Re-Checking Your Pulse: Pulse Secure VPNデバイスを侵害する中国のAPT攻撃者に関する最新情報

2021年4月20日、Mandiantは、中国のエスピオナージ（スパイ）活動者と思われる人物によるPulse Secureデバイスの侵害に関する調査結果の詳細を発表しました。このブログ記事は、当社の調査結果の最新情報を提供し、ネットワーク防御者への追加の提言を行い、米中の戦略的関係への潜在的な影響を議論することを目的としています。

• Mandiantは、米国およびヨーロッパの防衛、政府、ハイテク、運輸、金融の各分野の組織において、Pulse Secure VPNアプライアンスの侵害に関する証拠の収集と侵入への対応を続けています（図1）。
•  FLAREチームのリバース・エンジニアは、Pulse Secureデバイスを操作するために特別に設計された4つの追加コード・ファミリーを特定しました。
• 現在、UNC2630とUNC2717によるエスピオナージ（スパイ活動）は、中国政府の重要な優先事項をサポートしていると評価しています。侵害された組織の多くは、最近の中国の第14次5カ年計画で説明されている北京の戦略目標に沿った業種や業界で活動しています。
• 多くの組織でデータが盗まれた形跡がありますが、オバマ元大統領と習近平国家主席によって取り交わされた協定に違反していると考えられるような、中国のエスピオナージ（スパイ活動）者によるデータのステージングや流出は直接確認されていません。
• Mandiant Threat Intelligenceは、中国のエスピオナージ（サイバー・スパイ活動）がこれまでの特徴に比べてリスクに対する耐性が高く、外交的圧力による制約が少ないと評価しています。

図1：Pulse Secureデバイスが侵害された組織（業種別、地域別）

Pulse Secureは、Mandiant、影響を受けたお客様、政府のパートナー、その他のフォレンジック専門家と緊密に協力して、これらの問題に対処しています。Pulse Secureの親会社であるIvantiは、ソフトウェアの脆弱性に積極的に対処するためのパッチをリリースし、お客様を支援するための Security AdvisoriesとKnowledge Articlesを更新しました。(詳細については、「フォレンジック、修復、およびハードニングのガイドライン」のセクションを参照してください)。

UNC2630、UNC2717 の情報開示に対する手口と対応

MandiantはPulse Secure VPNアプライアンスに感染するように設計された16のマルウェア・ファミリーを追跡しており、これらは中国政府に関連していると思われる複数のサイバー・スパイ・グループによって使用されています。2021年4月17日から4月20日の間に、Mandiantのインシデントレスポンス担当者は、UNC2630が数十台の感染したデバイスにアクセスし、ATRIUMやSLIGHTPULSEなどのWebShellを削除する様子を確認しました。

• 特定の条件下では、過去に侵害があった可能性のあるアプライアンスに対して、Integrity Checker Tool (ICT)が侵害の証拠を示さないことがあります。この検知逃れは、ICT がロール・バック・パーティションをスキャンできないために発生することがあります。ロール・バック・パーティションにバックドアやパーシステンス・パッチャーが存在したままPulse Secure アプライアンスが以前のバージョンにロール・バックされた場合、バックドアがアプライアンスに存在することになります。ICT およびアップグレード・プロセスに関する重要な情報については、「フォレンジック、修復、および硬化のガイドライン」セクションを参照してください。
• 少なくとも1つの事例では、UNC2630はWebShellを削除しましたが、パーシスタンス・パッチャーを削除しなかったため、デバイスのアップグレード時に再びアクセスすることが可能になりました。 残ったパーシステンス・パッチャーは、後のシステム・アップグレード時に悪意のあるコードを実行させ、アプライアンス上の様々なファイルにWebShellのロジックを再挿入し、デバイスを再度侵害します。
• 中国のエスピオナージ（スパイ活動）者が、複数の被害者の環境に存在する多数のバックドアを、情報公開と同時に削除することは珍しいことです。今回の行為は、運用上のセキュリティに対する関心の高さと、世間の注目度に対する敏感さを示しています。

