Web サーバーは不特定多数のユーザーに Web サービスを提供する目的で外部に公開されているため、過去から攻撃者の代表的な攻撃対象となっている。AhnLab SEcurity intelligence Center(ASEC)は、脆弱性に対するパッチが適用されていない、または不適切に管理されている脆弱な Web サーバーを対象とした攻撃をモニタリングしており、確認された攻撃事例をブログで公開している。
ASEC は最近、韓国国内の医療機関を攻撃してコインマイナーをインストールする攻撃事例を確認した。攻撃対象となった Web サーバーは Windows IIS サーバーであり、Web シェルがアップロードされたパス名から PACS(Picture Archiving and Communication System)製品がインストールされたシステムであるものと推定される。
図1. 攻撃プロセスで確認された Web シェルのアップロードパス
PACS(Picture Archiving and Communication System)は、患者の医療用画像をデジタル化して管理、送信するシステムであり、病院では医療用画像をどこからでも照会、判断できるようにするために使用している。そのため、多くの病院では PACS を使用中であるが、この PACS システムはいくつかの専門業者がいるため、医療機関によって使用している PACS 製品が異なる場合がある。
攻撃の対象となった Web サーバーからは Web シェルのアップロードを試みた形跡が多数確認され、具体的な状況は確認されていないが、PACS 製品に脆弱性が存在した、または管理者が適切にセキュリティ設定を構築していなかったものと推定される。当該サーバーは数日間隔で2人の攻撃者が攻撃を実行したものと思われるが、これは Web シェルアップロード攻撃が2回にわたり発生しており、2つの攻撃からは直接的な関連性を確認できなかったためである。
どちらの攻撃も中国語を使用する攻撃者により行われたものと推定されるが、これは Cpolar、RingQ のように、使用するツールの中に中国語で開発されたツールが多数確認され、中国語によるコメントアウトが確認されたためである。参考に、韓国の脆弱な Web サーバーを対象とする攻撃の多くは、中国語を使用する攻撃者によるものと推定される。[1] [2] [3]
1. 1番目の攻撃事例
最初に確認された攻撃において、攻撃者は Chopper、Behinder のような Web シェルを使用した。Web シェルのアップロードに成功した攻撃者は、以下のようなコマンドを使用してシステムの情報を収集した。
| > whoami > ipconfig > tasklist > systeminfo > netstat -ano > query user > ping 8.8.8.8 |
その後、インストールした Web シェルを通じて権限昇格ツールの BadPotato や、プロキシツールである Cpolar をインストールした。Cpolar は中国の開発者が製作したトンネリングツールであり、Ngrok と類似している。これらのツールは一般的に外部から NAT 環境内部に存在するシステムに接続できるようにシステムを露出させるため、攻撃者が外部から RDP によるリモート接続のためにインストールする傾向がある。
図2. 攻撃に使用されたツール、Cpolar
その後、攻撃者はコインマイナーマルウェアをインストールするために、まず「1.cab」ファイルをダウンロードした。「1.cab」ファイルの内部には Batch スクリプトマルウェアである「1.bat」とともに、タスクスケジューラー登録に使用される xml、コインマイナーのダウンローダーマルウェアが含まれている。また、ダウンローダーマルウェアも外部から zip 形式の圧縮ファイルをダウンロードしてインストールする。
図3. ダウンロードされるマルウェア
参考に、コインマイナーのインストールに使用される「1.bat」ファイルでも中国語で作成されたコメントアウトを確認できる。すなわち、Ngrok ツールに代わり中国語ユーザーにとって馴染みのある Cpolar が使用されたという点、そして攻撃スクリプトに含まれたコメントアウト部分に中国語が含まれている点を通じて、攻撃者が中国語圏のユーザーであることを推定できる。
図4. 中国語のコメントアウトが含まれたマイナーのインストールスクリプト
攻撃者は上記で述べたマルウェアのみを使用して XMRig をインストールしたが、実際のダウンロードアドレスにははるかに多くのマルウェアが存在する。Web シェルの中には Caidao、ASPXspy が存在し、権限昇格に関するツールには BadPotato のほかにも GodPotato、PrintNotifyPotato、IIS LPE (by k8gege)がある。
このほかにも、ポートフォワーディングのためのツールも Cpolar 以外に Frpc、Lcx がアップロードされており、以後リモートで接続するための目的でユーザーアカウントを追加するマルウェアも存在する。「useradd.exe」マルウェアは、追加するユーザーアカウントを引数で渡されると、ランダムなパスワードでアカウントを追加し、結果を出力して表示するツールである。
図5. Frpc 設定ファイル、およびユーザーアカウント追加マルウェア
| Mining Pool |
| sinmaxinter[.]top:7005 |
2. 2番目の攻撃事例
2番目の攻撃は、1番目の攻撃が行われた数日後に発生した。初期侵入プロセスでは以前の事例と同様に Web シェルをインストールしており、攻撃者は Godzilla、Chopper、Behinder などの Web シェルを使用した。Web シェルのアップロードに成功した攻撃者は、以下のようなコマンドを使用してシステムの情報を収集した。
| > whoami > systeminfo > netstat -ant |
