トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

業務システムの攻撃ベクトル

Last-modified: 2019-11-17 (日) 14:46:00
Top/業務システムの攻撃ベクトル

FrontPage

業務システムの攻撃ベクトル

一般的な業務システムにおける、攻撃者の戦術、手法について解説します。

2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル

侵入の端緒

フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。

初期ペイロード

マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー(ローカル管理者)の権限を利用し実行されました。

特権昇格

感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。

ドロッパーのインストール

ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。

タスクの作成とダウンロード

ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。

想定されるネットワーク