UNC2630とUNC2717はどちらも、高度な技術を駆使し、発見されないよう多大な努力をしています。UNC2630とUNC2717は、ファイルのタイムスタンプを変更したり、ログやウェブサーバーのコア・ダンプ、流出用に作成されたファイルなどのフォレンジック証拠を定期的に編集または削除したりしています。また、ネットワーク機器を熟知し、標的となるネットワークに関する高度な知識を持っています。このような手口により、ネットワーク防御者は、使用したツール、盗まれた認証情報、最初の侵入経路、侵入開始日などの完全なリストを作成することが困難になります。

インシデントレスポンス調査からのアップデート

類似するエクスプロイトやツールを使用しているものの、UNC2630とUNC2717を含む複数のグループがこの活動に関与していると私たちは引き続き疑っています。被害者の環境内での攻撃者の行動は実に多様であり、攻撃者はツールやコマンド＆コントロール用IPアドレスを組み合わせて使用するなど、一貫性に欠けています。

FLAREチームのリバース・エンジニアは、Pulse Secureデバイスを操作するために特別に設計された4つの追加マルウェア・ファミリーを確認しました（表1）。これらのユーティリティは、認証情報や機密性の高いシステム・データの取得、任意のファイル実行の許可、フォレンジック・エビデンスの除去など、以前に報告された12種類のマルウェア・ファミリーと同様の機能を備えています。これらのコード・ファミリーの詳細な分析については、技術資料をご覧ください。

マルウェア・ファミリー	説明	攻撃者名
BLOODMINE	BLOODMINEは、Pulse Secure Connectのログ・ファイルを解析するユーティリティです。ログイン、メッセージID、ウェブ・リクエストに関連する情報を抽出し、関連するデータを別のファイルにコピーします。	UNC2630
BLOODBANK	BLOODBANKは、パスワード・ハッシュまたは平文のパスワードを含む2つのファイルを解析し、コマンド・プロンプトで出力ファイルが与えられることを期待する認証情報窃取ユーティリティです。	UNC2630
CLEANPULSE	CLEANPULSEは、特定のログ・イベントの発生を防止するために使用される可能性のあるメモリ・パッチ・ユーティリティです。ATRIUMのWebShellの近くで発見されました。	UNC2630
RAPIDPULSE	RAPIDPULSEは、任意のファイルを読み取ることができるWebShellです。他のWebShellによく見られるように、RAPIDPULSEは正規のPulse Secureファイルに対する修正として存在します。RAPIDPULSE は、攻撃者にとって暗号化されたファイルのダウンローダーとして機能します。	UNC2630

表1:特定された新しいマルウェア・ファミリー

初期侵入

攻撃者は、Pulse Secure VPNアプライアンスの複数の脆弱性を利用しました。Mandiantは、完全にパッチが適用されているPulse Secureアプライアンスに対し、最近パッチが適用された脆弱性CVE-2021-22893、そして過去2019年と2020年に明らかになった脆弱性を利用して侵害していることを確認しました。多くのケースでは、攻撃者がフォレンジックの証拠を改ざんまたは削除したり、アプライアンスの継続的なコード・アップグレードのため、最初の悪用に関連する証拠が破壊され、最初の悪用ベクターと時間枠を特定することができませんでした。

足がかりの設定

いくつかのケースでは、Mandiantは、攻撃者が戦略的価値のあるWindowsサーバー上に確立されたクレデンシャル管理制御以外に、独自のローカル管理者アカウントを作成しているのを確認しました。これにより、攻撃者は、短期間のクレデンシャル・ローテーション・ポリシーでシステムへのアクセスを維持することができ、ターゲット環境内で自由に活動するのに十分なレベルのアクセス権限を得ることができました。また、この攻撃者は、内部のWindowsやLinuxのエンドポイントに配備されたバックドアに頼ることなく、Pulse SecureのWebShellとマルウェアのみを使用して標的環境への足場を維持しました。