2番目の攻撃では Certutil を利用してさらなるマルウェアをダウンロードしたことが特徴である。攻撃者は権限昇格の目的で GodPotato、PrintNotifyPotato、CVE-2021-1732 の脆弱性によるマルウェアをインストールした。そして、感染システムが属するネットワークを探索するために Fscan ツールと遠隔シェルをインストールし、感染システムを操作するための Netcat をインストールした。さらに、以前の事例で使用した Cpolar、Frpc、Lcx ではなく、今回はプロキシツールとして EarthWorm を使用したことが特徴である。
図6. さらなるマルウェアをインストールするための Certutil のコマンド
攻撃者は、このほかにも Ladon をインストールした。Ladon は攻撃の過程で必要な様々な機能をサポートするが、代表的なものにスキャニング、権限昇格、アカウント情報窃取、リバースシェルのように様々な機能がある。Ladon は中国語のできる開発者が製作したものであり、そのためか中国語を使用する攻撃者がよく使う傾向がある。
RingQ というツールが攻撃で同時に使用されたという点も、攻撃者が中国語圏のユーザーであることを推定するに足る根拠の一つである。RingQ は一種のインジェクターツールと言えるが、一般的なマルウェアやツールが AntiVirus 製品により容易に検知されることを防ぐために暗号化したあと、メモリ上で実行させるためのツールである。攻撃者は「Create.exe」を通じてマルウェアを「main.txt」という名前で暗号化して配布する方式により AntiVirus 製品のファイル検知を回避することができ、以後 RingQ を実行すると暗号化されたマルウェア、すなわち「main.txt」をメモリ上で実行させる。
図7. Github の RingQ プロジェクト
この攻撃者の最終的な目的は、1番目の事例と同様にコインマイナーをインストールすることである。攻撃者がアップロードした複数の Aspx ファイルのほとんどは Web シェルだが、ほかにもダウンローダー機能を担う Aspx マルウェアも存在する。このマルウェアは、外部から「aspx.exe」という名前の追加ペイロードをダウンロードして実行する。「aspx.exe」はダウンローダーであり、XMRig コインマイナーをダウンロードしてメモリ上で実行するマルウェアである。
図8. コインマイナーのダウンローダーマルウェア
| Mining Pool |
| c3.wptask[.]cyou:33333 |
| sky.wptask[.]cyou:9999 |
| auto.c3pool[.]org:33333 |
| auto.skypool[.]xyz:9999 |
| 141.11.89[.]42:8443 |
| 141.11.89[.]42:995 |
| 141.11.89[.]42:465 |
| 45.147.51[.]78:465 |
| 45.147.51[.]78:995 |
| 45.130.22[.]219:995 |
| 45.130.22[.]219:465 |
| info.perflogs[.]top:995 |
| pop3.wptask[.]cyou:995 |
| smtp.wptask[.]cyou:465 |
3. 結論
Web サーバーを対象とする攻撃は継続的に発生しており、最近では韓国の医療機関を対象とした攻撃事例が確認された。攻撃は数日間隔で2回発生しており、複数の状況を照らし合わせると2つの攻撃事例はどちらも攻撃者が中国語圏のユーザーと見られ、最終目的はコインマイナーを利用して仮想通貨の採掘を行うことであった。当然ながらインストールした Web シェルおよび NetCat を通じて遠隔操作が可能であり、このほかにも RDP 接続を目的としてプロキシツールをインストールしたことから、攻撃者による情報流出も起こり得る。
管理者は、Web サーバーに存在するファイルアップロードの脆弱性を点検し、初期侵入経路となる Web シェルのアップロードを事前に防止できるように努める必要がある。また、パスワードを定期的に変更してアクセス制御を設定し、窃取されたアカウント情報を利用したラテラルムーブメント攻撃に対処しなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– WebShell/ASP.Agent.SC200079 (2024.06.17.02)
– WebShell/ASP.Agent.SC199712 (2024.05.24.00)
– WebShell/ASP.Agent.SC199713 (2024.05.24.00)
– WebShell/ASP.Agent.SC199714 (2024.05.24.00)
– WebShell/ASP.Agent (2024.05.24.00)
– Downloader/ASP.Malurl.SC199711 (2024.05.24.00)
– WebShell/JSP.Behinder.SC188179 (2023.05.12.01)
– WebShell/ASP.Generic.S2184 (2023.03.22.03)
– WebShell/ASP.ASpy.S1362 (2021.02.02.07)
– WebShell/ASP.Generic.S1855 (2022.06.16.00)
– WebShell/ASP.Small.S1378 (2021.02.24.02)
– WebShell/ASP.Small.S1400 (2021.03.16.02)
– WebShell/ASP.Generic.S1422 (2021.03.30.03)
– WebShell/ASP.Generic.S1775 (2022.04.14.00)
– HackTool/Win.BadPotato.C4177837 (2023.09.01.00)
– Downloader/Win.Miner.C5626012 (2024.05.27.00)
– Trojan/Win.Potato.C5626014 (2024.05.27.00)
