Ivanti Connect Secure VPNの脆弱性(CVE-2023-46805 and CVE-2024-21887)

悪用している攻撃者

  • Volexity
    • UTA0178 (中国のAPTと推定)
  • Mandiant
    • UNC5221

観測時期

  • 2023年12月初め

脆弱性

  • CVE-2023-46805
    • 認証バイパス
  • CVE-2024-21887
    • コマンドインジェクション

マルウェア/ツール

検知

脆弱有無の確認

  • REST API/api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmarkで空のレスポンスの403応答が返ってきた場合、デバイスが脆弱なままの可能性

公開情報

Agent Teslaの感染に利用されるステガノグラフィの分析

Agent Teslaと呼ばれるマルウェアに感染させる攻撃方法の分析レポートがMcAfeeより公開されていました。

www.mcafee.com

そのなかで、Agent Teslaはステガノグラフィと呼ばれる、画像の中にマルウェアを埋め込む手法が使われているとのことで、画像ファイルを見てみました。

まず画像ファイルを開くと、以下のように一見普通の画像が表示されます。

次に、jpegdumpと呼ばれるツールを使って中身を見てみます。

github.com

中身を見ると、セグメント1のところにStart Of Image (SOI) 、セグメント12のところに対となるEnd Of Image (EOI)が確認でき、JPEGイメージが埋め込まれていることがわかります。次に注目するところとして、End Of Image (EOI)の後のセグメント13で約3MB(3,322,570 byte)の巨大なデータが存在していることがわかります。そのため、対象部分に不正なコードが埋め込まれている可能性が高いと思われるため、抽出して見てみます。

$ python jpegdump.py 21c5d3ef06d8cff43816a10a37ba1804a764b7b31fe1eb3b82c144515297875f.jpg -s 13 | head
0005596E: 3C 3C 42 41 53 45 36 34  5F 53 54 41 52 54 3E 3E  <<BASE64_START>>
0005597E: 54 56 71 51 41 41 4D 41  41 41 41 45 41 41 41 41  TVqQAAMAAAAEAAAA
0005598E: 2F 2F 38 41 41 4C 67 41  41 41 41 41 41 41 41 41  //8AALgAAAAAAAAA
0005599E: 51 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  QAAAAAAAAAAAAAAA
000559AE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
000559BE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
000559CE: 67 41 41 41 41 41 34 66  75 67 34 41 74 41 6E 4E  gAAAAA4fug4AtAnN
000559DE: 49 62 67 42 54 4D 30 68  56 47 68 70 63 79 42 77  IbgBTM0hVGhpcyBw
000559EE: 63 6D 39 6E 63 6D 46 74  49 47 4E 68 62 6D 35 76  cm9ncmFtIGNhbm5v
000559FE: 64 43 42 69 5A 53 42 79  64 57 34 67 61 57 34 67  dCBiZSBydW4gaW4g

$ python jpegdump.py 21c5d3ef06d8cff43816a10a37ba1804a764b7b31fe1eb3b82c144515297875f.jpg -s 13 | tail
00380B9E: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BAE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BBE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BCE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BDE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BEE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380BFE: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380C0E: 41 41 41 41 41 41 41 41  41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
00380C1E: 41 41 41 41 41 41 41 41  41 41 41 3D 3C 3C 42 41  AAAAAAAAAAA=<<BA
00380C2E: 53 45 36 34 5F 45 4E 44  3E 3E                    SE64_END>>

中身を見ると、McAfeeの分析レポートにあった通り、マーカーとして<<BASE64_START>>と<<BASE64_END>>を用いて、BASE64文字列が埋め込まれていることが確認できます。

後は対象の文字列部分をBASE64でデコードすることで、埋め込まれているDLLファイルを確認できます。

https://www.virustotal.com/gui/file/b2d667caa6f3deec506e27a5f40971cb344b6edcfe6182002f1e91ce9167327f