権限昇格

Mandiantは、Windows上で3つの認証情報ハーベスティング技術を使用していることを確認しました。

• クレデンシャル・ハーベスティング・ツール「Mimikatz」を使用して、メモリ上の平文のパスワードやハッシュを標的にします。Mandiantは、Mimikatzのバイナリが、標的のシステムにコピーして実行するのではなく、RDPセッションのソース・システム（VPNに接続された攻撃者のシステムなど）に、RDPのマップされたドライブを介して存在する証拠を確認しました。
•  ローカルおよびドメイン・アカウント用のキャッシュされたNTLMハッシュを含むSAM、SECURITY、SYSTEMレジストリ・ハイブの、コピーと流出を行いました。
• Windows Task Managerプロセスを利用して、Local Security Authority Subsystem Service (LSASS)のプロセス・メモリ上のNTLM ハッシュを標的にします。

これらの特権昇格技術に加えて、攻撃者は、（おそらくPulse Secureのクレデンシャル・ハーベスティング・マルウェア・ファミリーを通じて）以前に通常アカウントが侵害された個人に属する別の特権アカウントを特に標的としました。アカウントの関連付けがどのように行われたのかは不明です。

内部調査

Mandiantは、攻撃者が被害者ネットワークのVPNに接続する自分のワークステーションの名前を、標的環境の命名規則に似せて変更していた証拠を発見しました。この行為は、長期的な持続性と検知回避を目的とした攻撃者の目的に合致しており、被害者環境の内部ホスト名に精通していることを示しています。

攻撃者は、Windowsベースのユーティリティを利用してタスクを実行していました。確認されたユーティリティには、net.exe、quser.exe、powershell.exe、powershell_ise.exe、findstr.exe、netstat.exe、cmd.exe、reg.exe、tasklist.exeなどがあります。

水平展開

ほとんどの水平展開は、侵害された Pulse Secure VPN アプライアンスから環境内の内部システムに向かって行われました。 Pulse VPN アプライアンスに接続されている間、攻撃者のシステムには Pulse VPN の DHCP プールから IP アドレスが割り当てられ、Remote Desktop Protocol（RDP）、Secure Shell Protocol（SSH）、および HTTPS でホストされているリソースへのブラウザ・ベースの通信を利用して、環境内を水平方向に移動しました。また、事前に取得した認証情報を利用して、Microsoft 365のクラウド環境など、他のリソースにもアクセスしていました。

Mandiantは、攻撃者がESXiホスト・サーバーを標的にしていることも確認しました。攻撃者は、ESXiホスト上で以前にウェブ・インターフェースを介して無効化されていたSSHを有効にしました。システムに対する操作が終了すると、攻撃者はESXiホスト上のSSHを再び無効にし、実行された活動に関連するすべての関連ログをクリアまたは先取りして無効にしました。これには、システム上の認証、コマンド履歴、およびメッセージ・ログが含まれます。

プレゼンスの維持

Mandiantは、Pulse Secure Appliance のアップグレード・プロセスを侵害することで、攻撃者が持続性を維持していることを確認しました。 持続性は、主に正規の DSUpgrade.pm ファイルを変更して、管理者が行うアップグレードのたびに ATRIUM WebShellをインストールすることで実現しました。DSUpgade.pm は、システムのアップグレード手順の中核となるファイルであり、更新時にパッチが確実に適用されることから、パッチ・ロジックのホストとして選択されたものと思われます。パッチャーは、/tmp/data のコンテンツを変更します。このディレクトリには、新たにアップグレードされたシステムが起動する際に、抽出されたアップグレード・イメージが格納されているからです。これにより、攻撃者がアップデートの間もシステムへのアクセスを維持できるような永続的なメカニズムが実現されます。

