サポート終了後も狙われ続けるInternet Explorerの脆弱性

2022年7月末から、Purple Foxへの誘導が再開されたことを確認しました。パッチが適用されていないInternet Explorer を利用している場合、脆弱性を悪用されマルウェアに感染する恐れがあります。なお、Internet Explorer は2022年6月16日(日本時間)をもってサポートが終了しています。

IEのサポート終了後もPurple Foxを観測

2022年7月末から、Purple Fox Exploit Kit (以下、Purple Fox)への誘導が再開されたことを確認しました。Purple Foxはシステムの脆弱性を悪用する複数のコードをパッケージ化したExploit Kitです。更新が適用されていないInternet Explorer (以下、IE)を利用している場合、脆弱性を悪用されマルウェアに感染する恐れがあります。

この攻撃は不定期に日本で確認されており、IEのサポート終了後もIEの利用者を対象とした攻撃が継続しているため、注意が必要です。

なお、”Purple Fox”は当初RIG Exploit Kit(以下、RIG)のペイロードとしてダウンロードが確認[1]されていましたが、独自でマルウェアを拡散するようになり、現在は単体のExploit Kit として知られています。

Purple Foxへの誘導の流れ

一般的に、ユーザが閲覧したサイト内に含まれる不正な広告(Malvertising)から、ゲート(Gate)に誘導され、その後Purple Foxのランディングページに転送されます。Purple Foxへの遷移の流れを図1に示します。

※この記事内におけるランディングページは、ゲートから転送されるPurple Foxの最初のページのことを指します。

図1 Purple Foxへの遷移の流れ

ユーザが不正広告を含んだ正規サイトにアクセスすると、意図せずにゲートに誘導される場合があります。”Malvertising”はマルウェア(Malware)とアドバタイジング(Advertising)を組み合わせた造語で、マルウェアの配布サイトや不正サイトへの誘導を目的としたオンライン広告のことを指します。誘導先のゲートでは、アクセスしたユーザのIPアドレスやUser-Agentから国名やブラウザ環境などをチェックされているとみられ、攻撃対象か否かの確認が行われています。その後、Purple Foxのランディングページに転送され、脆弱性を悪用された場合、ペイロードが実行され最終的にマルウェアに感染する恐れがあります。

今回確認したPurple Foxの通信の例を図2に示します。

図2 Purple Foxの通信の例

2021年6月からある日本のアニメの公式サイトを模倣したサイトが、Purple Foxへ誘導するためのゲートとして長期間利用されています。攻撃対象外もしくは攻撃の対象期間外の場合に、ゲートへ誘導されたユーザは、模倣された正規の日本のアニメ公式サイトへ転送されていました。このゲートのドメインは、日本のアニメの公式サイトのトップレベルドメイン「.jp」を「.net」にしたもので、攻撃者は意図的にアニメの公式サイトを模倣していると考えられます。

加えて、図3に示す通り、ゲートのHTML内のコードには中国語が含まれていました。後述するMSIインストールパッケージにも中国語が使用されており、背後に中国に深く関わりのある攻撃者の存在が窺えます。

図3 ゲートのHTMLコード

8月末の時点において、Purple Fox からWindowsを対象としたマルウェアであるDirtyMoe(別名:NuggetPhantom,etc)の拡散を確認しています。DirtyMoe はNuggetPhantomやPurple Fox Rootkitなどの別名でも知られています。2016年頃から存在[2]しており、これまで何度もバージョンアップが行われてきました。

DirtyMoeに感染した場合、仮想通過のマイニングなどに悪用される恐れがあります。また、自ら感染を拡大するワーム機能も備えており、昨年の2021年には感染端末が急増したことがAvast Softwareのレポートにて報告[3]されました。Purple Fox は長期にわたり同マルウェアの拡散に利用されています。

Purple Foxについて

今回確認した脆弱性CVE-2021-26411を悪用するPurple Foxにおいて、DirtyMoeがインストールされるまでの概要を図4に示します。

図4 DirtyMoeがインストールされるまでの概要

Purple FoxによってIEの脆弱性を悪用されると、Windowsの正規コンポーネントであるmshta.exe経由でpowershell.exeが実行されます。多段で実行されたpowershell.exeでは権限の確認が行われ、必要であれば特権昇格を試みるための追加のファイルがダウンロードされます。特権昇格が実施されると、ダウンロードしたMSIインストールパッケージからDirtyMoeがインストールされます。

