HTML密輸キャンペーンはMenloセキュリティクラウドプラットフォームによって中止されました
Menlo Securityは、私たちが「Duri」と名付けた攻撃を注意深く監視してきました。Duri は HTML スマグリングを利用して、サンドボックスやレガシープロキシなどのネットワークセキュリティソリューションを回避して、悪意のあるファイルをユーザーのエンドポイントに配信します。隔離することで、この攻撃がエンドポイントに感染するのを防ぎます。わかっていることは次のとおりです。
HTML スマグリングとは何ですか?
HTMLスマグリングの目的は、HTML5/JavaScriptの機能を利用してファイルのダウンロードを行うことであり、通常は次の2つの種類があります。
- ダウンロードを次の方法で配信 データ URL クライアントデバイス上。
- を作成 ジャバスクリプト・ブロブ 適切なものと マイムタイプ その結果、クライアントデバイスにダウンロードされます。
この特定の攻撃では、JavaScript BLOB手法を使用して、ブラウザ経由でユーザーのエンドポイントに悪意のあるファイルを密輸していることが確認されました。このようにクライアントブラウザ上にコンテンツを作成すると、サンドボックスやサンドボックスなどのネットワークセキュリティソリューションを回避できます。 代理人。
ドゥリって何?
私たちの観察によると、Duriキャンペーンは7月の初めに始まり、現在活発に行われています。今月初め、あるユーザーによるウェブサイト訪問とその後のファイルのダウンロードを確認しましたが、疑わしいためブロックされました。調査の結果、このファイルは HTML スマグリングを通じてダウンロードされたことが判明しました。プロキシ、ファイアウォール、サンドボックスなどの従来のネットワークセキュリティソリューションは、ネットワーク経由でのオブジェクトの転送に依存していました。たとえば、サンドボックスは、.exe、.zip などのファイルオブジェクトやその他の不審なオブジェクトをネットワークから抽出し、サンドボックスに送って爆発させることがあります。Duri では、ペイロード全体がクライアント側 (ブラウザ) で構築されるため、サンドボックスが検査する対象にオブジェクトがネットワーク経由で転送されることはありません。
Duriはどのような戦術を使用していますか?
Duri がダウンロードするマルウェアは新しいものではありません。によると シスコ以前はDropbox経由で配信されていましたが、攻撃者はDropboxを他のクラウドホスティングプロバイダーに置き換え、HTMLの密輸手法を融合してエンドポイントに感染させています。この戦術変更は、侵害されたエンドポイントの成功率を高めるために利用されていると推測されます。
ランディングページ
ユーザーがリンクをクリックすると、duckdns [.] orgでホストされているHTMLページにユーザーが移動する前に、複数のレベルのリダイレクトが行われます。ランディングページは JavaScript オンロードを呼び出し、以下に示すように base64 でエンコードされた変数から Blob オブジェクトのデータを初期化します。
上記のように、ZIP ファイルは MIME タイプが octet/stream の blob オブジェクトから動的に作成され、エンドポイントにダウンロードされます。それでも、ユーザーは ZIP ファイルを開いて実行する必要があります。
悪意のある MSI ドロッパー
ZIP アーカイブには MSI ファイルが含まれています [1218.007]。.msi ファイル拡張子は、そのファイルが Microsoft Windows インストーラーであり、アプリケーションとそのすべての依存関係が含まれていることを示します。解凍して PUVG OKZAGE SBKZXONA ETRWDDQGBL .zip アーカイブ:PUVG OKZAGE SBKZXONA ETRWDDQGBL .zip 膨張:PUVG OKZXONA ETRWDDQGBL (869261) .msiファイル PUVG OKZAGE SBKZXONA ETRWDDQGBL (869261) .msipuvg OKZAGE SBKZXONA ETRWDDQGBL (869261) .msi: 複合ドキュメントファイル V2 ドキュメント、リトルエンディアン、Os: Windows。MSI ファイルを調べると、MSI コンテンツのカスタムアクションにスクリプトコード実行アクションが定義されていることがわかります。
マイクロソフト JSCRIPT 分析
埋め込まれた JSCRIPT は難読化されており、起動時に次のアクションを実行します。
- リモートロケーションから ZIP ファイルを取得します:hxxp: //104 [.] 214 [.] 115 [.] 159/mod/input20 [.] jpg
URL の拡張子は.jpg ですが、ZIP ファイルです。
- ZIP ファイルはパブリックドキュメントフォルダにダウンロードされ、ZIP アーカイブから Avira.exe と rundll.exe の 2 つのファイルが抽出されます。
- Avira.exe ファイルの名前が、ランダムな名前の EXE ファイルに変更されます。rundll.exe ファイルの名前が、.bmp 拡張子の付いたランダムな名前のファイルに変更されます。
- LNK ファイルが %appdata% (roaming) フォルダに作成され、LNK ファイルのターゲットはランダムに名前が変更された Avira.exe ファイルに設定されます。[1547.009]。
- 上記の LNK ファイルの自動実行キーを作成することで永続性を実現します [1547.001]。
- 最後に実行されるコマンドは [1059.001]:
powershell.exe cd; cd 'c: UsersJohn SmithAppDataRoamingMicrosoft Windows スタートメニュープログラムスタートアップ'; Start-Sleep-s 60; Start-Process 'YOUXQNWXME.lnk' - 抽出された Avira.exe ファイルは、rundll.exe を含む Avira から提供された、署名付きの約 500 MB のファイルで、動作をさらに分析および調査するために使用できるプロセスインジェクションやサイドローディング手法の兆候は見られませんでした。