また、Linuxファイルシステムのマウント解除に通常使用されるファイル/bin/umountの前にbashスクリプトを追加することで、他の場合でもアクターは持続性を実現しました。このバイナリは、システムのアップグレード中にPulse Secureアプライアンスによって実行されるため、攻撃者のターゲットとなっていました。攻撃者のスクリプトは、Pulse Secureアプライアンスがバイナリを実行するために使用する引数と同じ特定の引数セットでumountバイナリが実行されることを確認します。挿入された悪意のあるbashスクリプトは、ファイルシステムを読み取り/書き込みとして再マウントし、一連のbashルーチンを反復処理してATRIUM webshellを注入し、レガシーファイル整合性bashスクリプトからSLOWPULSEを非表示にし、umountファイルから自分自身を削除または追加し、再起動後にWebプロセスが実行され、ファイルシステムが読み取り専用に戻ったことを検証していました。

目的の達成

攻撃者の目的は、認証情報の窃取、被害者のネットワークへの長期にわたる持続的なアクセスの維持、および機密データへのアクセスまたは流出であると思われます。Mandiantは、攻撃者が以下のような行為を行っていることを確認しています。

• 機密性の高いプロジェクトに関連するデータを C:Users\Public に保存する。
• Windows Update (KB) に類似した名前、または KB<digits>.zip というフォーマットに一致するように、データ流出用のアーカイブを命名する。
• データの流出に JAR/ZIP ファイル形式を使用する。
• 侵入されたアーカイブの削除

新しいマルウェア・ファミリーの分析は、防御者がそれぞれのアプライアンスが影響を受けているかどうかを迅速に評価できるように、Technical Annexに含まれています。関連するMITRE ATT&CK技術、Yaraルール、ハッシュはMandiantのGitHubページで公開されています。

フォレンジック、復旧、ハードニング・ガイドライン

調査を開始するにあたり、Pulse Secureユーザーはカスタマー・サポート担当者に連絡して、以下の手順を完了する必要があります。

1. アプライアンスのメモリーとフォレンジックイメージの取得
2. オンラインの Pulse Integrity Checker Tool を実行
3. 各パーティションの復号化されたイメージとメモリ・ダンプの要求

侵害されたPulse Secureアプライアンスを修復する手順は以下の通りです。

1. Pulse Secure デバイスが過去に侵害されたかどうかを判断する際には、注意が必要です。アプライアンスをアップデートする前にIntegrity Checker Tool (ICT) を実行しなかった場合、侵害の唯一の証拠は、ICT でスキャンできないシステム・ロールバック・パーティションにあります。ICT を使用せずにアップグレードを行った場合、デバイスが以前に侵害されたかどうかを判断するには、ロールバック・パーティションを手動で検査する必要があります。
2. 悪意のあるロジックがクリーンなデバイスにコピーされないようにするため、ユーザーはウェブ・インターフェースではなくアプライアンスのコンソールからアップグレードを行う必要があります。コンソールでのアップグレード処理は、DSUpgrade.pmなどのファイルを実行しない別のコード・パスに従います。
3. 以前のバージョンのICTは、サポートされていないソフトウェア・バージョンで実行すると終了します。ICTのスキャンごとに、ICTがデバイスのバージョン番号をサポートしていたであろうことを確認してください。
4. 環境内のすべてのパスワードをリセットします。
5. 最新のソフトウェア・バージョンにアップグレードします。

デバイスの安全性を確保し、今後の調査に役立てるために、以下の実施を検討してください。

1. 認証失敗ログを有効にし、イベント、ユーザー、管理者アクセスにsyslogを設定
2. すべてのログを中央ログ・リポジトリに転送
3. 異常な認証や悪用の証拠がないかログを確認
4. Integrity Checker Toolを定期的に実行
5. パッチが利用可能になったら直ちに適用する

米中国関係の地理的背景と予想される結果

Mandiantは、BAE Systems Applied Intelligenceの情報アナリストと共同で、米国およびヨーロッパの防衛、政府、通信、ハイテク、教育、運輸、金融の各分野において、Pulse Secure VPNの脆弱性を利用して侵入された数十の組織を特定しました。MandiantとBAEの過去の調査では、これらの組織のかなりの数が以前のAPT5の標的であることが確認されています。