DirtyMoeはインストール後に強制的に端末の再起動を行い、正規のDLLファイルを悪性ファイルに置き換え、正規のサービスから自身を実行します。

以降では、Purple Fox によって脆弱性が悪用されDirtyMoeがインストールされるまでの流れを掘り下げて説明します。

まず、Purple Foxのランディングページは、スクリプトに難読化やAES暗号化がほどこされていました。ランディングページに含まれるスクリプトの一部を図5に、そのスクリプトの難読化やAES暗号化を解除した結果の一部を図6に示します。

図5 ランディングページに含まれるスクリプトの一部
図6 難読化やAES暗号化を解除したスクリプトの一部

スクリプトコードから、IEのメモリ破損の脆弱性CVE-2021-26411[4]が利用されていることを確認しました。この脆弱性は1年以上前から継続してPurple Foxで利用されています。また、8月中旬の時点で他のExploit KitであるRIGにおいても同脆弱性のCVE-2021-26411が悪用されており、IEのサポート終了後も引き続き攻撃者に狙われやすい脆弱性となっています。

脆弱性が悪用されるとランディングページに記載されたshellcodeが実行されます。shellcode(Uint8Array配列)に含まれているPowerShellスクリプトを図7に、そのPowerShellスクリプト中の「-enc」された値をデコードした結果を図8に示します。

図8は外部からダウンロードしたPowerShellスクリプトを新たに実行するためのコマンドで、これはPowerShellを利用した典型的なファイルレスの手法です。ファイルレスとは、ハードディスク上に実行ファイルを保存せずに、Windowsの正規プログラムから悪意のあるスクリプトやコードを実行する攻撃手法のことです。

従来、ファイルレスは検出が難しい攻撃手法でしたが、近年はEDRにおける対応も進み、不正な挙動や振る舞いで検知できることが増えてきました。中でも、PowerShellは様々な攻撃で利用されていることから、注意が必要な正規プログラムの一つです。

図7 shellcodeに含まれているPowerShellスクリプト
図8 PowerShellスクリプト中の「-enc」された値をデコードした結果

また、外部からダウンロードしたPowerShellスクリプト(図9)が実行されると管理者権限であるか否かの確認が行われます。管理者権限であればそのままMSIインストールパッケージからDirtyMoeがインストールされます。管理者でなければステガノグラフィによって不正なコードが挿入された画像(脆弱性を悪用するためのファイル)がダウンロードされ、特権昇格後にDirtyMoeがインストールされます。
ステガノグラフィは画像などのデータに他の情報を埋め込み隠蔽する技術のことを指します。

図9 OSのビット数などを確認するPowerShellスクリプトの一部

なお、不正なコードが挿入された画像はOSのビット数(32ビット/64ビット)の違いによって32ビットOS向けの32.png、もしくは64ビットOS向けの64.pngがダウンロードされます。ステガノグラフィによって不正なコードが挿入された画像を図10に示します。

32.png、64.pngともに見た目上は同じ画像が表示されますが、それぞれ異なるPowerShellスクリプトが挿入されています。

図10 ステガノグラフィによって不正なコードが挿入された画像 (不正なコードは除去)


画像から抽出した不正なコード(難読化を解除済)を図11、図12に示します。

図11、図12にはBase64エンコードされた複数のペイロード(実行ファイル形式)が含まれています。ペイロードに含まれる特徴的な文字列を調査し、下記の脆弱性を悪用する可能性があることを確認しています。これらはPurple Foxで悪用が確認されている既知の脆弱性であり、新しいものはありませんでした。

図11 32.pngから抽出した不正なコード(難読化を解除済)の一部
図12 64.pngから抽出した不正なコード(難読化を解除済)の一部

■32.png

  • CVE-2015-1701($1505132String)

確認した文字列:\Users\K8team\Desktop\ms15-051\ms15-051\ms15-051\Win32\ms15-051.pdb

  • CVE-2018-8120($1808132String)

確認した文字列:CVE-2018-8120 exploit

  • CVE-2019-0808($1908832String)

確認した文字列:\CVE-2019-0808-32-64-exp-master\CVE-2019-0808\Release\CVE-2019-0808.pdb

■64.png

  • CVE-2019-1458($ AllmakeString)

確認した文字列:CVE-2019-1458 exploit

  • CVE-2021-1732($ AllmakeString)