ステガノグラフィを用いた不正なJPEGファイルを分析する際には、jpegdumpと呼ばれるツールが便利かもしれません。

SMSで届いた詐欺メッセージの調査

今日、SMSで以下のような詐欺メッセージが届きました。

f:id:b1nary:20201121175257p:plain

記載されているURLにアクセスしてみると、以下のような大量の難読化されたJavascriptのコードが書かれています。

f:id:b1nary:20201121180320p:plain

難読化を解除するのが面倒だったので、簡単にデバッガーで動かしていくと、以下のようにブラウザのUser-Agentを見て、処理を変えている部分が確認できます。

f:id:b1nary:20201121180810p:plain

なお、画像で確認できる、Apple向けと思われるapple.txtには、以下のような文言が書かれており、

お客様がご利用のauじぶん銀行口座に対し、第三者からの不正なアクセスを検知しました。セキュリティ強化のため、更新手続きをお願いします。

appleurl.txtには、じぶん銀行のフィッシングサイトURLが書かれていました。

http[:]//jibun-xxu[.]com


※確認した時点で、すでにほかのセキュリティリサーチャーのかたがTwitterで注意喚起を行っていました。

 
同様に、Android向けと思われるanzhuo.txtを確認すると、以下のような文言が書かれており、

セキュリティ向上のため,最新バージョンのChromeにアップデートしてください。'

anzhuourl.txtには、apkファイルのURL(ファイル名)が書かれていました。

vXmDc.apk


URLにアクセスすると、vXmDc.apkファイルがダウンロードできましたので、VirusTotalにアップロードしておきました。

f:id:b1nary:20201121183912p:plain

https://www.virustotal.com/gui/file/106892608f84724a85739c3af3a442389aee5f9b26cfb69cd5a0ff4aa3f82023/detection

以上のように、URLにアクセスした端末がAppleだった場合はフィッシングサイト、Androidの場合は偽アプリのダウンロードを狙っているようなので、今後も注意が必要そうです。

 

IcedIDに感染させるWordファイル調査

Emotetに代わり11/3あたりから届き始めている #IcedID のこんな感じ。

■件名
Re:●●
FW:●●
(●●は実際の件名)

■本文
下図参照
(返信を装ってますが、実際の過去本文があるものは見ていません)

■添付ファイルhttps://t.co/vL5vQnDQzMhttps://t.co/dvfPzmKMNc
いずれもパスワード付きzip pic.twitter.com/IVH9YnO34R

— さとっぺ (@satontonton) 2020年11月5日

 最近Emotetがおとなしい代わりに、IcedIDと呼ばれるマルウェアの感染を狙ったメールが頻繁に届いているようです。添付のWordファイルを開いてマクロを有効化すると感染するとのことで、簡単にWordファイルを調査してみたのでメモを残します。

  1. Wordファイルを開く

    f:id:b1nary:20201105213437p:plain

    Wordファイルを開くとこのような画面が表示され、日本語文で「コンテンツの有効化」をクリックするように誘導してきます。

  2. 「コンテンツの有効化」をクリック

    f:id:b1nary:20201105213636p:plain

    「コンテンツの有効化」をクリックするとマクロが実行され、in.comなるプログラムが動いていることを確認できます。

  3. 作成されたファイルを確認

    f:id:b1nary:20201105213853p:plain

    Tempフォルダにin.comとin.htmlという2つのファイルが作成されています。確認すると、in.comは、Windowsに標準で存在するmshta.exeのコピーでした。

    f:id:b1nary:20201105214104p:plain

    また、in.htmlはHTML Application(HTA)で、外部からIcedIDと呼ばれるマルウェアをダウンロードして実行するコードが書かれています。

    f:id:b1nary:20201105214706p:plain

  4. 変更されたレジストリを確認

    f:id:b1nary:20201105214834p:plain

    3.のHTML Application(HTA)が実行されると、HKEY_CURRENT_USER\\Software\\mysoftware1\\key1
    レジストリに書き込みが行われます。key1はすぐに削除されますが、mysoftware1は残ったままでした。

  5. ダウンロードされたファイルと実行方法を確認

    f:id:b1nary:20201105215434p:plain

    3.のHTML Application(HTA)のコードを少し綺麗にすると画像のようになります。ダウンロードしたファイルは、Tempフォルダにtemp.tmpとして保存され、Windowsに標準で存在するregsvr32.exeを使って実行されることがわかります。

上記で簡単に挙動を記載してみました。いつまで同じ動作かは分かりませんが、

  • Tempフォルダにin.com、in.html、temp.tmpといった名前のファイルが存在しないか
  • Tempフォルダにmshta.exeのコピーが存在しないか
  • HKEY_CURRENT_USER\\Software\\mysoftware1のレジストリが存在しないか

等々を調べてみると、感染有無を調べる際に役立つかもしれません。

 

