Ivanti Connect Secure VPNの脆弱性(CVE-2023-46805 and CVE-2024-21887)
悪用している攻撃者
- Volexity
- UTA0178 (中国のAPTと推定)
- Mandiant
- UNC5221
観測時期
- 2023年12月初め
脆弱性
- CVE-2023-46805
- 認証バイパス
- CVE-2024-21887
- コマンドインジェクション
マルウェア/ツール
検知
脆弱有無の確認
- REST APIの
/api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmark
で空のレスポンスの403応答が返ってきた場合、デバイスが脆弱なままの可能性
公開情報
Ivanti
JPCERT
Volexity
Mandiant
watchTowr
Agent Teslaの感染に利用されるステガノグラフィの分析
Agent Teslaと呼ばれるマルウェアに感染させる攻撃方法の分析レポートがMcAfeeより公開されていました。
そのなかで、Agent Teslaはステガノグラフィと呼ばれる、画像の中にマルウェアを埋め込む手法が使われているとのことで、画像ファイルを見てみました。
まず画像ファイルを開くと、以下のように一見普通の画像が表示されます。
次に、jpegdumpと呼ばれるツールを使って中身を見てみます。
中身を見ると、セグメント1のところにStart Of Image (SOI) 、セグメント12のところに対となるEnd Of Image (EOI)が確認でき、JPEGイメージが埋め込まれていることがわかります。次に注目するところとして、End Of Image (EOI)の後のセグメント13で約3MB(3,322,570 byte)の巨大なデータが存在していることがわかります。そのため、対象部分に不正なコードが埋め込まれている可能性が高いと思われるため、抽出して見てみます。
$ python jpegdump.py 21c5d3ef06d8cff43816a10a37ba1804a764b7b31fe1eb3b82c144515297875f.jpg -s 13 | head
0005596E: 3C 3C 42 41 53 45 36 34 5F 53 54 41 52 54 3E 3E <<BASE64_START>>
0005597E: 54 56 71 51 41 41 4D 41 41 41 41 45 41 41 41 41 TVqQAAMAAAAEAAAA
0005598E: 2F 2F 38 41 41 4C 67 41 41 41 41 41 41 41 41 41 //8AALgAAAAAAAAA
0005599E: 51 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 QAAAAAAAAAAAAAAA
000559AE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
000559BE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
000559CE: 67 41 41 41 41 41 34 66 75 67 34 41 74 41 6E 4E gAAAAA4fug4AtAnN
000559DE: 49 62 67 42 54 4D 30 68 56 47 68 70 63 79 42 77 IbgBTM0hVGhpcyBw
000559EE: 63 6D 39 6E 63 6D 46 74 49 47 4E 68 62 6D 35 76 cm9ncmFtIGNhbm5v
000559FE: 64 43 42 69 5A 53 42 79 64 57 34 67 61 57 34 67 dCBiZSBydW4gaW4g
$ python jpegdump.py 21c5d3ef06d8cff43816a10a37ba1804a764b7b31fe1eb3b82c144515297875f.jpg -s 13 | tail
00380B9E: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BAE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BBE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BCE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BDE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BEE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380BFE: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380C0E: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA
00380C1E: 41 41 41 41 41 41 41 41 41 41 41 3D 3C 3C 42 41 AAAAAAAAAAA=<<BA
00380C2E: 53 45 36 34 5F 45 4E 44 3E 3E SE64_END>>
中身を見ると、McAfeeの分析レポートにあった通り、マーカーとして<<BASE64_START>>と<<BASE64_END>>を用いて、BASE64文字列が埋め込まれていることが確認できます。