確認した文字列:\ExpNew\x64\Release\ExploitTest.pdb

特権昇格に成功すると、外部のMSIインストールパッケージ(今回ではk0kz[.]ru/i.php?i=16)が引数に指定されたMsiInstallProduct()関数によって、Windowsの正規コンポーネントであるmsiexec.exeが起動しDirtyMoeがインストールされます。なお、このMSIインストールパッケージを手動で実行してみると、ダイアログメッセージ(図13)に中国語が含まれていることが確認できます。

図13 MSIインストールパッケージのダイアログメッセージ

インストールが適切に進むと、Windowsの正規コンポーネントであるセッションマネージャサブシステム(smss.exe)を利用して、再起動後にファイルの移動・削除を行います。

そのために、「AllowProtectedRenames」レジストリエントリの値を0x1 (16 進数)に指定するとともに、再起動後に移動・削除するファイルを「PendingFileRenameOperations」レジストリエントリの値に登録します。

Windows 7 64 ビットの「PendingFileRenameOperations」レジストリエントリに登録された値の例を図14に示します。

これは、正規のsens.dllをC:\Windows\AppPatch\Acpsens.dllに移動したあとに、正規のsens.dllを悪性ファイルで置き換えるためのものと考えられます。再起動後は、System Event Notification Service(SENS)からDirtyMoeが実行され、感染に至ります。

図14 「PendingFileRenameOperations」レジストリエントリに登録された値の例

なお、DirtyMoeに感染した場合のリスクと、感染しないための対策について次の章以降で説明します。

DirtyMoeについて

DirtyMoeは、主にマイニングやDDoS攻撃を目的としたマルウェアです。感染を広げるためのワームモジュールが追加されており、EternalBlueやHotPotatoなどの既知の脆弱性を利用する他、MS SQL Serverなどを悪用した辞書攻撃を行います。DirtyMoeがインストールされ、端末が再起動した後の通信の例を図15に示します。

HTTP でダウンロードされたファイル「/32A7E157.moe」はSQL Serverスキャナ[5]です。続けてダウンロードされる「/3FE8E22C.moe」はそのコアモジュールとされており、ダウンロードの直後から1433ポート(TCP)へのスキャン通信が発生していることが図15から確認できます。

モジュールのダウンロード通信や1433ポート(ms-sql-s)へのスキャン通信はsvchost.exeを介して行われます。

図15 DirtyMoeの感染通信の例

他には、名前解決が要求された以下のドメインを確認しました。

  • Kew[.]8df[.]us(act[.]mysynology[.]netのエイリアス)
  • ret[.]6bc[.]Us(nak[.]bumbleshrimp[.]comのエイリアス)

上記のドメインから名前解決されたIPアドレスは実際のC2の通信先として利用されるわけではなく、特定の変換処理がされた後の結果(IPアドレス)がC2の通信先として利用されます。

※名前解決されるIPの一覧は短期間で次々と更新されています。

DirtyMoeはインストール時にMicrosoft Defenderの無効化といったシステム変更を行う他、自身にも検出回避のための隠蔽機能も備えているため、非常に厄介なマルウェアです。

痕跡として、下記が端末に記録される可能性があるので、感染確認の際のご参考としてください。

  • 暗号化された構成が登録されるレジストリーキー

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectPlay8\Direct3D

  • Windows Firewallに追加されるポリシー名

qianye (追加のコマンド:"C:\Windows\System32\netsh.exe" ipsec static add policy name=qianye)

被害に遭わないために

IEは2022年6月16日(日本時間)をもってサポートが終了しているので、Microsoft EdgeやGoogle Chromeなどサポートがされているブラウザを利用することを推奨します。今回取り上げた脆弱性の対策のためにIEのバージョンを上げたとしたとしても、サポートが終了後に確認された脆弱性は修正されないので、IEの利用は非常にリスクを伴います。

また、DirtyMoeは既知の脆弱性を利用して感染を広げることでも知られています。 このようなマルウェアの感染拡大を防ぐためにも、IEに限らず、OSやソフトウェアを更新して脆弱性を解消することが大切です。

他には、Purple Foxのようなファイルレスの挙動を検出するために、ネットワークレイヤやアプリケーションレイヤなどのセキュリティ対策を組み合わせた防御・検知の仕組みを導入していただくことをご検討ください。

