトルエンディアン、Os: Windows。MSI ファイルを調べると、MSI コンテンツのカスタムアクションにスクリプトコード実行アクションが定義されていることがわかります。

マイクロソフト JSCRIPT 分析

埋め込まれた JSCRIPT は難読化されており、起動時に次のアクションを実行します。

リモートロケーションから ZIP ファイルを取得します:hxxp: //104 [.] 214 [.] 115 [.] 159/mod/input20 [.] jpg

URL の拡張子は.jpg ですが、ZIP ファイルです。

ZIP ファイルはパブリックドキュメントフォルダにダウンロードされ、ZIP アーカイブから Avira.exe と rundll.exe の 2 つのファイルが抽出されます。
Avira.exe ファイルの名前が、ランダムな名前の EXE ファイルに変更されます。rundll.exe ファイルの名前が、.bmp 拡張子の付いたランダムな名前のファイルに変更されます。
LNK ファイルが %appdata% (roaming) フォルダに作成され、LNK ファイルのターゲットはランダムに名前が変更された Avira.exe ファイルに設定されます。[1547.009]。
上記の LNK ファイルの自動実行キーを作成することで永続性を実現します [1547.001]。
最後に実行されるコマンドは [1059.001]:
powershell.exe cd; cd 'c: UsersJohn SmithAppDataRoamingMicrosoft Windows スタートメニュープログラムスタートアップ'; Start-Sleep-s 60; Start-Process 'YOUXQNWXME.lnk'
抽出された Avira.exe ファイルは、rundll.exe を含む Avira から提供された、署名付きの約 500 MB のファイルで、動作をさらに分析および調査するために使用できるプロセスインジェクションやサイドローディング手法の兆候は見られませんでした。

Menlo SecurityはどのようにしてDuriを可視化していますか？

従来のセキュリティソリューションはサイバーセキュリティに対する検出と対応のアプローチに依存していましたが、Menloはクリックした時点でブロックするか分離するかを強制することでゼロトラストアプローチを可能にします。すべてのコンテンツはリモートブラウザで取得されて実行され、エンドポイントからは切り離されます。一方、ユーザーのデバイスには安全にミラーリングされたコンテンツのみが届きます。これにより、マルウェアがエンドポイントにアクセスするのを防ぎます。JavaScriptを使用してプログラム的かつ動的に悪意のあるペイロードを生成するDuriのようなキャンペーンは、Menloプラットフォームを回避することはできません。Menlo 経由でのファイルのダウンロードは、2 段階のプロセスです。隔離されたブラウザでファイルをダウンロードするたびに、プラットフォーム上で独自のイベントがトリガーされます。その理由が何であれ、データ URL、JavaScript ブロブダウンロード、またはリンク。その結果、Menloプラットフォームではすべてのファイルの内容の可視性が向上します。攻撃者は、セキュリティソリューションを回避して回避するために常に戦術を微調整しており、検出と対応のアプローチに依存するツールが常に追いつくことを余儀なくされています。HTMLスマグリングは、攻撃者の武器に組み込まれ、ネットワークソリューションがブロックすることなくペイロードをエンドポイントに配信するために使用されることが多くなると考えられます。Menloの隔離アプローチは、すべてのコンテンツがエンドポイントに到達するのを防ぎ、ネイティブユーザーエクスペリエンスに影響を及ぼすことなくすべてのマルウェアを効果的にブロックします。それは妥協のないセキュリティです。

付録

参考文献:

IOC — URL

hxxp: //huzirh.com/hidrol/

hxp: //isocamprh.com.br/

hxxp: //hxxp.plasticospr.com/webmailgrupo? nzn11t6c68b5k40ry31c903ez3xaq/formulario_correios_37.pdf

hxxp: //gmpbusdoor.com/

hxxp: //hxxp.isocamprh.com.br/incolajes

hxxp: //iboxrh.com/consultoriarh? 1e0wq712tctv0232v000lnjsn4c7a/boleto.3673.pdf

hxxp: //www.isocamprh.com.br/incolajes

hxxp: //hxxp.isocamprh.com.br/incolajes/

hxxp: //isocamprh.com.br/ incolajes∀page=Boletos&idboleto=8868

hxxp: //hxxp.westermarh.com/waycompany？whatsapp_historico_de_Conversas？whatsapphistorico/index。html∀visualizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxxp: //hxxp.grentrepostorh.com/

hxp: //update-completo.com/

hxxp: //plasticospr.com/webmailgrupo? fotosWhatsapps/imagem.htmldigitaloceanspaces.com/fotos.html