Menlo SecurityはどのようにしてDuriを可視化していますか?
従来のセキュリティソリューションはサイバーセキュリティに対する検出と対応のアプローチに依存していましたが、Menloはクリックした時点でブロックするか分離するかを強制することでゼロトラストアプローチを可能にします。すべてのコンテンツはリモートブラウザで取得されて実行され、エンドポイントからは切り離されます。一方、ユーザーのデバイスには安全にミラーリングされたコンテンツのみが届きます。これにより、マルウェアがエンドポイントにアクセスするのを防ぎます。JavaScriptを使用してプログラム的かつ動的に悪意のあるペイロードを生成するDuriのようなキャンペーンは、Menloプラットフォームを回避することはできません。Menlo 経由でのファイルのダウンロードは、2 段階のプロセスです。隔離されたブラウザでファイルをダウンロードするたびに、プラットフォーム上で独自のイベントがトリガーされます。その理由が何であれ、 データ URL、JavaScript ブロブ ダウンロード、またはリンク。その結果、Menloプラットフォームではすべてのファイルの内容の可視性が向上します。攻撃者は、セキュリティソリューションを回避して回避するために常に戦術を微調整しており、検出と対応のアプローチに依存するツールが常に追いつくことを余儀なくされています。HTMLスマグリングは、攻撃者の武器に組み込まれ、ネットワークソリューションがブロックすることなくペイロードをエンドポイントに配信するために使用されることが多くなると考えられます。Menloの隔離アプローチは、すべてのコンテンツがエンドポイントに到達するのを防ぎ、ネイティブユーザーエクスペリエンスに影響を及ぼすことなくすべてのマルウェアを効果的にブロックします。それは妥協のないセキュリティです。
付録
参考文献:
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs
- https://developer.mozilla.org/en-US/docs/Web/API/Blob
- https://umbrella.cisco.com/blog/navigating-cybersecurity-during-a-pandemic-latest-malware-and-threat-actors
- https://blog.trendmicro.com/trendlabs-security-intelligence/analysis-abuse-of-custom-actions-in-windows-installer-msi-to-run-malicious-javascript-vbscript-and-powershell-scripts/
IOC — URL
hxxp: //huzirh.com/hidrol/
hxp: //isocamprh.com.br/
hxxp: //hxxp.plasticospr.com/webmailgrupo? nzn11t6c68b5k40ry31c903ez3xaq/formulario_correios_37.pdf
hxxp: //gmpbusdoor.com/
hxxp: //hxxp.isocamprh.com.br/incolajes
hxxp: //iboxrh.com/consultoriarh? 1e0wq712tctv0232v000lnjsn4c7a/boleto.3673.pdf
hxxp: //www.isocamprh.com.br/incolajes
hxxp: //hxxp.isocamprh.com.br/incolajes/
hxxp: //isocamprh.com.br/ incolajes∀page=Boletos&idboleto=8868
hxxp: //hxxp.westermarh.com/waycompany?whatsapp_historico_de_Conversas?whatsapphistorico/index。html∀visualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.grentrepostorh.com/
hxp: //update-completo.com/
hxxp: //plasticospr.com/webmailgrupo? fotosWhatsapps/imagem.htmldigitaloceanspaces.com/fotos.html
hxxp: //ultrafarmarh.com/transglobal?whatsapp_historico_de_Conversas?whatsapphistorico/index。html∀visualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxp: //hidrolrh.com/
hxxp: //hxxp.casadaembalagemriopreto.com/officeclean? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
xxp: //www.fjpconstrucoes.com/predilecta
hxxp: //grentrepostorh.com/ WebmailGrupo∀page=Boletos&idboleto=8868
hxxp: //casadaembalagemriopreto.com/officeclean? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
xxp: //grjseguros.com/
hxxp: //hxxp.huzirh.com/ Hidrol≦ page=Boletos&idboleto=8868
hxxp: //usinasalgado.com/contabilidadecnt
hxxp: //westermarh.com/
xxp: //www.fjpconstrucoes.com/predilecta
xxp: //fjpconstrucoes.com/