特に、侵害された組織は、中国の第14次5カ年計画で示された北京の戦略目標に沿った産業で活動しています。また、多くのメーカーは、ハイテク、グリーン・エネルギー、通信分野で中国企業と競合しています。このような状況にもかかわらず、私たちは、中国のエスピオナージ（スパイ活動）者による、オバマ・習近平協定に違反すると考えられるようなデータのステージングや流出を直接確認していません。

中国のエスピオナージ（サイバー・スパイ活動）のターゲットは、国家戦略目標との整合性を考慮して選定されることが多く、政策白書に記載されている柱となる産業と中国のエスピオナージ（サイバー・スパイ活動）のターゲットには強い相関関係があります。

中国は、国際的な競争力を維持するために必要不可欠な開発・生産のための重要な経済的関心分野として、エネルギー、医療、鉄道輸送、通信、国防・安定、先進製造業、ネットワーク・パワー、スポーツ・文化の8つのカテゴリーを示しています。

歴史的なコンテキスト

Mandiantは、レポート「Red Line Drawn」の中で、2014年に中国のエスピオナージ（サイバー・スパイ活動）の量が大幅に減少したことを記録し、中国の軍および民間の情報機関の再編が中国のサイバー活動に大きな影響を与えたとしています。そして、2015年9月、中国の習国家主席は、米国のオバマ元大統領との間で、商業的優位性を提供する目的で国家が主導する知的財産の窃取を禁止する二国間協定を締結しました。商業的な知的財産の窃取は、歴史的に中国のエスピオナージ（サイバー・スパイ活動）の顕著な特徴となっています。

2018年、私たちは、PLA改革と二国間協定の公式発表の前後で、中国のエスピオナージ（サイバー・スパイ活動）に使用される戦術、技術、手順（TTP）に対応する変化があったかどうかを調べるために、中国のエスピオナージ（サイバー・スパイ活動）を徹底的に調査しました。その結果、盗まれた情報の種類と標的の地理的分布に2つの重要な変化が見られました。

• 2016年1月から2019年半ばまでの数百件のインシデントを調査したにもかかわらず、米国における純粋な商用アプリケーションの知的財産権窃取の決定的な証拠は見つかりませんでした。米国司法省による最近の訴訟は、この窃取が発生したことを示唆しています。地政学的標的、軍事用途の知的財産の窃取、企業の機密情報の窃取など、その他の悪意のある活動も観察されましたが、これらのサイバー活動がオバマ・習近平協定に違反しているという証拠は見つかりませんでした。
• 2016年1月から2019年半ばにかけて、中国のサイバー活動の地理的な標的は、米国や欧州から離れ、アジアに劇的にシフトしました。米国は依然として最も頻繁に標的とされる国ではありますが、観測された活動に占める割合ははるかに小さくなりました。2012年から2015年にかけて、米国の標的は観測された中国のエスピオナージ（サイバー・スパイ活動）全体の約70％を占めていましたが、2016年1月から2019年8月にかけて、米国の標的は中国の活動の約20％にまで減少しました。ヨーロッパへの標的は、中国の活動全体の中で、アメリカ大陸への標的と同様の割合を占めていました。

2019年から2021年にかけての中国のエスピオナージ（スパイ活動）の変化

Mandiant Threat Intelligenceは、2019年から2021年の間に観察された動きに基づいて、中国のAPT攻撃グループのほとんどが、中国の戦略的な政治、軍事、経済の目標を支援するための戦略的情報を収集する、量は少ないがより高度なステルス性の高いオペレーションに集中しているとしています。技術的な変化の中には、中国の軍事・民間組織の再編によるものもありますが、サイバー作戦全体のより大きな技術的傾向を反映した変化もあるでしょう。

