Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
知られざるLOADERマルウェアの世界
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
hackeT
August 16, 2023
Research
130
0
Share
知られざるLOADERマルウェアの世界
hackeT
August 16, 2023
More Decks by hackeT
See All by hackeT
ポートスキャナー入門: 正しく判断するために知っておきたいこと
hacket
0
26
OPSEC (Operations Security) について 知っておきたいこと
hacket
0
220
スレットハンティングについて知っておきたいこと
hacket
0
700
ランサムウェア攻撃について知っておきたいこと
hacket
0
260
APIセキュリティについて 知っておきたいこと
hacket
2
230
日曜フォレンジック ~デジタルカメラの写真と動画を復旧せよ~
hacket
0
78
msticpyの実践活用: 高度な脅威ハンティングを実現すべくSIEMとの虹の懸け橋となる
hacket
1
93
Practical msticpy use ~ rainbow bridge to SIEM for advanced threat hunting ~
hacket
0
180
フィッシング詐欺について知っておきたいこと
hacket
1
140
Other Decks in Research
See All in Research
2026 東京科学大 情報通信系 研究室紹介 (大岡山)
icttitech
0
3.7k
ペットのかわいい瞬間を撮影する オートシャッターAIアプリへの スマートラベリングの適用
mssmkmr
0
510
2026年3月1日(日)福島「除染土」の公共利用をかんがえる
atsukomasano2026
0
620
Can We Teach Logical Reasoning to LLMs? – An Approach Using Synthetic Corpora (AAAI 2026 bridge keynote)
morishtr
1
250
FUSE-RSVLM: Feature Fusion Vision-Language Model for Remote Sensing
satai
3
840
「AIとWhyを深堀る」をAIと深堀る
iflection
0
460
AIを叩き台として、 「検証」から「共創」へと進化するリサーチ
mela_dayo
0
280
定数整数除算・剰余算最適化再考
herumi
1
120
「なんとなく」の顧客理解から脱却する ──顧客の解像度を武器にするインサイトマネジメント
tajima_kaho
10
7.6k
Φ-Sat-2のAutoEncoderによる情報圧縮系論文
satai
4
740
Using our influence and power for patient safety
helenbevan
0
360
ScoreMatchingRiesz for Automatic Debiased Machine Learning and Policy Path Estimation with an Application to Japanese Monetary Policy Evaluation
masakat0
0
290
Featured
See All Featured
Ethics towards AI in product and experience design
skipperchong
2
300
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
190
The browser strikes back
jonoalderson
0
1.1k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
830
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
400
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
430
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
420
How to train your dragon (web standard)
notwaldorf
97
6.7k
Become a Pro
speakerdeck
PRO
31
6k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4.1k
Transcript
知られざるLOADERマルウェアの 世界 ISACA名古屋支部 理事 調査研究担当 長谷川 達也 2020.07 月例会LT ※発表内容は、個人の見解であり所属組織を代表するものではありません。
1
LOADER • LOADする者 ----------------------------------------- 何を? • 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの? •
知られてないだけで近年よくみます ---------------------- なんで? • 最近の流行 • まとめ 2
LOADER •「マルウェア」をLOAD • 進化とか変身の類で、機能(できること)を増やしていく • 進化 • 同一プロセス オンメモリ/バイナリファイル •
変身 • 別プロセス オンメモリ/実行ファイル • iexplorer.exe/svchost.exeなど別プロセスにコードインジェクション • ファイル形式でディスクに落とす 何をロードするの? 3
DOWNLOADER • ダウンローダー • よくメディアなどでも書かれているタイプ。 • メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマ ルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落ち てくる)
• 他 LOADERと呼ばれたマルウェアファイル • SmokeLoader GuLoader BuerLoader など • LOADERと名前がついていないけど、実際はLOADER経由のもの • 昨年のEmotet • Dridex TSCookie PLUGX など 他にもあるの? 4
名称 特徴 私的分類 Downloader 一般名称。〇〇のダウンローダーなどと言われる。 変身/ファイル SmokeLoader 2011年登場。機能拡張をし続けている。 進化/ファイル/オンメモリ BuerLoader
2019年登場。ロシア製。バンキングトロイなどを落としてくる 進化/オンメモリ GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用 変身/オンメモリ Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとして 大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど 進化/オンメモリ 変身/ファイル 5
知られてないだけで近年よくみます •初期ファイルとしての自分自身に悪性コードを多く持たない •従来のアンチウイルスソフトのパターンマッチングなどで検 知されにくい •ファイルサイズも小さめ •感染目的、正体を表さないステルス性能高め •解析妨害機能 多数 •ただし、目的の機能を外から持ってこなければならない なんで?
6
最近の流行 7 GuLoader コロナ関連のメールスパムなど https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/ https://www.lac.co.jp/lacwatch/report/20200611_002213.html
8 NetWire GuLoader Remcos AgentTesla Azorult ClipBanker バックドア スティーラー ランサムウェア
Hakbit Nanocore Formbook Lokibot
GULOADERの仕組み EXE • Microsoft Visual Basic 5.0/6.0 • シェルコードの展開 RegAsm.exe
( or Dropfile) • シェルコードがインジェクションされる • 潜伏ファイル、レジストリ作成挙動 • 解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug) RegAsm.exe ( or Dropfile) •プロセスホロウィング手法 •別マルウェアデータをダウンロード •XOR復号して実行 •別マルウェアがこのプロセス上で動く 9 例:azo_encrypted_XXXXXX.bin Azorult, etc
GULOADERの正体 • イタリアのCloudEyeというクリプターをビルダー として作成されている。ハッカーフォーラムで 宣伝されていた。 • Checkpointが2020年6月8日に暴露ブログ出したことにより、6月中旬ごろか らスパッと新しいGuLoaderをみかけなくなった。CloudEyeに規制がかかった 可能性が高い。 •
7月に入ってからも全くみかけない。 10 https://research.checkpoint.com/2020/guloader-cloudeye/ https://www.securitycode.eu/
11 CloudEye came back !?
まとめ • ローダーという名前は誤解を生みやすい 日本語の 「の」 がやっかい • MimikazのPowershellローダー • Mimikaz機能をもつPowershell?
MimikazをロードするPowershell? • Emotetのダウンローダー • Emotetをダウンロードする? Emotetが他のファイルをダウンロードする? • マルウェアの名前に振り回されず、感染が疑われる際はIOC(Indicator Of Compromise)で検索をかけよう。マルウェアファミリ名から検索しはじめるのは △ • MD5/SHA256 ファイルハッシュ • C&CサーバーのURL • 潜伏固執する際のレジストリキー、ファイル名やパス • Mutex 12
ご清聴ありがとうございました • もっと深い話はまた別の機会に! • さらなる学びの参考) • マルウェアファミリ名辞典 • https://malpedia.caad.fkie.fraunhofer.de/ •
マルウェアのトレンド増減 • https://any.run/malware-trends/ 13
hacket
icttitech
mssmkmr
atsukomasano2026
morishtr
.png){kind=avatar}
satai
.jpg){kind=avatar}
iflection
mela_dayo
herumi
tajima_kaho
helenbevan
masakat0
skipperchong
jdejongh
jonoalderson
frankvandijk
addyosmani
inesmontani
marktimemedia
mfonobong
notwaldorf
speakerdeck
aleyda
productmarketing