hxxp: //www.graphiczonerh.com/mobile? whatsapp_historico_de_Conversas? whatsapphistorico/index. htmlwisar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //www.westermarh.com/waycompany?whatsapp_historico_de_Conversas?whatsapphistorico/index。html▽visualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxp: //www.iboxrh.com/
hxxp: //westermarh.com/waycompany?whatsapp_historico_de_Conversas?whatsapphistorico/index。htmlificalizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.grjseguros.com/
hxp: //grentrepostorh.com/
hxxp: //hxxp.continentalnetrh.com/tbvc? get-facebook-verified/get-facebook-verified.html
hxxp: //hxxp.westermarh.com/waycompany
hxxp: //hxxp.fachiniengenharia.com/predilecta
hxxp: //gmpbusdoor.com/furnax
hxxp: //hxxp.plasticospr.com/webmailgrupo? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
hxxp: //hxxp.update-completo.com/ consultrh∀page=boletos
hxxp: //www.grentrepostorh.com/webmailgrupo
xxp: //www.fjpconstrucoes.com/
hxxp: //hxxp.fachiniengenharia.com/predilecta? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
hxxp: //fjpconstrucoes.com/predilecta
hxxp: //www.versatilsegurosrh.com/vbimport? woa/rest/Faturamento/v1/Faturadigital/Visualizar? data-vencimento
hxxp: //fjpconstrucoes.com/predilecta
hxxp: //www.laboratrh.com/ contabilidadecnt≧page=Boletos&idBoleto=8868
hxxp: //fachiniengenharia.com/predilecta
hxxp: //hxxp.hidrolrh.com/heimatschutz
hxxp: //fjpconstrucoes.com/ predilecta∀page=Boletos&idboleto=8868
hxps: //iboxrh.com/
hxxp: //fachiniengenharia.com/ predilecta≦ page=Boletos&idboleto=8868
hxxp: //grjseguros.com/grjseguros? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //continentalnetrh.com/tbc? get-facebook-verified/get-facebook-verified.html
hxp: //grentrepostorh.com/webmailgrupo
hxxp: //isocamprh.com.br/ incolajes∀page=boletos &
hxxp: //hxxp.westermarh.com/
hxxp: //fachiniengenharia.com/ predilecta≦ page=Boletos&idboleto=8868
hxp: //hidrolrh.com/heimatschutz
hxp: //bustch.com/
hxxp: //hxxp.grentrepostorh.com/webmailgrupo? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //isocamprh.com.br/ incolajes∀page=Boletos&idboleto=8868
hxxp: //fjpconstrucoes.com/ predilecta∀page=Boletos&idboleto=8868
hxp: //casadaembalagemriopreto.com/
hxxp: //hxxp.bustvch.com/
hxp: //iboxrh.com/
hxxp: //hxxp.fjpconstrucoes.com/predilecta? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //www.continentalnetrh.com/tbvc? whatsapp_historico_de_Conversas? whatsapphistorico/index. html✔ visualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxp: //bustvch.com/adinoxrs
hxxp: //hxxp.ultrafarmarh.com/transglobal?whatsapp_historico_de_Conversas?whatsapphistorico/index。html✓ visualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.update-completo.com/ consultrh∀page=Boletos&idBoleto=8868
hxxp: //hxxp.casadaembalagemriopreto.com/