hxxp: //ultrafarmarh.com/transglobal？whatsapp_historico_de_Conversas？whatsapphistorico/index。html∀visualizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxp: //hidrolrh.com/

hxxp: //hxxp.casadaembalagemriopreto.com/officeclean? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf

xxp: //www.fjpconstrucoes.com/predilecta

hxxp: //grentrepostorh.com/ WebmailGrupo∀page=Boletos&idboleto=8868

hxxp: //casadaembalagemriopreto.com/officeclean? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf

xxp: //grjseguros.com/

hxxp: //hxxp.huzirh.com/ Hidrol≦ page=Boletos&idboleto=8868

hxxp: //usinasalgado.com/contabilidadecnt

hxxp: //westermarh.com/

xxp: //www.fjpconstrucoes.com/predilecta

xxp: //fjpconstrucoes.com/

hxxp: //www.graphiczonerh.com/mobile? whatsapp_historico_de_Conversas? whatsapphistorico/index. htmlwisar=c06e8cf10aeaf00c33360d2b2bfb6792

hxxp: //www.westermarh.com/waycompany？whatsapp_historico_de_Conversas？whatsapphistorico/index。html▽visualizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxp: //www.iboxrh.com/

hxxp: //westermarh.com/waycompany？whatsapp_historico_de_Conversas？whatsapphistorico/index。htmlificalizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxxp: //hxxp.grjseguros.com/

hxp: //grentrepostorh.com/

hxxp: //hxxp.continentalnetrh.com/tbvc? get-facebook-verified/get-facebook-verified.html

hxxp: //hxxp.westermarh.com/waycompany

hxxp: //hxxp.fachiniengenharia.com/predilecta

hxxp: //gmpbusdoor.com/furnax

hxxp: //hxxp.plasticospr.com/webmailgrupo? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf

hxxp: //hxxp.update-completo.com/ consultrh∀page=boletos

hxxp: //www.grentrepostorh.com/webmailgrupo

xxp: //www.fjpconstrucoes.com/

hxxp: //hxxp.fachiniengenharia.com/predilecta? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf

hxxp: //fjpconstrucoes.com/predilecta

hxxp: //www.versatilsegurosrh.com/vbimport? woa/rest/Faturamento/v1/Faturadigital/Visualizar? data-vencimento

hxxp: //fjpconstrucoes.com/predilecta

hxxp: //www.laboratrh.com/ contabilidadecnt≧page=Boletos&idBoleto=8868

hxxp: //fachiniengenharia.com/predilecta

hxxp: //hxxp.hidrolrh.com/heimatschutz

hxxp: //fjpconstrucoes.com/ predilecta∀page=Boletos&idboleto=8868

hxps: //iboxrh.com/

hxxp: //fachiniengenharia.com/ predilecta≦ page=Boletos&idboleto=8868

hxxp: //grjseguros.com/grjseguros? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf

hxxp: //continentalnetrh.com/tbc? get-facebook-verified/get-facebook-verified.html

hxp: //grentrepostorh.com/webmailgrupo

hxxp: //isocamprh.com.br/ incolajes∀page=boletos &

hxxp: //hxxp.westermarh.com/

hxxp: //fachiniengenharia.com/ predilecta≦ page=Boletos&idboleto=8868

hxp: //hidrolrh.com/heimatschutz

hxp: //bustch.com/

hxxp: //hxxp.grentrepostorh.com/webmailgrupo? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf

hxxp: //isocamprh.com.br/ incolajes∀page=Boletos&idboleto=8868

hxxp: //fjpconstrucoes.com/ predilecta∀page=Boletos&idboleto=8868

hxp: //casadaembalagemriopreto.com/

hxxp: //hxxp.bustvch.com/

hxp: //iboxrh.com/

hxxp: //hxxp.fjpconstrucoes.com/predilecta? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf

hxxp: //www.continentalnetrh.com/tbvc? whatsapp_historico_de_Conversas? whatsapphistorico/index. html✔ visualizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxp: //bustvch.com/adinoxrs

hxxp: //hxxp.ultrafarmarh.com/transglobal？whatsapp_historico_de_Conversas？whatsapphistorico/index。html✓ visualizar=c06e8cf10aeaf00c33360d2b2bfb6792

hxxp: //hxxp.update-completo.com/ consultrh∀page=Boletos&idBoleto=8868

hxxp: //hxxp.casadaembalagemriopreto.com/

ブログカテゴリー

タグ付き

ブログ

リサーチ

デモ

新しい HTML 密輸攻撃アラート:Duri