Web ブラウザは、PC を使用するユーザーが最も多く、そして頻繁に使用するプログラムの一つである。ユーザーは主に検索や電子メールの受信/送信、ネットショッピング等の Web サービスを利用するために使用し、これは個人のユーザーだけでなく企業で業務を遂行する従業員も同様である。
一般的に、これらのサービスを利用するためには自身のアカウントでログインするプロセスが必要だが、各サービスを毎回使用するたびにログインすることは不便さが伴うため、大半の Web ブラウザはオートログイン機能をサポートしている。すなわち、一度ログインすれば以降はアカウント情報が各アプリケーションの設定データに保存されるため、何度もログインする必要なくサービスを利用できるというものである。
図1. 資格情報の自動保存メッセージ
しかし、このような利便性とは逆に、もし攻撃者がユーザーのシステムの操作権限を獲得したりシステムにマルウェアがインストールされると、保存されていたアカウント情報が容易に窃取される可能性がある。一般的にユーザーは数個のアカウントのみを使用して様々なサービスに登録するため、ログインした少数のアカウント情報を奪われただけでユーザーの様々な情報が攻撃者の手に簡単に渡される。
1. インフォスティーラーマルウェアの事例
インフォスティーラーは情報窃取型マルウェアであり、Web ブラウザや電子メールクライアントのようにアプリケーションに保存されているアカウント情報や履歴等のユーザー情報を窃取することが目的のマルウェアである。このようなマルウェアには、AgentTesla、Lokibot、SnakeKeylogger、RedLine 等があり、すべてのマルウェアの中でも過去から高い割合を占めている。
もちろん、攻撃者は AntiVirus のファイル検知を回避するために、このような既知のマルウェアのアウトラインをパッキング、および難読化してマルウェアを配布する。また、正常なプロセスにインジェクションすることで、実際の不正な振る舞いが正常なプロセス上で動作することもある。だが、パッキング処理が施されている、または正常なプロセスにインジェクションされて動作するとしても、マルウェアの振る舞いは既知の不正な振る舞いを含んでいるため、AhnLab EDR で検知が可能である。
AgentTesla は主にスパムメールを通じて配布されるインフォスティーラーマルウェアである。既知の大半の Web ブラウザ、および電子メール/FTP クライアント、そして VNC プログラム等、様々なアプリケーションを対象に情報を収集する。収集した情報はその後 SMTP や FTP または Telegram API を利用して C&C サーバーにより窃取する。[1]
AgentTesla の情報窃取対象の Web ブラウザには Chromium ベースの Web ブラウザ(Google Chrome、MS Edge)と FireFox 等がある。インフォスティーラーマルウェアは一般的に設定情報が保存されたパスからデータファイルを読み取り、復号化してアカウント情報を入手する。
図2. Google Chrome Web ブラウザの資格情報窃取ルーチン
以下は、正常なプロセスである MSBuild.exe プロセスにインジェクションされた AgentTesla が Web ブラウザに保存された資格情報を窃取する振る舞いを検知した事例である。この環境には、Google Chrome と MS Edge Web ブラウザにアカウント情報が保存されていた。AhnLab EDR は正常なプロセス内で動作する AgentTesla が Web ブラウザに保存された資格情報を窃取する振る舞いを以下のように脅威として検知し、管理者が事前に認知できるようにサポートする。
図3. 正常なプロセスで動作中の AgentTesla の情報窃取の振る舞いを検知するログ – EDR 製品
2. APT 攻撃事例
ユーザーのアカウント情報を窃取するということは、攻撃段階の中でも攻撃者に多くの利点を与える重要なプロセスである。例えば、攻撃対象が一般のユーザーだとしても、これを利用することで今後より多くの情報を獲得することができ、攻撃が成功するまで初期侵入プロセスに使用したり、被害者が企業ユーザーである場合は組織の内部ネットワークを掌握するためのラテラルムーブメントにおいても活用できる。
したがって、資格情報を取得する振る舞いは APT 攻撃グループでも必ず使用するステップである。すなわち、不特定多数に配布される既知のマルウェア以外に、APT 攻撃グループもインフォスティーラーマルウェアを頻繁に使用する。重要なのは、APT 攻撃者の特性上、上記のようなマルウェアを使用する代わりに未知のマルウェアを自ら製作して攻撃に使用する事例が多いという点である。だが、マルウェアを新たに製作したとしても、情報を窃取する振る舞い自体は既知のマルウェアと類似したものがほとんどである。
以下は Andariel グループが製作した情報窃取マルウェアであり、Google Chrome、Firefox、Internet explorer、Opera と共に Naver Whale Web ブラウザを窃取対象とした。[2] このマルウェアはコマンドラインツールであり、抽出したアカウント情報をコマンドラインで出力した。攻撃者はバックドアを利用して、その結果を C&C サーバーに伝達したものと推定される。参考に、過去に配布されたタイプであるため現在の基準では正常に動作できないが、新たな攻撃では最新バージョンにも対応するものと見られる。
図4. Andariel グループのインフォスティーラーマルウェアのログ
AhnLab EDR は疑わしいプログラムが Web ブラウザに保存された資格情報を窃取する振る舞いを以下のように脅威として検知し、管理者が事前に認知できるようにサポートする。
図5. Andariel グループが使用するインフォスティーラーの情報窃取の振る舞いを検知するログ – EDR 製品
3. 結論
攻撃者は、様々な方式を利用してユーザーの資格情報を窃取することができ、窃取した情報をもとにラテラルムーブメントを行い、最終的に組織のネットワークを掌握することができる。すなわち、資格情報は攻撃プロセスにおいて必須のステップの一つであり、そのために攻撃者は既知のマルウェアだけでなく、自ら製作した情報窃取型マルウェアを使用することもある。
Web ブラウザはほとんどのユーザーが基本的に使用するプログラムであり、利便性のためにオートログイン機能を使用する場合が多い。もし、何らかの経路を通じてシステムがインフォスティーラーマルウェアに感染した場合、保存されているアカウント情報が奪われる可能性がある。Web ブラウザに保存されている資格情報を窃取する方式は単純にアカウント情報が保存されているファイルを読み込んで復号化する方式であるため、AntiVirus のような製品だけではこのような振る舞いを完全に遮断するには限界がある。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。
振る舞い検知
– CredentialAccess/MDP.WebBrowser.M11628
– CredentialAccess/MDP.WebBrowser.M11633
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知