318 Views
July 23, 23
スライド概要
LOADERとは、マルウェアをLOADするものであり、DOWNLOADERとは異なる呼称である。知られていないだけで近年よく目にする。LOADERには進化や変身の類で機能を増やすものがあり、同一プロセス・別プロセス・ファイル形式でディスクに落とす等の多様な形態がある。最近の流行としては2020年に登場したGuLoaderであり、コロナ関連のメールスパムなど経由で拡散している。LOADERは自己変身能力が高く、悪性コードを持たないため、従来のアンチウイルスソフトの検知率が低いことが特徴的であり、解析妨害機能を多数備えている。ただし、目的の機能を外から持ってこなければならない。
おすすめタグ:Malware,Loader,GuLoader,Cybersecurity,Virus
Security Engineer & Researcher https://www.hacket-engine.com
知られざるLOADERマルウェアの 世界 ISACA名古屋支部 理事 調査研究担当 2020.07 月例会LT 長谷川 達也 ※発表内容は、個人の見解であり所属組織を代表するものではありません。 1
LOADER • LOADする者 ----------------------------------------- 何を? • 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの? • 知られてないだけで近年よくみます ---------------------- なんで? • 最近の流行 • まとめ 2
何をロードするの? LOADER • 「マルウェア」をLOAD • 進化とか変身の類で、機能(できること)を増やしていく • 進化 • 同一プロセス オンメモリ/バイナリファイル • 変身 • 別プロセス オンメモリ/実行ファイル • iexplorer.exe/svchost.exeなど別プロセスにコードインジェクション • ファイル形式でディスクに落とす 3
他にもあるの? DOWNLOADER • ダウンローダー • よくメディアなどでも書かれているタイプ。 • メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマ ルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落ち てくる) • 他 LOADERと呼ばれたマルウェアファイル • SmokeLoader GuLoader BuerLoader など • LOADERと名前がついていないけど、実際はLOADER経由のもの • 昨年のEmotet • Dridex TSCookie PLUGX など 4
名称 特徴 私的分類 Downloader 一般名称。〇〇のダウンローダーなどと言われる。 変身/ファイル SmokeLoader 2011年登場。機能拡張をし続けている。 進化/ファイル/オンメモリ BuerLoader 2019年登場。ロシア製。バンキングトロイなどを落としてくる 進化/オンメモリ GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用 変身/オンメモリ Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとして 進化/オンメモリ 大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど 変身/ファイル 5
なんで? 知られてないだけで近年よくみます • 初期ファイルとしての自分自身に悪性コードを多く持たない • 従来のアンチウイルスソフトのパターンマッチングなどで検 知されにくい • ファイルサイズも小さめ • 感染目的、正体を表さないステルス性能高め • 解析妨害機能 多数 • ただし、目的の機能を外から持ってこなければならない 6
最近の流行 GuLoader コロナ関連のメールスパムなど https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/ https://www.lac.co.jp/lacwatch/report/20200611_002213.html 7
バックドア NetWire ランサムウェア Remcos Hakbit Lokibot Nanocore GuLoader Formbook AgentTesla Azorult ClipBanker 8 スティーラー
GULOADERの仕組み 例:azo_encrypted_XXXXXX.bin EXE • Microsoft Visual Basic 5.0/6.0 • シェルコードの展開 RegAsm.exe ( or Dropfile) • シェルコードがインジェクションされる • 潜伏ファイル、レジストリ作成挙動 • 解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug) RegAsm.exe ( or Dropfile) Azorult, etc •プロセスホロウィング手法 •別マルウェアデータをダウンロード •XOR復号して実行 •別マルウェアがこのプロセス上で動く 9
GULOADERの正体 • イタリアのCloudEyeというクリプターをビルダー として作成されている。ハッカーフォーラムで 宣伝されていた。 • Checkpointが2020年6月8日に暴露ブログ出したことにより、6月中旬ごろか らスパッと新しいGuLoaderをみかけなくなった。CloudEyeに規制がかかった 可能性が高い。 • 7月に入ってからも全くみかけない。 https://research.checkpoint.com/2020/guloader-cloudeye/ https://www.securitycode.eu/ 10
CloudEye came back !? 11
まとめ • ローダーという名前は誤解を生みやすい 日本語の 「の」 がやっかい • MimikazのPowershellローダー • Mimikaz機能をもつPowershell? MimikazをロードするPowershell? • Emotetのダウンローダー • Emotetをダウンロードする? Emotetが他のファイルをダウンロードする? • マルウェアの名前に振り回されず、感染が疑われる際はIOC(Indicator Of Compromise)で検索をかけよう。マルウェアファミリ名から検索しはじめるのは △ • MD5/SHA256 ファイルハッシュ • C&CサーバーのURL 12 • 潜伏固執する際のレジストリキー、ファイル名やパス • Mutex
ご清聴ありがとうございました • もっと深い話はまた別の機会に! • さらなる学びの参考) • マルウェアファミリ名辞典 • https://malpedia.caad.fkie.fraunhofer.de/ • マルウェアのトレンド増減 • https://any.run/malware-trends/ 13