業務システムの攻撃ベクトル
業務システムの攻撃ベクトル †
一般的な業務システムにおける、攻撃者の戦術、手法について解説します。
2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル †
侵入の端緒 †
フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。
初期ペイロード †
マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー(ローカル管理者)の権限を利用し実行されました。
特権昇格 †
感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。
ドロッパーのインストール †
ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。
タスクの作成とダウンロード †
ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。