• 再編前は、複数の中国のスパイ・グループが同じ組織を標的にし、しばしば同じ種類の情報を狙っている様子がよく見られました。2015年以降は、このような重複した取り組みはまれです。
• 中国のスパイ・グループは、スピア・フィッシングやエンド・ユーザーのソフトウェアの脆弱性に頼る方法から、ネットワーク機器やウェブ・アプリケーションを新たな方法で悪用する方法へと移行し、より効率的で目的意識の高い標的パターンを開発しました。また、中国のAPT攻撃者は、サプライチェーンの脆弱性を利用したり、サードパーティのプロバイダーを標的にしたりして、主要ターゲットへのアクセスを得るようになりました。
• 最近見られる中国のエスピオナージ（サイバー・スパイ活動）は、運用上のセキュリティに対する勤勉さ、ネットワーク防御者の調査技術への精通、そして彼らが残すフォレンジック的証拠に対する認識が高まっていることがわかっています。
• APT4やAPT5などの昔からある中国のスパイ・グループが長期の休眠期間を経て復活し、現在活動中のグループが頻繁に広範囲のキャンペーンを行っていることが確認されています。

Redlineは撤退したのか？

オバマ・習近平協定協定は、競争上の優位性を得ることを目的とした、純粋な商業的用途の知的財産の窃取を禁止しています。政府や外交関係の情報、機密性の高いビジネス・コミュニケーション、ITデータ、PII、軍事目的や二重使用目的の知的財産などは対象外です。

• 私たちは、UNC2630、UNC2717およびその他の中国のAPT攻撃者が、認証情報、電子メール・コミュニケーション、および商業と軍事の両方の用途を持つ知的財産を盗んだという直接的な証拠を持っています。
• 私たちの調査を通じて、オバマ・習近平協定の違反とみなされるような中国のスパイ攻撃者によるデータのステージングや流出を直接確認することはできませんでした。

商業的な知的財産権窃取の定義が狭く、フォレンジック的証拠が限られていることから、新しい情報の発見により評価が変わる可能性があります。

Mandiantが過去10年間に収集した証拠によると、規範や外交上の合意によって、特に優先度の高い任務を遂行するにあたり、中国のサイバー攻撃能力の活用が大幅に制限されることはないようです。

2019年以降、中国の政策立案者が示した野心とリスク許容度の高まりは、近い将来、中国の国家主導の活動のテンポが増し、中国のサイバー脅威組織が米国と欧州の商業主体に対し、新たに深刻な脅威をもたらす可能性を示しています。

謝辞

Mandiantは、BAE Systems Applied Intelligence、Stroz Friedberg、Pulse Secureのアナリストの懸命な努力、協力、パートナーシップに感謝いたします。また、Scott Henderson、Kelli Vanderlee、Jacqueline O'Leary、Michelle Cantosをはじめ、MandiantのRed Line Redrawnプロジェクトに携わったすべてのアナリストにも感謝したいと思います。また、Mike Dockry、Josh Villanueva、Keith Knapp、およびこれらの業務に携わったインシデント対応者全員にも感謝の意を表します。

追加リソース

• CISAアラート(AA21-110A):パルス接続セキュアな脆弱性の活用
• Pulse Secure Advisory SA44101:Pulse Connect Secure/Pulse Policy Secure9.0RXで解決された複数の脆弱性
• Pulse Secure Advisory SA44784: Pulse Connect Secure 9.1R11.4で解決した複数の脆弱性
• Pulse Secure Customer FAQ KB44764:PCS Security Integrity Toolの拡張
• Pulse Secure KB44755:Pulse Connect Secure(PCS)Integrity Assurance

