AppDomainManager Injectionを悪用したマルウェアによる攻撃 について By NTTセキュリティ・ジャパン株式会社 Published: 2024-08-22 · Archived: 2026-04-05 15:01:10 UTC By Rintaro Koike Published August 22, 2024 | Japanese はじめに 2024年7月頃から、AppDomainManager Injectionを使用してマルウェアを実行する攻撃を観測していま す。AppDomainManager Injectionは2017年に概念が公表され、その後PoCや解説ブログ[1][2][3][4][5]が公 開されているテクニックです。他方、AppDomainManager Injectionを実際に悪用した攻撃事例はほとん ど報告されておらず、一般的にあまり知られていません。 本稿では、実際にAppDomainManager Injectionの悪用が確認された攻撃について、その攻撃フローやテ クニックを紹介します。 なお、本攻撃事例は国家支援の攻撃グループの関与が推察され、今後もこうした攻撃手法が拡大して いくことが懸念されます。こうしたことを踏まえ、本稿はAppDomainManager Injectionのメカニズムと 危険性を把握し、適切な対策を講じるための一助となることを目指しています。 攻撃フロー 今回観測された攻撃は、攻撃者が用意したWebサイトからZIPファイルをダウンロードするパターン と、スピアフィッシングメールでZIPファイルを添付するパターンの2種類が存在します。いずれの場 合も、ZIPファイルの中には悪性なMSCファイルが含まれており、ユーザがそれを開くことで攻撃が進 行します。 https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 1 of 6 MSCファイルを悪用した攻撃事例については過去にブログを公開[6]していますが、現在でも活発に悪 用が継続しています。特に、GrimResourceと呼ばれる手法[7]が使用され始めており、今回の攻撃も GrimResourceを使用しています。 従来の悪性MSCファイルの場合、攻撃者はMSCファイル内のリンクをユーザにクリックさせる必要が ありました。しかし、GrimResourceはそのステップを省略し、ユーザがMSCファイルを開いただけで 悪性挙動を実現することができます。 以前のブログ[6]でも紹介したとおり、MSCファイルはエクスプローラで表示した際のアイコンを自由 に設定することができます。悪性MSCファイルの多くは、PDFファイルやMicrosoft Wordファイルのよ うに偽装しており、一見するとそれがMSCファイルであるかどうか判断することが難しくなっていま す。今回観測された悪性MSCファイルは、Windowsの証明書ファイルやPDFファイルのようなアイコン が設定されていました。 https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 2 of 6 悪性MSCファイルは GrimResourceを用いてapds.dllを悪用し、埋め込まれたJavaScriptコードを実行しま す。 多少の難読化は施されていますが、最終的には以下のようなVBScriptコードが実行されます。これによ って、4つのファイルをダウンロードして保存し、oncesvc.exeを実行します。このときダウンロード・ 実行されたoncesvc.exeはファイル名だけが変更されたMicrosoftの正規のdfsvc.exeです。 AppDomainManager Injection oncesvc.exe は何ら細工が施されておらず、Microsoftの署名が付与された正規のバイナリです。ただ し、同じディレクトリにEXEファイルと同名のconfigファイル oncesvc.exe.config が配置されています。 このexe.configファイルは一般的に構成ファイル[8]と呼ばれており、.NET Frameworkにおいてアプリケ ーションの動作を制御するための情報が記されています。 MSCファイルによって作成されたexe.configには、以下のように dependentAssembly という設定が記述さ れています。これはアプリケーションに予め記述したバージョンとは異なるバージョンのアセンブリ https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 3 of 6 をロードするためのバージョンリダイレクトと呼ばれている機能[9]です。攻撃者はこれを使って、外 部のDLLファイルを正規のEXEファイルにロードさせます。 外部から読み込まれたDLLファイルには、AppDomainManagerクラスを継承したクラスが定義されてお り、この中のInitializeNewDomain関数が呼び出されます。攻撃者はInitializeNewDomain関数から悪意の ある挙動を実行することが可能です。 .NET FrameworkのバージョンリダイレクトとAppDomainManagerクラスを使って悪性挙動を実現する手 法はAppDomainManager Injectionと呼ばれており、レッドチームやペネトレーションテストに従事する 人たちの間では知られているテクニックです。しかしながら、実際に攻撃で悪用された事例は極めて 稀で、一般的にブルーチームではほとんど知られていません。 この手法によって実行されたDLLファイルは、ロードされたEXEファイルがプロセス主体となるため、 悪性挙動はそのEXEファイルから実行されているように見えます。 また、AppDomainManager Injectionは.NET Framework製の幅広いアプリケーションにおいて有効で、そ の範囲は極めて膨大です。AppDomainManager Injectionが可能なファイルの中で、Microsoft社の電子署 名が付与されたアプリケーションのリストが公開[10]されており、その膨大さが垣間見えます。こうし たアプリケーションは基本的にデフォルトのWindows環境に存在しているため、攻撃者はexe.configフ ァイルを準備するだけでAppDomainManager Injectionを行うことができます。 