HFS(HTTP File Server)は、単純な形式の Web サービスを提供するプログラムである。直接 Web サーバーを構築することなく実行ファイルだけで Web サービスを提供できるため、ファイル共有の目的で頻繁に使用されており、ユーザーもまた Web ブラウザを通じてアドレスに接続し、ファイルを簡単にダウンロードできる。
HFS を使用する場合、ユーザーが HFS Web サーバーに接続してファイルをダウンロードできるように不特定多数に公開されているため、もし HFS に脆弱性が存在する場合には外部からの攻撃対象となる可能性がある。2024年5月に HFS のリモートコード実行の脆弱性である CVE-2024-23692 が公開され、これを活用することで攻撃者は HFS にコマンドが含まれたパケットを送信し、HFS に不正なコマンドを実行させることができる。脆弱性は、最新バージョンではないが多くのユーザーが使用している「HFS 2.3m」バージョンも含まれる。
1. CVE-2024-23692 脆弱性
脆弱性の公開後まもなく PoC も公開され、これを利用することで以下のようにリモートで HFS サーバーにコマンドが含まれたパケットを送信することができる。すなわち、攻撃者は外部に公開されている HFS サービスをスキャンした後、CVE-2024-23692 脆弱性を悪用して外部からマルウェアのインストールや、操作権限を奪うことができる。
AhnLab Security intelligence Center (ASEC)は、脆弱性を利用した攻撃をモニタリングしており、AhnLab Smart Defense (ASD)インフラを通じて HFS プロセスがマルウェアをインストールしている事例を確認した。この攻撃は脆弱性が公開された後から確認されており、多くのユーザーが使用していると同時に脆弱なバージョンである「HFS 2.3m」が対象であることから、CVE-2024-23692 脆弱性を悪用した攻撃であると推定される。
攻撃者は初期侵入後、「whoami」や「arp」のようなコマンドを利用してシステムの情報収集を行い、その後マルウェアのインストールや、リモートデスクトップを通じた接続を目的にバックドアアカウントを追加し、アカウントを隠蔽することもあった。このような過程が終わるとそれ以上、他の攻撃者が HFS を悪用できないように終了させる事例も多数確認されている。使用されるマルウェアやコマンドから、攻撃の大半は中国語を使用する攻撃者によるものと推定される。
| > cmd /c “whoami” > arp -a> net user admin12 xiao9[削除]02.. /add > net user admin XIAOh[削除]22.. /add > net user tools Ad[削除]yq1 /add > net localgroup administrators tools /add > reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList” /v ad[削除] /t REG_DWORD /d 0 > taskkill /f /im hfs.exe |
2. CoinMiner
最も多く使用されたマルウェアは、仮想通貨のモネロを採掘する XMRig であり、少なくとも4つの攻撃者が HFS を攻撃してコインマイナーをインストールしている。4つの攻撃者のうち、既知の攻撃者には LemonDuck が存在する。
LemonDuck は2019年に初めて確認され、最近までも様々な脆弱性を悪用して不適切に管理されているシステムを攻撃している。[1](韓国語にて提供) 最終的にインストールされるのは XMRig コインマイナーであるが、XenoRAT と脆弱性スキャナースクリプトが共にインストールされることが特徴である。
3. Backdoor
コインマイナー以外にも、RAT やバックドア型のマルウェアも多数確認されているが、上述した XenoRAT 以外に Gh0stRAT や PlugX のように中国を拠点とする攻撃者がよく使用する RAT マルウェアと、CobaltStrike、Netcat などが使用されている。
攻撃に使用されたマルウェアのうち、PlugX は Dr.Web レポートの BackDoor.PlugX.38 変種であり[2](外部サイト、英語にて提供)、過去に「脆弱性攻撃によって拡散中の PlugX マルウェア」[3] の記事で取り上げたものと同じタイプである。若干の違いがあるとすれば対応するコマンドが「0xA」までという点であり、対応するプラグインも「Disk」、「Nethood」、「Netstat」、「Option」、「PortMap」、「Process」、「RegEdit」、「Service」、「Shell」、「SQL」、「Telnet」であり、「KeyLog」、「Screen」、「ClipLog」、「RDP」は除外された。
4. GoThief
他にも様々なマルウェアの攻撃事例が存在するが、代用的なものとして Amazon の AWS を利用して感染システムの情報を窃取する GoThief が存在する。Go 言語で製作されており、マルウェアの製作に使用されたソースコードのパスである「E:/Thief/GoThief-main/main.go」を基に、ここでは GoThief と分類する。
GoThief は、スクリーンをキャプチャした後、Amazon S3 サービスを利用して(バケット名:imgdev)キャプチャしたイメージを送信し、デスクトップに存在するファイルの情報とアップロードしたスクリーンショット、IP アドレスなどの情報を収集して別の C&C サーバーに送信する。
5. 結論
最近 Web サービスを提供する HFS プログラムに対するリモートコード実行の脆弱性である CVE-2024-23692 が公開され、間もなくして脆弱なバージョンの HFS を対象とする攻撃事例が持続的に確認されている。HFS を使用する場合、ユーザーが HFS Web サーバーに接続してファイルをダウンロードできるように不特定多数に公開されているため、もし HFS に脆弱性が存在する場合には外部からの攻撃対象となる可能性がある。