検知手法

次の表は、この更新情報に関連するマルウェア・ファミリーに対する具体的なFireEye製品の検知名称です。

プラットフォーム(s)	検知名称
Network Security Email Security Detection On Demand Malware File Scanning Malware File Storage Scanning	FE_APT_Tool_Linux32_BLOODMINE_1 FE_APT_Tool_Linux_BLOODMINE_1 FE_APT_Tool_Linux32_BLOODBANK_1 FE_APT_Tool_Linux_BLOODBANK_1 FE_APT_Tool_Linux32_CLEANPULSE_1 FE_APT_Tool_Linux_CLEANPULSE_1 FE_APT_Webshell_PL_RAPIDPULSE_1 FEC_APT_Webshell_PL_RAPIDPULSE_1
Endpoint Security	リアルタイム検知(IOC) BLOODBANK (ユーティリティ) BLOODMINE (ユーティリティ)
Helix	足がかりの設定 WINDOWS METHODOLOGY [User Account Created] WINDOWS METHODOLOGY [User Created - Net Command] 上位権限の取得 WINDOWS METHODOLOGY [Mimikatz Args] WINDOWS METHODOLOGY [Invoke-Mimikatz Powershell Artifacts] WINDOWS METHODOLOGY [LSASS Memory Access] WINDOWS METHODOLOGY [LSASS Generic Dump Activity] 内部調査 WINDOWS ANALYTICS [Recon Commands] 水平展開 WINDOWS ANALYTICS [Abnormal RDP Logon] OFFICE 365 ANALYTICS [Abnormal Logon]

Technical Annex

BLOODMINE

BLOODMINEは、Pulse Secure Connectのログ・ファイルを解析するユーティリティです。ログイン、Message ID、Web Requestに関連する情報を抽出し、関連するデータを別のファイルにコピーします。

サンプルでは、3つのコマンド・ライン引数を取ります。

1. 読み込みファイル名
2. 書き込みファイル名
3. タイムアウト間隔

入力ファイルを解析して、ログインステータスコードを調べます。

AUT31504

AUT24414

AUT22673

AUT22886

AUT23574

入力ファイルを解析して、WEB20174というWEB結果コードを探します。WEB結果コードを見つけると、ファイルの拡張子を探します。

.css

.jpg

.png

.gif

.ico

.js

.jsp

これらの文字列は、Webリクエストから収集されるデータの種類を示します。

Web login, IP: %s, User: %s, Realm: %s, Roles: %s, Browser: %s

Agent login, IP: %s, User: %s, Realm: %s, Roles: %s, Client: %s

Logout, IP: %s, User: %s, Realm: %s, Roles: %s

Session end, IP: %s, User: %s, Realm: %s, Roles: %s

New session, IP: %s, User: %s, Realm: %s, Roles: %s, New IP: %s

Host check, Policy: %s

WebRequest completed, IP: %s, User: %s, Realm: %s, Roles: %s, %s to %s://%s:%s/%s from %s

BLOODBANK

BLOODBANKは、2つのLMDB（イン・メモリ・データベース）ファイルを解析し、コマンド・プロンプトで出力ファイルが与えられるであろう、認証情報窃取ユーティリティです。BLOODBANKは、Single Sign On機能をサポートする正規のプロセスを利用し、メモリに短時間読み込まれた時に平文のパスワードを探します。

このユーティリティは、パスワード・ハッシュまたは平文のパスワードを含む以下の2つのファイルを解析します。

• /home/runtime/mtmp/lmdb/data0/data.mdb
• /home/runtime/mtmp/system

BLOODBANKは、コマンド・ライン・パラメータとして出力ファイルを想定しており、そうでない場合はファイル・オープン・エラーを表示します。このファイルには以下のような文字列が含まれており、これらを抽出してターゲットにしようとします。

PRIMARY

SECONDARY

remoteaddr

[email protected]

logicUR

logicTim

[email protected]

userAge

realm

Sourc

CLEANPULSE

CLEANPULSEは、特定のログ・イベントの発生を防止するために使用されるメモリ・パッチ・ユーティリティです。このユーティリティは、コマンド・ラインからターゲット・プロセスに2つの文字列を挿入し、元の実行ファイルの関数呼び出しを条件付きで回避するコードをパッチします。

File Name	File Type	Size	Compile Time
dsrlog	ELF.X86	13332

このユーティリティは、以下のようにコマンド・ラインから実行されることを想定しています。

drslog <pid> <code2_string> <code3_string> <command>

<pid>はメモリ上にパッチを当てるpidプロセスID、<code2_string>と<code3_string>は対象プロセスに書き込む2つの文字列、<command>はインストールの場合は'e'または'E'、アンインストールの場合は'u'または'U'のいずれかを指定します。

