c-aresライブラリを悪用したDLLサイドローディング攻撃が活発化―その手口と防御策

セキュリティ研究者たちが、オープンソースのc-aresライブラリに関連する正規の実行ファイルを悪用した、活発なマルウェアキャンペーンの詳細を公開しました。この攻撃は「DLLサイドローディング」と呼ばれる手法を使用し、署名付きの正規ファイルを利用することでセキュリティ製品の検知を回避しながら、情報窃取型マルウェアやリモートアクセス型トロイの木馬（RAT）を配布しています。本記事では、この攻撃の技術的な仕組み、配布されているマルウェアの種類、そして組織が取るべき防御策について詳しく解説します。

この記事のポイント

• 攻撃者は正規の署名付き実行ファイル（ahost.exe）と悪意あるDLL（libcares-2.dll）を組み合わせてセキュリティを回避
• Agent Tesla、Lumma Stealer、Remcos RATなど複数の商用マルウェアが配布されている
• 石油・ガス、輸出入業界の財務・調達部門が主な標的となっている
• 請求書や見積依頼書（RFQ）を装ったファイル名でソーシャルエンジニアリングを実行

DLLサイドローディングとは何か

DLLサイドローディングは、Windowsのダイナミックリンクライブラリ（DLL）の検索順序を悪用した攻撃手法です。Windowsアプリケーションが実行される際、必要なDLLファイルを特定の順序で検索します。まず実行ファイルと同じディレクトリを検索し、その後システムディレクトリやPATH環境変数で指定されたディレクトリを検索します。

攻撃者はこの仕組みを悪用し、正規の実行ファイルと同じディレクトリに悪意のあるDLLを配置します。実行ファイルが起動すると、正規のDLLではなく攻撃者が用意した悪意のあるDLLが読み込まれ、任意のコードが実行されてしまいます。特に正規の署名付き実行ファイルを使用する場合、セキュリティソフトウェアの署名ベースの検証を通過してしまうため、検知が非常に困難になります。

今回の攻撃キャンペーンの詳細

今回のキャンペーンでは、GitKrakenのデスクトップアプリケーションに含まれる署名付き実行ファイル「ahost.exe」が悪用されています。攻撃者は、このahost.exeと悪意のある「libcares-2.dll」をペアにして配布することで、セキュリティ製品による検知を回避しています。

c-aresライブラリは、非同期DNS要求を行うためのCライブラリで、多くの正規アプリケーションで使用されています。このライブラリのDLLファイル（libcares-2.dll）を悪意あるものに置き換えることで、正規のアプリケーションの起動時に攻撃者のコードが実行される仕組みです。

VirusTotalの分析によると、この手法を使用したサンプルは数十種類のファイル名で確認されており、「RFQ_NO_04958_LG2049 pdf.exe」「PO-069709-MQ02959-Order-S103509.exe」「Fatura da DHL.exe」（DHLの請求書）など、ビジネス文書を装ったファイル名が使用されています。これらのファイル名はアラビア語、スペイン語、ポルトガル語、ペルシア語、英語など複数の言語で確認されており、地理的に広範な標的を狙っていることが示唆されます。

配布されているマルウェアの種類

このキャンペーンでは、以下の商用マルウェアが配布されていることが確認されています。

情報窃取型マルウェア（Stealer）:
– Agent Tesla: キーロガー機能とスクリーンキャプチャ機能を持つ高機能なスパイウェア。ブラウザの保存パスワード、クリップボード内容、キーストロークを記録し、外部に送信します。
– Lumma Stealer: 暗号通貨ウォレット、ブラウザの認証情報、2FAコードを標的とする最新の情報窃取マルウェアです。
– Vidar Stealer: ブラウザデータ、暗号通貨ウォレット、2FAアプリケーションのデータを窃取します。
– CryptBot: パスワード、クッキー、クレジットカード情報を盗むマルウェアです。
– Formbook: キーロギング、スクリーンショット、クリップボード監視機能を持つ情報窃取マルウェアです。