後は対象の文字列部分をBASE64でデコードすることで、埋め込まれているDLLファイルを確認できます。
https://www.virustotal.com/gui/file/b2d667caa6f3deec506e27a5f40971cb344b6edcfe6182002f1e91ce9167327f
SMSで届いた詐欺メッセージの調査
今日、SMSで以下のような詐欺メッセージが届きました。
記載されているURLにアクセスしてみると、以下のような大量の難読化されたJavascriptのコードが書かれています。
難読化を解除するのが面倒だったので、簡単にデバッガーで動かしていくと、以下のようにブラウザのUser-Agentを見て、処理を変えている部分が確認できます。
なお、画像で確認できる、Apple向けと思われるapple.txtには、以下のような文言が書かれており、
お客様がご利用のauじぶん銀行口座に対し、第三者からの不正なアクセスを検知しました。セキュリティ強化のため、更新手続きをお願いします。
appleurl.txtには、じぶん銀行のフィッシングサイトURLが書かれていました。
http[:]//jibun-xxu[.]com
※確認した時点で、すでにほかのセキュリティリサーチャーのかたがTwitterで注意喚起を行っていました。
じぶん銀行のフィッシングサイト情報です。
— KesagataMe (@KesaGataMe0) 2020年11月21日
hxxps://jibun-xxu.com
‐>165.3.94.15
(AS21859 - ZNET)https://t.co/SS160VYXH8#Phishing #じぶん銀行 pic.twitter.com/zedHUm57H4
同様に、Android向けと思われるanzhuo.txtを確認すると、以下のような文言が書かれており、
セキュリティ向上のため,最新バージョンのChromeにアップデートしてください。'
anzhuourl.txtには、apkファイルのURL(ファイル名)が書かれていました。
vXmDc.apk
URLにアクセスすると、vXmDc.apkファイルがダウンロードできましたので、VirusTotalにアップロードしておきました。
以上のように、URLにアクセスした端末がAppleだった場合はフィッシングサイト、Androidの場合は偽アプリのダウンロードを狙っているようなので、今後も注意が必要そうです。
IcedIDに感染させるWordファイル調査
Emotetに代わり11/3あたりから届き始めている #IcedID のこんな感じ。
— さとっぺ (@satontonton) 2020年11月5日
■件名
Re:●●
FW:●●
(●●は実際の件名)
■本文
下図参照
(返信を装ってますが、実際の過去本文があるものは見ていません)
■添付ファイルhttps://t.co/vL5vQnDQzMhttps://t.co/dvfPzmKMNc
いずれもパスワード付きzip pic.twitter.com/IVH9YnO34R
最近Emotetがおとなしい代わりに、IcedIDと呼ばれるマルウェアの感染を狙ったメールが頻繁に届いているようです。添付のWordファイルを開いてマクロを有効化すると感染するとのことで、簡単にWordファイルを調査してみたのでメモを残します。
- Wordファイルを開く
Wordファイルを開くとこのような画面が表示され、日本語文で「コンテンツの有効化」をクリックするように誘導してきます。 - 「コンテンツの有効化」をクリック
「コンテンツの有効化」をクリックするとマクロが実行され、in.comなるプログラムが動いていることを確認できます。 - 作成されたファイルを確認
Tempフォルダにin.comとin.htmlという2つのファイルが作成されています。確認すると、in.comは、Windowsに標準で存在するmshta.exeのコピーでした。
また、in.htmlはHTML Application(HTA)で、外部からIcedIDと呼ばれるマルウェアをダウンロードして実行するコードが書かれています。
- 変更されたレジストリを確認
3.のHTML Application(HTA)が実行されると、HKEY_CURRENT_USER\\Software\\mysoftware1\\key1
のレジストリに書き込みが行われます。key1はすぐに削除されますが、mysoftware1は残ったままでした。 - ダウンロードされたファイルと実行方法を確認
3.のHTML Application(HTA)のコードを少し綺麗にすると画像のようになります。ダウンロードしたファイルは、Tempフォルダにtemp.tmpとして保存され、Windowsに標準で存在するregsvr32.exeを使って実行されることがわかります。
上記で簡単に挙動を記載してみました。いつまで同じ動作かは分かりませんが、
- Tempフォルダにin.com、in.html、temp.tmpといった名前のファイルが存在しないか
- Tempフォルダにmshta.exeのコピーが存在しないか
- HKEY_CURRENT_USER\\Software\\mysoftware1のレジストリが存在しないか
等々を調べてみると、感染有無を調べる際に役立つかもしれません。
日本語メール添付のマルウェア調査
日本語のマルウェアメールの接到を確認しています
— moto_sato (@58_158_177_102) 2020年7月7日
Japanese language #malspam observed #AveMariaRAT?
