Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
知られざるLOADERマルウェアの世界
Search
hackeT
August 16, 2023
Research
0
96
知られざるLOADERマルウェアの世界
hackeT
August 16, 2023
Tweet
Share
More Decks by hackeT
See All by hackeT
スレットハンティングについて知っておきたいこと
hacket
0
350
ランサムウェア攻撃について知っておきたいこと
hacket
0
180
APIセキュリティについて 知っておきたいこと
hacket
2
180
日曜フォレンジック ~デジタルカメラの写真と動画を復旧せよ~
hacket
0
62
msticpyの実践活用: 高度な脅威ハンティングを実現すべくSIEMとの虹の懸け橋となる
hacket
1
61
Practical msticpy use ~ rainbow bridge to SIEM for advanced threat hunting ~
hacket
0
130
フィッシング詐欺について知っておきたいこと
hacket
1
90
マルウェアの分類はどこまで必要とされているのか、いないのか
hacket
0
87
Other Decks in Research
See All in Research
Weekly AI Agents News! 12月号 プロダクト/ニュースのアーカイブ
masatoto
0
330
ドローンやICTを活用した持続可能なまちづくりに関する研究
nro2daisuke
0
150
書き手はどこを訪れたか? - 言語モデルで訪問行動を読み取る -
hiroki13
0
150
「熊本県内バス・電車無料デー」の振り返りとその後の展開@土木計画学SS:成功失敗事例に学ぶ公共交通運賃設定
trafficbrain
0
230
Tiaccoon: コンテナネットワークにおいて複数トランスポート方式で統一的なアクセス制御
hiroyaonoe
0
430
The many faces of AI and the role of mathematics
gpeyre
1
1.7k
ソフトウェア研究における脅威モデリング
laysakura
0
1.7k
Leveraging LLMs for Unsupervised Dense Retriever Ranking (SIGIR 2024)
kampersanda
2
310
A Segment Anything Model based weakly supervised learning method for crop mapping using Sentinel-2 time series images
satai
3
140
AWS 音声基盤モデル トーク解析AI MiiTelの音声処理について
ken57
0
140
チュートリアル:Mamba, Vision Mamba (Vim)
hf149
6
2.2k
PhD Defence: Considering Temporal and Contextual Information for Lexical Semantic Change Detection
a1da4
0
130
Featured
See All Featured
KATA
mclloyd
29
14k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Why Our Code Smells
bkeepers
PRO
336
57k
Bash Introduction
62gerente
611
210k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
134
33k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
The Invisible Side of Design
smashingmag
299
50k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Producing Creativity
orderedlist
PRO
344
40k
Unsuck your backbone
ammeep
669
57k
Faster Mobile Websites
deanohume
306
31k
Transcript
知られざるLOADERマルウェアの 世界 ISACA名古屋支部 理事 調査研究担当 長谷川 達也 2020.07 月例会LT ※発表内容は、個人の見解であり所属組織を代表するものではありません。
1
LOADER • LOADする者 ----------------------------------------- 何を? • 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの? •
知られてないだけで近年よくみます ---------------------- なんで? • 最近の流行 • まとめ 2
LOADER •「マルウェア」をLOAD • 進化とか変身の類で、機能(できること)を増やしていく • 進化 • 同一プロセス オンメモリ/バイナリファイル •
変身 • 別プロセス オンメモリ/実行ファイル • iexplorer.exe/svchost.exeなど別プロセスにコードインジェクション • ファイル形式でディスクに落とす 何をロードするの? 3
DOWNLOADER • ダウンローダー • よくメディアなどでも書かれているタイプ。 • メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマ ルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落ち てくる)
• 他 LOADERと呼ばれたマルウェアファイル • SmokeLoader GuLoader BuerLoader など • LOADERと名前がついていないけど、実際はLOADER経由のもの • 昨年のEmotet • Dridex TSCookie PLUGX など 他にもあるの? 4
名称 特徴 私的分類 Downloader 一般名称。〇〇のダウンローダーなどと言われる。 変身/ファイル SmokeLoader 2011年登場。機能拡張をし続けている。 進化/ファイル/オンメモリ BuerLoader
2019年登場。ロシア製。バンキングトロイなどを落としてくる 進化/オンメモリ GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用 変身/オンメモリ Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとして 大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど 進化/オンメモリ 変身/ファイル 5
知られてないだけで近年よくみます •初期ファイルとしての自分自身に悪性コードを多く持たない •従来のアンチウイルスソフトのパターンマッチングなどで検 知されにくい •ファイルサイズも小さめ •感染目的、正体を表さないステルス性能高め •解析妨害機能 多数 •ただし、目的の機能を外から持ってこなければならない なんで?
6
最近の流行 7 GuLoader コロナ関連のメールスパムなど https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/ https://www.lac.co.jp/lacwatch/report/20200611_002213.html
8 NetWire GuLoader Remcos AgentTesla Azorult ClipBanker バックドア スティーラー ランサムウェア
Hakbit Nanocore Formbook Lokibot
GULOADERの仕組み EXE • Microsoft Visual Basic 5.0/6.0 • シェルコードの展開 RegAsm.exe
( or Dropfile) • シェルコードがインジェクションされる • 潜伏ファイル、レジストリ作成挙動 • 解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug) RegAsm.exe ( or Dropfile) •プロセスホロウィング手法 •別マルウェアデータをダウンロード •XOR復号して実行 •別マルウェアがこのプロセス上で動く 9 例:azo_encrypted_XXXXXX.bin Azorult, etc
GULOADERの正体 • イタリアのCloudEyeというクリプターをビルダー として作成されている。ハッカーフォーラムで 宣伝されていた。 • Checkpointが2020年6月8日に暴露ブログ出したことにより、6月中旬ごろか らスパッと新しいGuLoaderをみかけなくなった。CloudEyeに規制がかかった 可能性が高い。 •
7月に入ってからも全くみかけない。 10 https://research.checkpoint.com/2020/guloader-cloudeye/ https://www.securitycode.eu/
11 CloudEye came back !?
まとめ • ローダーという名前は誤解を生みやすい 日本語の 「の」 がやっかい • MimikazのPowershellローダー • Mimikaz機能をもつPowershell?
MimikazをロードするPowershell? • Emotetのダウンローダー • Emotetをダウンロードする? Emotetが他のファイルをダウンロードする? • マルウェアの名前に振り回されず、感染が疑われる際はIOC(Indicator Of Compromise)で検索をかけよう。マルウェアファミリ名から検索しはじめるのは △ • MD5/SHA256 ファイルハッシュ • C&CサーバーのURL • 潜伏固執する際のレジストリキー、ファイル名やパス • Mutex 12
ご清聴ありがとうございました • もっと深い話はまた別の機会に! • さらなる学びの参考) • マルウェアファミリ名辞典 • https://malpedia.caad.fkie.fraunhofer.de/ •
マルウェアのトレンド増減 • https://any.run/malware-trends/ 13