インストール時（'e'または'E'<command>を使用）に、<code2_string> <code3_string>のコマンド・ライン文字列がハードコードされたメモリ・アドレスでターゲット・プロセスに書き込まれ、少量のコードが書き込まれ、そのコード・スニペットへのジャンプ命令がターゲット・プロセスのメモリにパッチされます。追加されたコードは、引数が<code2_string> <code3_string>のいずれかの文字列に等しいかどうかをチェックし、等しければターゲット・プロセスの関数呼び出しをスキップします。

アンインストール時（'u'または'U'<コマンド>を使用）には、パッチのジャンプ位置は元の8バイトの命令のように上書きされ、2つの追加メモリ・バッファとコード・スニペットはゼロで上書きされているように見えます。

CLEANPULSEユーティリティは、被害者の環境に大きく依存します。CLEANPULSEには、パッチを当てる際の検証コード（コードを修正する前に、そのコードが想定されているかどうかを確認すること）が含まれておらず、パッチを当てるためのハードコードされたアドレスが含まれています。

パッチを当てる対象のコードは、89 4c 24 08 ff 52 04というバイト列です。これはパッチを当てたコードの最後のバイトで、アンインストールの「u」コマンドを実行したときに書き込まれる8バイトにあたります。

これらのバイトは、以下の2つの命令に対応しています。

.data:0804B138 89 4C 24 08                 mov     [esp+8], ecx

.data:0804B13C FF 52 04                       call    dword ptr [edx+4]

このバイト・シーケンスは、ユーティリティが期待するハードコードされたパッチ・アドレスdslogserverで発生します。近くの関数のステータスやエラー・メッセージから、実行ファイルのdslogserverはログ・イベント処理に関連していると思われ、CLEANPULSEユーティリティの目的は、特定のイベントがログに記録されないようにすることであると考えられます。

オープン・ソース・プロジェクトPUPYRATから引用されたと思われる参照されない関数がいくつかあります。これは、PUPYRATを単純なテンプレート・プロジェクトとして使用し、このオープン・ソース・コードを再利用したものと思われます。

RAPIDPULSE

RAPIDPULSEは、任意のファイルを読み取ることができるWebShellです。他のWebShellによく見られるように、RAPIDPULSEは正規のPulse Secureファイルに対する修正として存在しています。

WebShellは、キー名deviceid を持つ HTTP クエリ・パラメータを、値を持つ特定のキーと比較する正当なファイルのメイン・ルーチンを変更します。一致した場合は、RC4 キーを使用して、キー名hmacTime の HTTP クエリ・パラメータを復号します。この復号化された値はファイル名であり、サンプルはこれを開き、読み、同じキーでRC4暗号化し、base64エンコードして標準出力に書き込みます。アプライアンスは、HTTPリクエストに対するレスポンスとして標準出力をリダイレクトします。これは、攻撃者にとって、暗号化されたファイルのダウンロードとして機能します。

Integrity Checker Toolとその他の検証チェック

公開レポートでは、通常のシステム・アップグレード時に使用される正規のスクリプトであるcheck_integrity.shを操作する2つのコード・ファミリーについて指摘しています。この検証スクリプトは、意図したチェックを実行しないように、早期に終了するように攻撃者によって改変されていました。

Ivanti社によると、check_integrity.shによる検証は独立した検証機能であり、同社のウェブサイトで提供されているIntegrity Checker Tool (ICT)とは異なります。組織は、Pulse Secureデバイス上のファイルのハッシュがIvanti社の既知の良好なハッシュのリストと一致することを確認するために、オンラインのICTを使用することを推奨しています。なお、ICTはロールバック・パーティションのスキャンは行いません。

 

本ブログは、米FireEyeが公開した May 27, 2021 「Re-Checking Your Pulse: Updates on Chinese APT Actors Compromising Pulse Secure VPN Devices」（英語）の日本語抄訳版です。

日本語版：Reviewed by Noriko Yokokawa