title : 確定注文番号 2020-1-32410 / 21981/XMH
payload : https://t.co/tHTZDezhvG[.]com/u/0/uc?id=1nJC70ii9821la4-UiRQ2pwKENNHbKFFx&export=download
C2 : 185.140.53[.]91 pic.twitter.com/9yDhyueXU5
7月7日に、日本語のマルウェアメールが届いているとの報告があったため、簡単に調査した結果をメモ。
- 添付のマルウェアを実行するとGoogle Driveに通信が発生し、メインのマルウェア(AveMariaRAT)をダウンロードして実行
- AveMariaRATのハッシュ値(デコード後)
- AveMariaRATは以下のいずれかのプロセスを生成し、プロセスインジェクションを行う
- C:\Program Files (x86)\internet explorer\ieinstal.exe
- C:\Windows\System32\TapiUnattend.exe
- 以下の常駐化設定を行う
- 以下に通信を行う
- 1 8 5 . 1 4 0 . 5 3 . 9 1 / 1867番ポート
- 参考スクリプト
enc_url = "5e404244450e191b52465f42531a515b59535a5118575959194119041941550b5f500b05587e7503065d5f0d0e06075857001b615f66670646437d71787a7e567d72704c10514e4459464209525b415a5a5b5750" xor_key = "64" num = 0 for i in range(0, len(enc_url), 2): print chr(int(enc_url[i:i+2], 16) ^ ord(xor_key[num%2])), num += 1
SMBv3の脆弱性 (CVE-2020-0796)
影響を受けるWindowsのバージョン
- Windows 10 Version 1903
- Windows 10 Version 1909
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
攻撃経路
- 脆弱なSMBv3サーバに攻撃パケットを送信
- 脆弱なSMBクライアントを悪意のあるSMBv3サーバにアクセスさせる
対策
- 修正パッチを当てる
- SMBサーバをインターネット上に公開しない
SMBv3のデータ圧縮機能を無効化する
Microsoftが機能を無効化するPowershellコードを公開している
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
外部宛てのSMB通信を許可しない
- "smb://"のようなスキームを利用して攻撃が行われる可能性
メモ
- リモートコード実行の脆弱性
- SMBv3のデータ圧縮機能に不具合
現時点(3/12)で修正パッチは存在しない- 現時点(3/12)でPoCは公開されていない(模様)
- GitHubにSMBサーバが脆弱かどうかを調査するツールが公開されている https://github.com/ollypwn/SMBGhost
参考リンク
リバースエンジニアリングツール「Ghidra」
Ghidraは、NSAが最近公開した無償のリバースエンジニアリングツール。
試用した感想のブログ等を見る限りでは、商用のIDAには劣るもののなかなか使えるとして、評判が高そうです。
IDAと比べた時の欠点として、
・デバッガー機能がない
・速度が遅い
・正しく解析できない部分がある
等々が挙げられていましたが、IDAだと何十万もするデコンパイル機能が無償で付いている他、namespaceやclassを自動的に識別してくれる等、個人的に凄く嬉しい機能も備わっているようです。
■ Ghidraの参考サイト
〇Download GHIDRA 9.0 — software package, slides, and exercises
〇Installation Guide — basic usage documentation
〇Cheat Sheet — keyboard shortcuts
〇Online Courses
〇Ghidra Wiki
〇Ghidra まとめ
〇NSAがリバースエンジニアリングツール「Ghidra」を公開
〇Ghidra Tutorial + CTF・脆弱性診断 超入門 Reversing①
〇Ghidra: A quick overview for the curious
〇Quick Analysis of a Trickbot Sample with NSA's Ghidra SRE Framework
www.peppermalware.com→ Ghidraを使って2019年初期のTrickBotを簡易解析する記事(復号化処理が行われている箇所の特定)
〇An Hour with Ghidra : The Good and The Ugly
〇NSA Releases GHIDRA 9.0 — Free, Powerful Reverse Engineering Tool
〇SEGA Genesis ROM Hacking with GHIDRA
〇Analyzing MIPS Windows CE PE’s with the NSA’s GHIDRA Suite
→ Ghidraを使ってWindows CEのMIPSアーキテクチャの検体を解析する記事
〇Analysing meterpreter payload with Ghidra
→ Ghidraを使ってmeterpreter検体を解析する記事
〇Ghidra: few thoughts after 3-day usage
→ GhidraとIDAを比較したときの感想