正規サービスを悪用する脆弱性攻撃ツール「Purple Fox EK」

本ブログでは去年9月27日の記事で「Rig Exploit Kit(Rig EK)」を介して拡散するマルウェア「PurpleFox」について取り上げました。その後、このマルウェアはRig EKとは異なる独自の拡散メカニズムに移行したことがセキュリティベンダー「Malwarebytes」により発見され、その新たな拡散メカニズムは「PurpleFox Exploit Kit(PurpleFox EK)」と名付けられました。

そして前回の記事からおよそ1年が経過したこの9月までに、トレンドマイクロのハニーポットは、より拡散戦術が強化されたPurpleFox EKの活動が急増していることを捉えました。 以下に、強化された点を、一部紹介します。

  • 完全なHTTPSインフラストラクチャとして正規サービスである「Cloudflare」を悪用
  • 完全に暗号化されたランディングページ
  • 偽装リダイレクト

Cloudflareは、コンテンツデリバリーネットワークやインターネットセキュリティサービスを提供する米国企業です。このようなクラウド関連の正規サービスが、サイバー犯罪者に悪用される事例は後を絶ちません。CloudflareはPurpleFox EKによる悪用の通知を受けると、即刻通信遮断のためのアクションを実行しました。これらのドメインの前にインタースティシャルページが配置された結果、該当するPurpleFox EKのサイトへのアクセスはすべてシャットダウンされました。

以下のグラフは、2020年9月3日以前の過去30日間で確認されたPurple Fox EKの脆弱性攻撃サイトへの通信を示しています。

グラフ, 棒グラフ, ヒストグラム

自動的に生成された説明

図1:Purple Fox EKサイトへのアクセス数推移

■ランディングページの詳細

攻撃の対象となったユーザは初めに、リンク「https://{malicious domain}/?key=700D5E232DF5AA21」にリダイレクトされました。以下の図2は、完全なブラウザセッションを示しています。

Capturing the redirection via browser session

図2:ブラウザセッションを介したリダイレクト

ここで使用されるドメインは通常、HTTPS経由でアクセス可能なCloudflareのフロントエンドを示します。つまり、Purple Fox EKはCloudflareを利用して、デフォルトでHTTPS通信を実現しているということです。

IP resolves to Cloudflare frontend

図3:Cloudflareのフロントエンドで解決するI P

ランディングページは、HTTPSによる完全な暗号化に加え、コンテンツの難読化も施されています。

Section of landing page showing encryption and obfuscation

図4:暗号化および難読化されたランディングページ

上述の図4では、復号化を実行する外部のJavaScript(JS)ライブラリへの参照が行われています。また、暗号化されたエクスプロイトコンテンツも含まれています。この参照された外部ライブラリは、一般に公開されており、多くのWebサイトで広範的に使用されている人気のJSライブラリです。この特定のセクションでは、対象のユーザをGoogle検索エンジンにリダイレクトします。この挙動は、これまでに確認されたことのない動作です。

以下の図から分かるように、復号の流れは単純なものとなっています。

Decryption steps

図5:難読化されたEKサイトコンテンツの複号の流れ

ランディングページには、脆弱性「CVE-2019-1367」を悪用するのに必要な「Jscript.Encode」セクションが存在します。このセクションでは、上記の流れにより難読化されたエクスプロイトコンテンツ変数を復号し、実行します。

The first section of the exploit

図6:脆弱性の最初のセクション

■まとめ

Purple Foxは、正規サービスを悪用してHTTPS経由でランディングページを拡散する最新の脆弱性攻撃ツール(エクスプロイトキット、EK)に進化しています。暗号化されたランディングページの使用はエクスプロイトキットにおいては目新しいものではありません。また、Cloudflareのようなパブリッククラウドを悪用する手口も、現在のサイバー犯罪の1つの傾向となっています。一方で、エクスプロイトキットを使用した攻撃で上述のようなページを利用すると、多くの既存の保護を回避可能にします。

■被害に遭わないためには

今回解析した検体から分かるように、PurpleFoxは既存の脆弱性を利用した攻撃を行います。脆弱性は攻撃者にとって攻撃のインフラとなっていますが、対象となっているOSやアプリケーションのアップデートやパッチ等により修正することでふさぐことができます。個人にとっても法人にとっても脆弱性対策はとても重要です。

  • 個人利用者においては、OSやソフトウェアのアップデートを欠かさず行い、最新バージョンの使用を保ってください。最新のWindows10では、Internet Explorerは既に古いソフトになっています。インターネットのWeb閲覧の際には、Edge、もしくはサードパーティ製のChrome、Firefoxなどの最新ブラウザを利用してください。
  • 法人利用者において脆弱性対策とは、計画的なパッチ適用だけではなく、適用できない期間に脆弱性の影響を回避する代替手段を考慮することも必要不可欠です。トレンドマイクロでは、オンラインインフラストラクチャを保護するために、多層防御を講じることを推奨します。本記事で紹介した脅威を防ぐために、以下のベストプラクティスを採用することが可能です。
  • システム管理者用に用意されたツールの使用を制限および保護することにより、最小権限の原則を実施する
  • 定期的なパッチ適用および更新
  • パッチが適用されるまでの期間、あるいはパッチが適用できないレガシーシステム、組み込みシステムなどにおいて、脆弱性の影響を回避、または最小限化する代替対策を行う
  • 不正ファイルを隔離して不審な動作をさらに分析可能にするサンドボックス、侵入の阻止やデータ漏えいの試行にフラグを立てることが可能なファイアウォールと侵入防止および検出システム、そしてマルウェア関連の機能がシステムで実行されるのを阻止する動作監視など、セキュリティの追加レイヤーを提供する追加のメカニズムを展開する

■トレンドマイクロの対策

個人利用者のPC用総合セキュリティ対策製品である「ウイルスバスタークラウド」、法人利用者向けクライアントセキュリティ対策製品である「Trend Micro Apex One™」や「ウイルスバスター™ビジネスセキュリティサービス」では、複数の対策技術による多層防御により本記事で紹介したような脅威からユーザと企業を保護します。Webサイトの安全性をページ単位で評価する「Webレピュテーション(WRS)」機能では、EKを含む不正サイトへのアクセスをブロックします。また「不正スクリプト対策」機能により、Webサイトに埋め込まれたプログラムコードを解析し、脆弱性を突いた攻撃を行うような危険なコードの実行をブロックします。EKの脆弱性攻撃により侵入するマルウェアに対しても、機械学習型スキャン、不正変更監視を含む複数の技術により検出し活動をブロックします。

侵入の痕跡(Indicators of Compromise IoCs

侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。

参考記事:

By William Gamazo Sanchez, Joseph C Chen, Elliot Cao

翻訳:下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)