今回はサポートが終了したIEについて取り上げましたが、この機会に他のEOL製品、もしくは今後EOLを迎える可能性がある製品を点検してみてはいかがでしょうか。

考察

IEのメモリ破損の脆弱性CVE-2021-26411はサポート終了後もPurple FoxやRIGで悪用される脆弱性の一つとなっています。Exploit Kitは2015年頃にAngler Exploit Kit がAdobe Flash PlayerやMicrosoft Silverlightなどの脆弱性を悪用したことで注目を集めました。最近ではIEの脆弱性を狙ったBottle Exploit Kitの被害が2021年に拡大した件などが記憶に新しいかと思います。

Exploit Kit はAdobe Flash PlayerやMicrosoft Silverlightのサポート終了などに伴い、その勢いも下火になってきています。今回はサポートが終了したIEの脆弱性を悪用するPurple Foxへの誘導を確認していますが、IEの利用者が少なくなるにつれて、Exploit Kitの勢いはますます衰えていくと推測しています。今後、IEに代わって脆弱性が狙われる製品が現れるのか、その動向には今後も注目していきたいと考えています。

参考情報

[1] 「ファイルレス」と「ルートキット」を利用するダウンローダ「Purple Fox」の検出回避手法
https://blog.trendmicro.co.jp/archives/22475

[2] NuggetPhantom Analysis Report
https://nsfocusglobal.com/nuggetphantom-analysis-report/

[3] DirtyMoe: Introduction and General Overview of Modularized Malware
https://decoded.avast.io/martinchlumecky/dirtymoe-1/

[4] CVE-2021-26411 | Internet Explorer のメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

[5] 脆弱性攻撃ツール「Purple Fox」によるSQL serverを狙った攻撃手法を解説
https://www.trendmicro.com/ja_jp/research/22/b/Purple-Fox-aim-to-SQL-server.html

IoC(Indicators of Compromise)

ファイル

  • ステガノグラフィによって不正なコードが挿入された画像

17f64ddeb8494fa61ba603041a6e7cae98b8a032392f19f725671b392369d18e (SHA-256)
93995afae5b07d31d0c15e165edfc38fceb4be5f8c72d464e9314ee5907c3883 (SHA-256)

  • 悪意のあるMSIインストールパッケージ

ca411d187d58a7736abb15e75f027e2564efcf9b014d35541225ddad52fa8cd5 (SHA-256)

通信先

  • Purple Fox ランディング

ndeno[.]tenefs[.]cfd
heleh[.]ircn[.]rest
ihstrcameit[.]etderat[.]bond
lsuohokwnoa[.]tenefs[.]cfd
teenwwt[.]tenefs[.]cfd

  • Purple Fox ペイロード

k0kz[.]ru
kjt[.]bar

  •  DirtyMoe DNSリクエスト

Kew[.]8df[.]us
ret[.]6bc[.]Us

ラックが提供するサービス

ラックの知見を結集し、最新のサイバー攻撃を防御・検知するためのブロックリストを作成しました。

脅威情報提供サービス「JLIST®」

資料ダウンロードフォーム

https://cp.lac.co.jp/entryform/jlist_material_document

JLISTは、国産の脅威情報(ブロックリスト)提供サービスです。

最新のサイバー攻撃を未然に防御するために、セキュリティ対策製品と連動可能な脅威情報を提供しています。セキュリティ対策製品の防御・検知機能と連動するので、お客様の手を煩わせることなくインシデント発生前に防御が可能です。

JSOC® マネージド・セキュリティ・サービス(MSS)

不正侵入検知とセキュリティ機器を24時間365日リアルタイムに監視、運用しています。

https://www.lac.co.jp/operation/mss.html

JSOCのマネージド・セキュリティ・サービス(MSS)はお客様の不正侵入検知能力を大幅に向上させるセキュリティ監視・運用サービスです。巧妙なサイバー攻撃が増加するIT環境において、不正アクセス監視によるセキュリティ対策の水準を上げます。また、複雑なセキュリティ監視機器を運用し、不正アクセスを防ぎます。

サイバー救急センター

DirtyMoeが検知された場合などには緊急対応窓口:サイバー救急センターをご活用ください。

https://www.lac.co.jp/corporate/unit/cyber119.html

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

投稿者

小泉 亮平
小泉 亮平
デジタルビジネス推進部、兼JSOCの小泉です。
JSOCアナリストとして分析業務に従事、ログ分析の他、分析システムの運用(ルールやログ取り込み支援)などに携わってきました。
皆さまに興味を持っていただけるような記事を執筆したいと思いますので、どうぞよろしくお願いいたします。