リモートアクセス型トロイの木馬（RAT）:
– Remcos RAT: 感染端末の完全な遠隔制御を可能にする高機能RATです。
– Quasar RAT: オープンソースのRATで、キーロギング、リモートデスクトップ、ファイル管理機能を提供します。
– DCRat: 比較的新しいRATで、情報窃取とリモート制御機能を組み合わせています。
– XWorm: 多機能なマルウェアで、RAT機能に加えてDDoS攻撃やランサムウェア機能も持っています。

実践してみよう

重要: 以下のコマンドは、DLLサイドローディング攻撃の兆候を検出するためのものです。

# Windows環境でのDLLサイドローディング検出

# 1. 不審なDLLファイルの検索
Get-ChildItem -Path C:\Users -Recurse -Include "libcares*.dll" -ErrorAction SilentlyContinue | Select-Object FullName, Length, LastWriteTime

# 2. 署名付き実行ファイルと同じディレクトリにある未署名DLLの検出
Get-ChildItem -Path "C:\Users\*\Downloads" -Recurse -Include "*.exe" | ForEach-Object { Get-AuthenticodeSignature $_.FullName } | Where-Object {$_.Status -eq "Valid"} | Select-Object Path

# 3. 最近変更されたDLLファイルの確認
Get-ChildItem -Path C:\Users -Recurse -Include "*.dll" -ErrorAction SilentlyContinue | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} | Select-Object FullName, LastWriteTime

# Linux環境での関連プロセス監視（類似の手法がLinuxでも使われる場合）
# LD_PRELOADを使用した不審なライブラリ注入の検出
cat /proc/*/environ 2>/dev/null | tr '\0' '\n' | grep LD_PRELOAD

これらのコマンドを定期的に実行することで、DLLサイドローディング攻撃の早期発見に役立てることができます。

セキュリティTips

• Tip 1: アプリケーションホワイトリスティングを実装する – AppLockerやWindows Defender Application Controlを使用して、承認された実行ファイルのみが実行できるように制限しましょう。未知の場所からの実行ファイル起動をブロックすることで、DLLサイドローディング攻撃の成功率を大幅に低減できます。

• Tip 2: DLLの検索順序に関する設定を強化する – グループポリシーで「SafeDllSearchMode」を有効にし、カレントディレクトリよりもシステムディレクトリを優先してDLLを検索するよう設定しましょう。これにより、攻撃者がユーザーディレクトリに配置した悪意のあるDLLが読み込まれるリスクを軽減できます。

• Tip 3: メールセキュリティを強化する – 請求書や見積書を装った添付ファイルは、この攻撃キャンペーンの主要な侵入経路です。実行可能ファイル（.exe）や圧縮ファイル内の実行ファイルをブロックするメールフィルタリングルールを設定し、従業員への継続的なセキュリティ教育を実施しましょう。

• Tip 4: EDR（Endpoint Detection and Response）を活用する – 現代のEDRソリューションは、DLLサイドローディングのような高度な攻撃手法を検出する機能を備えています。署名付き実行ファイルから未署名のDLLが読み込まれるパターンを監視し、アラートを設定することで、攻撃を早期に発見できます。

まとめ

c-aresライブラリを悪用したDLLサイドローディング攻撃は、正規の署名付きファイルを利用することで従来のセキュリティ対策を巧みに回避する高度な手法です。石油・ガス業界や輸出入業界の財務・調達部門が主な標的となっており、請求書や見積依頼書を装ったフィッシングメールが侵入経路として使用されています。

組織は、アプリケーションホワイトリスティング、DLL検索順序の強化、メールセキュリティの向上、EDRの活用といった多層的な防御策を講じる必要があります。特に、ダウンロードフォルダや一時フォルダからの実行ファイル起動を制限することが、この種の攻撃に対する効果的な対策となります。攻撃者は常に新しい手法を開発し続けているため、セキュリティチームは最新の脅威情報を継続的に収集し、防御態勢を更新していくことが重要です。

📎 元記事: The Hacker News