ファイルレス形式で作動する Revenge RAT マルウェア配布中

最近、 Revenge RAT マルウェアが配布されています。マルウェアが実行されると正常ツールとマルウェアを同時に生成して実行し、ユーザーは悪性行為が発生するかどうかを認知することすら難しくなる恐れがあります。

ASEC（AhnLab Security Intelligence Center）によると、攻撃者はsmtp-validator、Email To Sms等の名前のツールを活用したと確認されました。攻撃者は正常ツールである「smtp-verifier.exe」を実行させる前に「Setup.exe」という悪性ファイルをまず生成します。その際、生成されるファイルの属性を「Hidden」に変更し、一般的な環境ではWindows探索ボックス上で該当ファイルが見えなくなる特徴があります。

攻撃者は最終的に Revenge RAT マルウェアの実行を目標とすることが明らかになりました。正常ツールと共に生成されるマルウェアsetup.exeは、追加のマルウェアを生成する役割だけを修行します。svchost.exeは、C＆C（コマンド・コントロール）サーバーにアクセスしてHTMLファイルをダウンロードし、ファイルの内部に攻撃者が特定な注釈を読み込み、圧縮を解凍して特定な経路にexplorer.exeファイルを生成・実行します。

C＆Cサーバーは、正常的に運営されているブログのように偽装し、特定オフセットにオンライン注釈でマルウェアが含まれています。攻撃者は該当HTMLファイルの内部で ‘’ の間の値を読みこみ、Base64のデコーディングを修行し、圧縮を解凍して追加のマルウェアを生成する方式です。

C＆Cサーバーのアドレスにアクセスが制限されると、他のC＆Cサーバーにバイパスし、それも正常ブログに偽装した様子でした。攻撃者はこのようなメカニズムを通じ、既存のサーバーアドレスが不能になった場合、または攻撃者が新たなC＆Cサーバーをアップデートした場合を備えました。C＆CサーバーのHTMLファイルで抽出したマルウェアは「version.exe」ファイルを生成し、究極的にはファイルレス形式でRevenge RATマルウェアを実行するようになります。この際生成される「version.exe」は、使用された悪性ファイルをPowershellコマンドでWindows Defenderの例外ファイルに登録する機能を修行します。

攻撃者はversion.exeをcmstpに伝えて実行するが、それはアンチウイルス製品の探知の迂回を目的として悪性ファイルをWindows基本プログラム（cmstp.exe）で実行するCMSTP Evasionです。該当手法はいろんな種類のマルウェアで主に使われる手法だと知られています。このようにCMSTP Evasion形式で実行されたversion exeは、下のコマンドを実行して攻撃の過程で使用された悪性ファイルをWindows Defenderの例外ファイルとして登録します。explorer、svchost等の攻撃過程で使用される悪性ファイルの名前が主にWindowsの基本プログラムだという特徴があります。

その後、攻撃者はリソース領域でバイナリ―を読み込み、DESアルゴリズムを使用して複合化して、攻撃者の最終目的である Revenge RAT マルウェアが登場します。該当RATはMITRE ATT＆CKでRevenge RAT（S0379）に分類され、主にシステム情報の収集、スクリーンショット、キーロギング、追加悪性ファイルのダウンロード、スクリプト実行等の悪性行為が含まれています。

Revenge RAT マルウェアは、メモリー上でファイルレス形式で実行され、C2（qcpanel.hackcrack[.]io:9561）にユーザーPCのデータを収集したBase64インコーディングした形に伝送します。奪取される△PC、ユーザー名、△OS、CPU、ドライブ容量等のシステム情報、△自分（Revenge RAT）を実行した親プロセスの情報、△IPアドレス及びregionの情報、△使用中のアンチウイルス、ファイアウォール製品の名前等です。

このように、オープンソースや公開されたツールを使用する際は特別な注意が要求され、公式のホームページからダウンロードする習慣を持たなければなりません。