Bondnet は2017年に GuardiCore が発表した解析レポート1を通じて初めて大衆に周知され、2022年に DFIR Report が発行した、SQL Server を狙う XMRig マイナーの解析レポート2において Bondnet のバックドアが取り上げられた。以降、Bondnet の攻撃者の活動に関しては何も判明していないが、最近でも攻撃を続けていることが確認された。
AhnLab SEcurity intelligence Center(ASEC)では、Bondnet マイナーに感染したシステムの解析を通して、Bondnet 攻撃者が活動を継続しており、2023年以降、マイナーボットネットのうち高性能のボットにリバース RDP 環境を構築して C2 サーバーとして利用する状況を確認した。Bondnet のバックドアは、一定の条件を満たす高性能のボットにリバース RDP 環境を構築した。
| 振る舞い | 振る舞いの条件 |
| adminxy アカウントの追加 | is_pc(CPU 条件のチェック)
is_pc2(ネットワークインターフェース条件のチェック)
arr_find_str
|
| リバース RDP プログラムのダウンロード | adminxy アカウントの追加条件を満たしている CPU コアの個数が10個以上の場合 |
Bondnet 攻撃者は、リバース RDP 環境構築のためにプロキシサーバーと Fast Reverse Proxy(以下、FRP)ツールを使用した。FRP は Github に公開されているオープンソースのプロキシプログラムであり、Bondnet 攻撃者は FRP プログラムのコードを修正して使用した。攻撃者が修正した FRP プログラムファイルには、攻撃者のプロキシサーバーのアドレス、プロトコル、ポート、トークン名など、接続に必要な情報が保存されている。
図1. Bondnet が修正して使用したリバース RDP ツール(FRP)
修正された FRP プログラムでリバース RDP 環境を構築後、被害システムにリモートデスクトップでアクセスした攻撃者は、二つのプログラムを実行した。
はじめに、Cloudflare トンネリングクライアントを実行した。
Cloudflare トンネリングクライアントは、実行されたシステムの特定のポートと Cloudflare のネットワークにマッピングされたドメインのトンネリングに対応している。
図2. クラウドフレアのトンネリングクライアント3
Bondnet 攻撃者の C2 ドメインは Cloudflare に登録されており、攻撃者は Cloudflare トンネリングクライアントで被害システムの特定サービスと Cloudflare に登録されている C2 ドメインを接続することができる。
図3. 攻撃者の C2 ドメインの IP 情報
2つ目は、HFS(HTTP FILE SERVER)プログラムを実行した。
HFS プログラムは、実行すると TCP ポート番号 4000へファイルサーバーサービスを提供する。HFS プログラムの場合、解析時点の攻撃者の C2 環境と一致する点を見つけることができる。存在しないパスのリクエストに対するレスポンスメッセージと、ディレクトリパスにアクセス時に発生するログインポップアップの構成が一致している様子を確認した。解析当時、C2 でも同じ HFS プログラムが動作していたものと推定できる。
図4. 存在しないファイルリクエスト時のレスポンスメッセージ。main.exe テスト(上)、攻撃者 C2(下)
図5. ディレクトリパスアクセス時のログインポップアップウィンドウ。main.exe テスト(上)、攻撃者 C2(下)
Bondnet 攻撃者は、被害システムで二つのプログラムを利用して被害システムに HFS サービスを生成し、Cloudflare のドメインとサービスをトンネリングで接続し、C2 として活用しようとした。
しかし、被害システムでは Golang で作成された HFS プログラムが被害システムの環境的な問題によって実行に失敗し、以後 C2 に切り替わる振る舞いまでは確認されなかった。実際に C2 に切り替わるプロセスまでは確認されていないが、以下のような状況でボットネットシステムを C2 として活用しようとする攻撃者の意図を把握することができた。
- リバース RDP 接続後、被害システムで情報流出、ラテラルムーブメントなどに関する振る舞いが確認されていない
- 被害システムで、クラウドフレアのトンネリングクライアントと HFS プログラムを実行
- 攻撃者の C2 のドメインがクラウドフレアに接続されている
- HFS プログラムと攻撃者の C2 の UI が同じである
- 解析時点で、攻撃者の C2 から一部の不正なファイルをダウンロードできなかった
- 約1か月後、攻撃者の C2 の UI が変更され、新規不正ファイル、削除された不正ファイルが復旧される
Bondnet 攻撃者は被害システムを C2 に変更しようとする試みに失敗し、約1か月後、攻撃者の C2 の UI が変更された。被害システムで失敗したあとは別のボットを利用して C2 の役割を置き換えたものと見られ、被害システムで問題となった HFS プログラムの代わりに他のプログラムを利用したものと推定される。
[ファイル検知]
- CoinMiner/Win.XMRig.C5449500(2023.07.05.00)
- Downloader/FOMB.Agent(2024.02.27.00)
- Downloader/Win64.Agent.C2426880(2018.03.29.04)
- HackTool/Win.Agent(2024.03.15.00)
- HackTool/Win.Frpc.C5473755(2023.08.20.03)
- HackTool/Win.PassViewer.C5353351(2023.01.09.03)
- HackTool/Win.PassViewer.C5353353(2023.04.26.02)
- HackTool/Win.PstPass.C5135577(2022.08.31.02)
- HackTool/Win.PSWTool.R345815(2023.06.02.01)