HFS を使用している場合、脆弱なバージョンであるかを確認し、最新バージョンにパッチを適用して、既知の脆弱性による攻撃を防ぐ必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意する必要がある。
ファイル検知
– Data/BIN.EncPe (2024.06.24.03)
– Backdoor/Win32.RL_Plugx.R285635 (2019.08.09.02)
– Trojan/Win32.RL_Cometer.R325811 (2020.02.14.00)
– Trojan/VBS.Launcher (2024.06.24.03 )
– Trojan/BAT.Agent.SC200145 (2024.06.24.03)
– Trojan/BAT.Launcher (2024.06.24.03)
– Trojan/PowerShell.Loader (2024.06.27.02)
– Trojan/Win.XenoRAT.C5586957 (2024.02.11.01)
– Infostealer/Win.GoThief.C5643764 (2024.06.24.00)
– Downloader/PowerShell.Miner
– CoinMiner/Win.XMRig.C5643760 (2024.06.24.00)
– Dropper/Win.CoinMiner.C5643759 (2024.06.24.00)
– CoinMiner/MSI.XMRig (2024.06.24.02)
– Trojan/Win.Agent.C5640510 (2024.06.13.00)
– Trojan/Win32.Npkon.R55984 (2013.03.12.03)
– Dropper/Win.Generic.C5624814 (2024.05.24.00)
– CoinMiner/Win.Generic.R649206 (2024.05.24.00)
– Trojan/Win32.Dialer.C239376 (2014.01.10.00)
– Trojan/Win.UACBypassExp.R608495 (2023.09.30.00)
– Trojan/Win.Miner3.R512976 (2022.08.31.01)
– Unwanted/Win32.NSSM.R353938 (2020.10.27.00)
– Trojan/Win32.Banker.R52371 (2013.02.10.00)
– Trojan/Win.Generic.C5042047 (2022.03.31.01)
– Trojan/BAT.Agent (2024.06.24.03)
– Trojan/Win.Miner.R416364 (2021.04.18.01)
– Unwanted/Win32.CoinMiner.C2247048 (2017.11.07.05)
– Unwanted/Win64.NSSM.C2186917 (2018.03.22.08)
– HackTool/Win32.ServiceTool.R232096 (2018.07.19.07)
振る舞い検知
– Exploit/MDP.Event.M4869
– Malware/MDP.Download.M1900
– Execution/MDP.Powershell.M2514
– Execution/MDP.Powershell.M1185
– InitialAccess/MDP.Powershell.M1197
IoC
MD5
– ce7dc5df5568a79affa540aa86b24773 : Gh0st RAT (2345.exe)
– 8f0071027d513867feb3eb8943ccaf05 : Gh0st RAT (systeminfo.exe)
– 77970a04551636cc409e90d39bbea931 : PlugX Loader (Roboform.dll)
– 6adaeb6543955559c05a9de8f92d1e1d : PlugX (Encoded) (WindowsWatcher.key)
– 4383b1ea54a59d27e5e6b3122b3dadb2 : GoThief (conost.exe)
C&C サーバー
– 154.201.87[.]185:999 : Gh0st RAT
– 164.155.205[.]99:999 : Gh0st RAT
– support.firewallsupportservers[.]com:80 / 443 / 53 / 8080 : PlugX
– hxxp://188.116.22[.]65:5000/submit : GoTheif
ダウンロードアドレス
– hxxp://121.204.249[.]123/2345.exe : Gh0st RAT
– hxxp://121.204.249[.]123:8077/systeminfo.exe : Gh0st RAT
– hxxp://185.173.93[.]167:13306/Roboform.dll : PlugX Loader
– hxxp://185.173.93[.]167:13306/WindowsWatcher.key : PlugX (Encoded)
– hxxps://imgdev.s3.eu-west-3.amazonaws[.]com/dev/20210623/conost.exe : GoThief
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post HFS(HTTP File Server)サーバーを対象とする攻撃事例(CVE-2024-23692 推定) appeared first on ASECブログ.