 

日本語メール添付のマルウェア調査

7月7日に、日本語のマルウェアメールが届いているとの報告があったため、簡単に調査した結果をメモ。

  • 添付のマルウェアを実行するとGoogle Driveに通信が発生し、メインのマルウェア(AveMariaRAT)をダウンロードして実行
  • AveMariaRATのハッシュ値(デコード後)
    • MD5: ca2d22d0607a6fb66f6475069c6bf2f9
    • SHA1: 129605d40dd37bfcefa3371d024b33e4ecab8eca
  • AveMariaRATは以下のいずれかのプロセスを生成し、プロセスインジェクションを行う
  • 以下の常駐化設定を行う
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • Fuhk: %LOCALAPPDATA%\Fuhk\Fuhk.hta
  • 以下に通信を行う
    • 1 8 5 . 1 4 0 . 5 3 . 9 1 / 1867番ポート
  • 参考スクリプト

enc_url = "5e404244450e191b52465f42531a515b59535a5118575959194119041941550b5f500b05587e7503065d5f0d0e06075857001b615f66670646437d71787a7e567d72704c10514e4459464209525b415a5a5b5750"
xor_key = "64"
num = 0
for i in range(0, len(enc_url), 2):
    print chr(int(enc_url[i:i+2], 16) ^ ord(xor_key[num%2])),
    num += 1

SMBv3の脆弱性 (CVE-2020-0796)

影響を受けるWindowsのバージョン

  • Windows 10 Version 1903
  • Windows 10 Version 1909
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

攻撃経路

  • 脆弱なSMBv3サーバに攻撃パケットを送信
  • 脆弱なSMBクライアントを悪意のあるSMBv3サーバにアクセスさせる

対策

  • 修正パッチを当てる
  • SMBサーバをインターネット上に公開しない
  • SMBv3のデータ圧縮機能を無効化する

    • Microsoftが機能を無効化するPowershellコードを公開している

      Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

  • 外部宛てのSMB通信を許可しない

    • "smb://"のようなスキームを利用して攻撃が行われる可能性

メモ

参考リンク

リバースエンジニアリングツール「Ghidra」

Ghidraは、NSAが最近公開した無償のリバースエンジニアリングツール。
試用した感想のブログ等を見る限りでは、商用のIDAには劣るもののなかなか使えるとして、評判が高そうです。

IDAと比べた時の欠点として、
・デバッガー機能がない
・速度が遅い
・正しく解析できない部分がある

等々が挙げられていましたが、IDAだと何十万もするデコンパイル機能が無償で付いている他、namespaceやclassを自動的に識別してくれる等、個人的に凄く嬉しい機能も備わっているようです。 

■ Ghidraの参考サイト
〇Download GHIDRA 9.0 — software package, slides, and exercises

ghidra-sre.org

Github

github.com

〇Installation Guide — basic usage documentation

ghidra-sre.org

〇Cheat Sheet — keyboard shortcuts

ghidra-sre.org

〇Online Courses

ghidra.re

〇Ghidra Wiki

blog.because-security.com

〇Ghidra まとめ

soji256.hatenablog.jp

NSAリバースエンジニアリングツール「Ghidra」を公開

japan.zdnet.com

〇Ghidra Tutorial + CTF・脆弱性診断 超入門 Reversing①

ninjastars.hatenablog.com

〇Ghidra: A quick overview for the curious

0xeb.net

〇Quick Analysis of a Trickbot Sample with NSA's Ghidra SRE Framework

www.peppermalware.com→ Ghidraを使って2019年初期のTrickBotを簡易解析する記事(復号化処理が行われている箇所の特定)

〇An Hour with Ghidra : The Good and The Ugly

blog.fadyothman.com

NSA Releases GHIDRA 9.0 — Free, Powerful Reverse Engineering Tool

thehackernews.com

SEGA Genesis ROM Hacking with GHIDRA

zznop.github.io

〇Analyzing MIPS Windows CE PE’s with the NSA’s GHIDRA Suite

medium.com

→ Ghidraを使ってWindows CEMIPSアーキテクチャの検体を解析する記事

〇Analysing meterpreter payload with Ghidra

isc.sans.edu

→ Ghidraを使ってmeterpreter検体を解析する記事

〇Ghidra: few thoughts after 3-day usage

medium.com

→ GhidraとIDAを比較したときの感想