カスペルスキーのセキュリティ研究者Mert Degirmenciが新たに発表した分析によると、Web Shellは「hrserv.dll」と呼ばれるダイナミックリンクライブラリ(DLL)で、クライアントサイドの通信やメモリ実行のためのカスタムコーディング手法など、複雑な機能を備えている。
カスペルスキーによると、ロシアのサイバーセキュリティ同社の調査では、これらの遺物のコンパイルのタイムスタンプから、2021年初頭までさかのぼるマルウェアの亜種が発見された。
Web Shellは多くの場合、感染したサーバーを遠隔操作するために使用される悪意のあるツールです。アップロードに成功すると、攻撃者は、データの窃取、サーバーの監視、イントラネットの横展開など、侵入後のさまざまな活動を行うことができます。
この攻撃チェーンには、PsExecの代替ツールであるPAExecリモート管理ツールが関与しており、このツールを使用して、マイクロソフトの更新プログラム(「MicrosoftsUpdate」)に偽装したスケジュールタスクを作成し、「JKNLA」というWindowsバッチスクリプトを実行するように設定します。.bat」というWindowsバッチスクリプトを実行するように設定されます。
バッチスクリプトは、DLLファイル("hrserv.dll")の絶対パスをパラメータとして受け取り、それをサービスとして実行し、後続の操作のために受信HTTPリクエストを解析できるHTTPサーバーを開始する。
Degirmenci氏は、HTTPリクエストの種類と情報に応じて、特定の機能が有効になると述べた。さらに、『hrserv.dll』ファイルで使用されるGETパラメーターは、『hl』を含むGoogleサービスを模倣するために使用されると付け加えた。
攻撃者はこのような悪意のあるリクエストを通常のネットワーク・トラフィックに混ぜようとしている可能性が高く、悪意のある活動と通常のイベントの区別を難しくしている。
これらのHTTP GETおよびPOSTリクエストには、"cp "と呼ばれるパラメータが埋め込まれており、その値は0から7までの範囲で、次に何をするかを決定する。これには、新しいスレッドの作成、任意のデータを含むファイルの作成、ファイルの読み取り、Outlook Web AppからのHTMLデータへのアクセスなどが含まれます。
POSTリクエストの "cp "の値が "6 "に等しい場合、コード実行がトリガーされ、エンコードされたデータを解析してメモリにコピーし、新しいスレッドを作成してスリープする。
さらに、Web Shellはメモリ上に隠された「多目的インプラント」を起動することができ、「MicrosoftsUpdate」タスクや初期DLL、バッチファイルを削除することで、フォレンジックの痕跡を消す役割を果たす。その
この背後にいる脅威者が誰なのかは不明だが、ソースコードには複数のスペルミスがあり、このマルウェアの作者の母国語が英語ではないことを示唆している。
Web Shellとメモリーインプラントは、特定の条件下で異なる文字列を使用することは注目に値する。さらに、メモリインプラントにはよく練られたヘルプメッセージがある。"
「これらの要因を考慮すると、このマルウェアの特徴は、経済的な動機に基づく悪意ある活動と一致する。しかし、その操作方法は APT 行動には共通点がある。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/ew-hrservdll-web-shell-detected-in-apt.html。
