Slapdash Safeguards

にわか仕込みのセキュリティ

Blue Team Labs Online - ClickTrace Writeup

by k4b1g0n BlueTeamLabsOnline DFIR

Blue Team Labs Online - ClickTrace Writeup

🔗 https://blueteamlabs.online/home/investigation/clicktrace-ef7e5baa36

シナリオ

不正な広告クリックを起点に、悪意のあるインストーラーとVPNで難読化されたC2チャネルを通じてシステムが完全に侵害される一連のキャンペーンへの対応。SOCが疑わしい外部IP通信のアラートを検知し、即座にマシンをネットワーク隔離してインシデントレスポンスのトリアージを実施。迅速な封じ込めにより、データ流出およびランサムウェア展開という後段の攻撃を未然に防止した。

提供されたArtefactsはCドライブ直下をトリアージしたもの。

Q1) What is the malicious URL that initiated the infection chain? (Provide the full URL) (5 points)

BrowsingHistoryView というEZtoolsを使用してEdgeの閲覧履歴を解析した。

履歴を確認すると、不審なIPアドレスへリダイレクトされたと思われるURLを発見。シナリオに「不正な広告クリック」とあり、Outlookからアクセスしている点からも感染の起点と推定した。

スクリーンショット 2026-05-26 215108

Answer: https://tinyurl.com/57ecjnrm

Q2) What is the MITRE ATT&CK technique ID associated with the method used in the Execution Phase? (5 points)

URLへのアクセス後に表示されたページのタイトルに「Checking if you are human」という文言があり、これは ClickFix であると推定。

MITREを参照すると、ユーザーが騙されて悪意のあるファイルを実行するケースは T1204.002 - User Execution: Malicious File に該当する。

Answer: T1204.002

Q3) What is the SHA-256 hash of the malicious installer executed in memory? (5 points)

Applicationログを確認すると、インストーラーをダウンロードするURLが記録されていた。

スクリーンショット 2026-05-30 141311

しかし、当該インストーラーはファイルレス実行(メモリ上で直接実行)されているためAmcacheなどの実行履歴には記録が残らない。またURLはすでにリンク切れのため、ファイルの直接取得も困難だった。そのため、邪道かもしれないがvirustotalでgt.msiに関連する情報を探し、そこからハッシュを取得した。 https://www.virustotal.com/gui/file/cbeaf0c9f54d0d8b31a292a704a1ec53a3e37fca197cfff76f1d578b156d81de/detection

Answer: cbeaf0c9f54d0d8b31a292a704a1ec53a3e37fca197cfff76f1d578b156d81de

Q4) The installer dropped additional malicious files in two locations. Provide the full file path of the first observed drop location. (5 points)

ファイルシステムジャーナルを時系列で解析した。インストーラーフォルダの動作後、.\Users\Administrator\AppData\Local\Amnesia 配下にファイルが次々と作成されているのを確認できた。

スクリーンショット 2026-05-30 145630

Answer: C:\Users\Administrator\AppData\Local\Amnesia

Q5) The installer employed a known Indicator Removal technique with the dropped files. What is the corresponding MITRE ATT&CK technique ID? (6 points)

痕跡隠蔽の観点から以下の候補を検討した。

MITRE ID 技術名 内容
T1070.004 File Deletion ファイルを自己削除
T1070.006 Timestomping タイムスタンプを改ざん
T1070.001 Clear Event Logs イベントログを消去

ジャーナルからファイル削除の痕跡は確認できなかったため、タイムスタンプ改ざんを疑い、MFTを調査した。

MFTには各ファイルの属性として $STANDARD_INFORMATION(SI)と $FILE_NAME(FN)の2種類のタイムスタンプが存在する。通常この2つは一致しているが、タイムストンピングが行われた場合はSIのみが書き換えられるため SI < FN というずれが生じる。

Amnesia 配下のファイルを確認したところ、SI Created < FN Created のずれが生じており、タイムストンピングが実施されていると判断した。

スクリーンショット 2026-05-30 150534

Answer: T1070.006

Q6) What is the filename of the dropped executable responsible for establishing TCP/UDP connections and performing process mapping to the C2 server? (6 points)

Q4で特定した Amnesia 配下の実行ファイルを回答したが不正解だった。Q4の設問に「2か所にドロップした」とあることから、もう一つのドロップ先を調査した。

調査の結果、2つ目のドロップ場所として nn_auth フォルダが判明した。その中に tcpvcon.exe が存在した。

スクリーンショット 2026-05-30 151136

tcpvcon.exe はSysinternalsの正規ツール(TCPViewのCLI版)であり、以下の機能を持つ。

  • TCP/UDP接続の一覧表示
  • プロセスとネットワーク接続のマッピング

攻撃者はこの正規ツールをLiving off the Land的に悪用し、C2サーバーへの接続確認やプロセスマッピングに利用したと考えられる。

Answer: tcpvcon.exe

Q7) The attacker abused a legitimate executable to establish VPN-obfuscated C2 traffic. Identify the executable name responsible for initiating the C2 connection? (6 points)

Engine-switch.exe がClickFixで使われるマルウェアであることを確認。静的解析では限界があったため、実際に実行してProcmonで動的解析を行った。

tcpvcon.exe が作成された後、EtherHa.exe というファイルが作成されることが確認できた。ハッシュをVirusTotalで検索すると、360ScreenCapture.exe という正規の実行ファイルとして識別された。この実行ファイルはVPN通信機能を持っており、C2通信の難読化に悪用されていたと推測。

スクリーンショット 2026-05-30 152256

スクリーンショット 2026-05-30 153031

Answer: EtherHa.exe

Q8) Identify the public IP address of the VPN-associated C2 server? (6 points)

Procmonなどのアーティファクトを調査したが、C2のIPアドレスを直接確認できなかった。そこで Engine-switch.exe を含む本マルウェアに関するOSINT調査を実施し、Joe Sandboxのレポートから関連するIOCを確認した。

参照: https://www.joesandbox.com/analysis/1790836#iocs

Answer: 217.138.194.181

Q9) The malware implemented a persistence mechanism to maintain access. Provide the full path of the file responsible for persistence? (6 points)

永続化の手法としてスケジュールタスクを最初に疑った。C:\Windows\System32\Tasks フォルダを確認すると、今回の感染時刻と一致するタイムスタンプのタスクファイルを発見した。

ファイルをメモ帳で開くと、<Exec> セクションに Engine-switch.exe を実行するよう定義されており、起動のたびにマルウェアが実行される永続化の仕組みが確認できた。

スクリーンショット 2026-05-31 144233

Answer: C:\Windows\System32\Tasks\CtrTIsVT1

まとめ

今回はClickFixという比較的新しいソーシャルエンジニアリング手法を起点とした感染チェーン全体を追跡するラボだった。BrowsingHistoryViewによるブラウザ履歴解析、MFTのタイムスタンプ差分によるタイムストンピング検出、Procmonを用いた動的解析によるドロップファイルの追跡など、複数の手法を組み合わせたフォレンジック調査を実践できた。正規ツール(tcpvcon.exe・EtherHa.exe)を悪用するLiving off the Land戦術への対処や、ファイルレス実行によるAmcache回避なども理解を深める良い機会となった。