- HackTool/Win32.Mailpassview.R165244(2016.07.12.09)
- Ransomware/Win.Phobos.R363595(2023.08.28.04)
- Trojan/BAT.RUNNER.SC198137(2024.03.15.00)
- Trojan/BAT.RUNNER.SC198138(2024.03.15.00)
- Trojan/BAT.Runner.SC198226(2024.03.18.02)
- Trojan/RL.Mimikatz.R248084(2018.12.10.01)
- Trojan/Win.Lazardoor.R496534(2022.05.14.01)
- Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
- Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
- Trojan/Win32.Infostealer.C1259157(2020.07.17.00)
- Trojan/Win32.Miner.C2462674(2018.04.13.09)
- Trojan/Win32.Neshta.X2117(2018.03.16.06)
- Unwanted/Win.PassView.C5359535(2023.01.16.03)
- Unwanted/Win32.HackTool.C613821(2014.11.02.03)
- Unwanted/Win32.Masscan.C3122810(2019.12.06.00)
- Unwanted/Win32.Passview.C568442(2014.09.23.00)
- Unwanted/Win32.PassView.R333746(2020.04.22.08)
[IOC] MD5
- D6B2FEEA1F03314B21B7BB1EF2294B72(smss.exe)
- 2513EB59C3DB32A2D5EFBEDE6136A75D(mf)
- E919EDC79708666CD3822F469F1C3714(hotfixl.exe)
- 432BF16E0663A07E4BD4C4EAD68D8D3D(main.exe)
- 9B7BE5271731CFFC51EBDF9E419FA7C3(dss.exe)
- 7F31636F9B74AB93A268F5A473066053(BulletsPassView64.exe)
- D28F0CFAE377553FCB85918C29F4889B(VNCPassView.exe)
- 6121393A37C3178E7C82D1906EA16FD4(PstPassword.exe)
- 0753CAB27F143E009012053208B7F63E(netpass64.exe)
- 782DD6152AB52361EBA2BAFD67771FA0(mailpv.exe)
- 8CAFDBB0A919A1DE8E0E9E38F8AA19BD(PCHunter32.exe)
- 00FA7F88C54E4A7ABF4863734A8F2017(fast.exe)
- AD3D95371C1A8465AC73A3BC2817D083(kit.bat)
- 15069DA45E5358578105F729EC1C2D0B(zmass_2.bat)
- 28C2B019082763C7A90EF63BFD2F833A(dss.bat)
- 5410539E34FB934133D6C689072BA49D(mimikatz.exe)
- 59FEB67C537C71B256ADD4F3CBCB701C(ntuser.cpl)
- 0FC84B8B2BD57E1CF90D8D972A147503(httpd.exe)
- 057D5C5E6B3F3D366E72195B0954283B(check.exe)
- 35EE8D4E45716871CB31A80555C3D33E(UpSql.exe)
- 1F7DF25F6090F182534DDEF93F27073D(svchost.exe)
- DC8A0D509E84B92FBF7E794FBBE6625B(svchost.com)
- 76B916F3EEB80D44915D8C01200D0A94(RouterPassView.exe)
- 44BD492DFB54107EBFE063FCBFBDDFF5(rdpv.exe)
- E0DB0BF8929CCAAF6C085431BE676C45(mass.dll)
- DF218168BF83D26386DFD4ECE7AEF2D0(mspass.exe)
- 35861F4EA9A8ECB6C357BDB91B7DF804(pspv.exe)
URL & C2
- 223.223.188[.]19
- 185.141.26[.]116/stats.php
- 185.141.26[.]116/hotfixl.ico
- 185.141.26[.]116/winupdate.css
- 84.46.22[.]158:7000
- 46.59.214[.]14:7000
- 46.59.210[.]69:7000
- 47.99.155[.]111
- d.mymst[.]top
- m.mymst[.]top
- frp.mymst007[.]top
参考リンク (すべて外部サイト、英語にて提供)
1 The Bondnet Army: https://www.akamai.com/blog/security/the-bondnet-army
2 SELECT XMRig FROM SQLServer: https://thedfirreport.com/2022/07/11/select-xmrig-from-sqlserver
3 Cloudflare Docs: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post マイナーボットを C2 サーバーとして利用する Bondnet appeared first on ASECブログ.