– HackTool/Win.Frpc.C5626022 (2024.05.27.00)
– HackTool/Win.Cpolar.C5641794 (2024.06.17.03)
– Trojan/Win.Miner3.R647471 (2024.05.08.02)
– Unwanted/Win.NSSM.C5625980 (2024.05.27.00)
– Downloader/Win.Miner.C5625979 (2024.05.27.00)
– HackTool/Win.RingQ.C5625987 (2024.05.27.00)
– Dropper/Win.Generic.C5624814 (2024.05.24.00)
– Trojan/Win.Generic.C5501120 (2023.10.06.03)
– Trojan/Win.AddUser.R649913 (2024.05.27.00)
– Trojan/Win.Generic.C5584377 (2024.02.05.02)
– Trojan/Win.MSILMamut.C5410538 (2023.04.13.01)
– HackTool/Win.Cpolar.C5641787 (2024.06.17.03)
– Exploit/Win.PrintNotifyPotato.R561362 (2023.08.14.00)
– HackTool/Win.Frpc.C5641788 (2024.06.17.03)
– HackTool/Win.Htran.C5626020 (2024.05.27.00)
– Exploit/Win.Consoler.R548809 (2023.01.05.03)
– HackTool/Win.LCX.C5626011 (2024.05.27.00)
– HackTool/Win32.Earthworm.C2185399 (2017.10.10.07)
– HackTool/Win.Netcat.C5355532 (2023.01.11.02)
– HackTool/Win.Netcat.C5283500 (2022.10.18.03)
– Trojan/XML.Runner (2024.06.18.00)
– CoinMiner/BAT.Agent (2024.06.18.00)
– Trojan/BAT.AddUser (2024.06.18.00)
– Trojan/BAT.AddUser (2024.06.18.00)
– HackTool/Script.Frpc (2024.06.18.00)
振る舞い検知
– Malware/MDP.Download.M1900
– Execution/MDP.NetCat.M4516
IoC
MD5
1番目の攻撃事例
– 67af0bc97b3ea18025a88a0b0201c18d : WebShell – woanware (1.aspx)
– f6591c1ab7f7b782c386af1b6c2c0e9b : WebShell – woanware (2.aspx)
– 986c8c6ee6f6a9d12a54cf84ad9b853a : WebShell – Chopper (2a.aspx)
– 2183043b19f4707f987d874ce44389e3 : WebShell – Behinder (32.aspx)
– 77d507d30a155cf315f839db3bf507f7 : WebShell – Behinder (1234a.aspx)
– 8d52407e143823a867c6c8330cdcb91a : WebShell – Behinder (1235a.aspx)
– 73cdd1be414dec81c6e42b83f0d04f20 : WebShell – Behinder (12345a.aspx)
– 7e9f28cedfa8b012ab8646ac341a841c : BadPotato (bad1231.exe)
– 8cf601c06370612010f438fa8faa8aa7 : Cpolar (cpolar.exe)
– e2753e9bc7e5880a365f035cdc5f6e77 : Runner (1.bat)
– 205e6247f5a0dce8a55910354c816a61 : ScheduleTask (1.xml)
– e13adb67739f4b485544ed99bc29f618 : NSSM (service.exe)
– f3bdcd409063a42479dbb162dc7f5d21 : コインマイナーダウンローダー (svchost.exe)
– fce1b5ffcaefd1dcb130f4e11cdb488d : コインマイナーダウンローダー (sihost.exe)
– a66338d9ba331efa4918e2d6397b17fe : コインマイナー (SecurityHealthServices.exe)
– 40dc8989d4b2e3db0a9e98ef7082b0d9 : WebShell – ASPXspy (aspx.txt)
– b69eb0155df920514d4ae8d44316d05a : WebShell – ASPXspy (good.txt)
– 285b5f246f994b4650475db5143e4987 : WebShell – Caidao (index.txt)
– 7e1a2828650e707d8142d526604f4061 : BadPotato (bad.exe)
– 83b66aae624690e82c8e011e615bce59 : BadPotato (bad520.exe)
– 5f3dd0514c98bab7172a4ccb2f7a152d : GodPotato (god3.exe)
– 1fdb1dd742674d3939f636c3fc4b761f : GodPotato (god4.exe)