現在マルウェアの実行手法としてはDLL Side-Loadingが一般的ですが、AppDomainManager Injectionは DLL Side-Loadingよりも遥かに容易で、今後悪用が増加する可能性が懸念されます。 攻撃者の帰属 https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 4 of 6 今回の攻撃キャンペーンでは、最終的にCobaltStrikeビーコンを使用して標的環境の侵害を行っている ことを確認しています。その際に使用されたローダや攻撃者インフラの特徴を調査した結果、APT41に 類似した手法であると推定されます。 関連した攻撃を調査したところ、この攻撃者は台湾の政府機関、フィリピンの軍、ベトナムのエネル ギー系の組織などを標的としていた可能性があります。これらの国々はいずれも南シナ海に面してい ます。南シナ海においては、昨今関係国による衝突が相次ぎ、近隣諸国の緊張が高まっていることが 報告されています[11]。 また、類似した攻撃事例についてAhnLab社からブログ[12]が公開されています。その攻撃事例では日 本の防衛力に関するハングル語のデコイ文書が使用されていたと報告しています。こうしたことか ら、今後標的が拡大していく可能性が考えられます。 おわりに 本稿では、AppDomainManager Injectionを使用してマルウェアを実行する攻撃について紹介しました。 現時点において、AppDomainManager Injectionはあまり広く知られていない攻撃手法です。しかしなが ら、既に海外では、国家が支援する攻撃グループによって悪用されていることが推定されています。 本手法は、現時点において、広く知られていないことから、攻撃者にとって一方的に有利な状況であ ることは明らかです。このため、今後、こうした攻撃が拡大していく可能性が懸念されます。 また、従来のようなDLL Side-Loadingよりも検知が困難なため、本手法による攻撃を自組織で検知でき るようにすることを推奨します。 IoC krislab[.]site msn-microsoft[.]org s2cloud-amazon[.]com s3bucket-azure[.]online s3cloud-azure[.]com s3-microsoft[.]com trendmicrotech[.]com visualstudio-microsoft[.]com xtools[.]lol 参考文献 [1] MITRE ATT&CK, "Hijack Execution Flow: AppDomainManager", https://attack.mitre.org/techniques/T1574/014/ [2] Pentest Laboratories, "AppDomainManager Injection and Detection", https://pentestlaboratories.com/2020/05/26/appdomainmanager-injection-and-detection/ [3] GitHub, "TheWover/GhostLoader", https://github.com/TheWover/GhostLoader [4] Rapid7, "AppDomain Manager Injection: New Techniques For Red https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 5 of 6 Teams", https://www.rapid7.com/blog/post/2023/05/05/appdomain-manager-injection-new-techniques-for-red-teams/ [5] Purple Research, "Let Me Manage Your AppDomain", https://ipslav.github.io/2023-12-12-let-me-manage-your-appdomain/ [6] NTTセキュリティ・ジャパン, "Operation ControlPlug: MSCファイルを使った標的型攻撃キャンペー ン", https://jp.security.ntt/tech_blog/controlplug [7] Elastic, "GrimResource - Microsoft Management Console for initial access and evasion", https://www.elastic.co/security-labs/grimresource [8] Microsoft, "Configure apps by using configuration files", https://learn.microsoft.com/en-us/dotnet/framework/configure-apps/ [9] Microsoft, "Redirecting assembly versions", https://learn.microsoft.com/en-us/dotnet/framework/configure-apps/redirect-assembly-versions [10] GitHub, "Mr-Un1k0d3r/.NetConfigLoader", https://github.com/Mr-Un1k0d3r/.NetConfigLoader/blob/main/signed.txt [11] 外務省, "最近の南シナ海における緊張の高まりについ て", https://www.mofa.go.jp/mofaj/press/release/pressit_000001_00796.html [12] AhnLab, "아마존서비스를악용하는 MSC파일유포중", https://asec.ahnlab.com/ko/82554/ Source: https://jp.security.ntt/tech_blog/appdomainmanager-injection https://jp.security.ntt/tech_blog/appdomainmanager-injection Page 6 of 6