– 493aaca456d7d453520caed5d62fdc00 : PrintNotifyPotato (P2.exe)
– 493aaca456d7d453520caed5d62fdc00 : PrintNotifyPotato (P3.exe)
– 7727070eb8c69773cafb09ce77492c27 : PrintNotifyPotato (P4.exe)
– f7d53946b3ae7322cd018480a2f47de8 : IIS LPE (iislpe.exe)
– 10cf4d43163ee395ddad1fe7e777e2c9 : IIS LPE (iislpe1.exe)
– f222524766456936074f513cec2149a8 : Cpolar (cpo.exe)
– d6f84855f212400314fb72d673aba27b : Frpc (F.exe)
– 62ba55ac729763037da1836b46cb84bc : Frpc (frpc.exe)
– 3c5905da1f3aecd2dccc05f6b76a1ca9 : Frpc Config (frpc.txt)
– ce1f3b789b2aab2b2b833343f13b7c98 : Lcx (99.exe)
– 371a2eb2800bb2beccc1a975f3073594 : Lcx (Lcx.exe)
– 7abca4faa3609f86f89f1a32fe7bbcc6 : UserAdder (UserAdd.exe)
– e8a7e8bb090da018b96aab3a66c7adeb : UserAdder Command (net.txt)
– 5d9464aba77e1830e1cf8d6b6e14aa55 : UserAdder Command (useradd.bat)
2番目の攻撃事例
– 71a6ba713f3f5c8e24c965487a86b5d4 : WebShell – Chopper (zbngjv.aspx)
– 93abe2fcb964ec91de7d75c52d676d2d : WebShell – Chopper (bin.aspx)
– 2c3de1cefe5cd2a5315a9c9970277bd7 : WebShell – Godzilla (aaa.ashx)
– 69c7d9025fa3841c4cd69db1353179cf : WebShell – Godzilla (aaa.asmx)
– 7871587d8de06edc81c163564ea4ea41 : WebShell – awen (cmd.aspx)
– 10b6e46e1d4052b2ad07834604339b57 : WebShell – Behinder (hi1.aspx)
– 5eeda9bfb83aacb9c3f805f5a2d41f3b : WebShell – Deleter (sklqbpbl.aspx)
– 5f3dd0514c98bab7172a4ccb2f7a152d : GodPotato (gp1.exe)
– 493aaca456d7d453520caed5d62fdc00 : PrintNotifyPotato (pp.exe)
– 87562e70e958c0a0e13646f558a85d04 : 権限昇格ツール – CVE-2021-1732 (aa.aspx)
– 8f7dfbec116017d632ca77be578795fd : Fscan (fscan.exe)
– 5dcf26e3fbce71902b0cd7c72c60545b : NetCat (nc.exe)
– 523613a7b9dfa398cbd5ebd2dd0f4f38 : NetCat (nc64.exe)
– d76e1525c8998795867a17ed33573552 : EarthWorm (ew.exe)
– 5d93629fbc80fed017e1657392a28df4 : Ladon (11.exe)
– e9cb6a37c43e0393d4c656bc9f6bf556 : RingQ (ringq.exe)
– 705e5d7328ae381c5063590b4f5198da : コインマイナーダウンローダー (gzrqo.aspx)
– b81577dbe375dbc1d1349d8704737adf : コインマイナー (aspx.exe)
C&C サーバーアドレス
– 14.19.214[.]36:6666 : NetCat
– 14.19.214[.]36:3333 : NetCat
– 1.119.3[.]28:7455 : Frpc
Download アドレス
– hxxp://sinmaxinter[.]top:7001/services.zip : コインマイナー
– hxxp://sinmaxinter[.]top:7001/C3-server25.zip : コインマイナー
– hxxp://14.19.214[.]36:6666/pp.exe : PrintNotifyPotato
– hxxp://14.19.214[.]36/aa.aspx : 権限昇格ツール – CVE-2021-1732
– hxxp://14.19.214[.]36/fscan.exe : Fscan
– hxxp://14.19.214[.]36/ew.exe : EarthWorm
– hxxp://14.19.214[.]36/11.exe : Ladon
– hxxp://14.19.214[.]36/RingQ.exe : RingQ
– hxxp://45.130.22[.]219/aspx.exe : コインマイナー
– hxxp://192.210.206[.]76/sRDI.dat : コインマイナー
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post 韓国の Web サーバーを対象とするコインマイナーの攻撃事例の解析 appeared first on ASECブログ.