知られざるLOADERマルウェアの世界

知られざるLOADERマルウェアの世界 ISACA名古屋支部理事調査研究担当長谷川達也 2020.07 月例会LT ※発表内容は、個人の見解であり所属組織を代表するものではありません。
1

LOADER • LOADする者 ----------------------------------------- 何を？ • 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの？ •
知られてないだけで近年よくみます ---------------------- なんで？ • 最近の流行 • まとめ 2

LOADER •「マルウェア」をLOAD • 進化とか変身の類で、機能（できること）を増やしていく • 進化 • 同一プロセスオンメモリ/バイナリファイル •
変身 • 別プロセスオンメモリ/実行ファイル • iexplorer.exe/svchost.exeなど別プロセスにコードインジェクション • ファイル形式でディスクに落とす何をロードするの？ 3

DOWNLOADER • ダウンローダー • よくメディアなどでも書かれているタイプ。 • メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落ちてくる)
• 他 LOADERと呼ばれたマルウェアファイル • SmokeLoader GuLoader BuerLoader など • LOADERと名前がついていないけど、実際はLOADER経由のもの • 昨年のEmotet • Dridex TSCookie PLUGX など他にもあるの？ 4

名称特徴私的分類 Downloader 一般名称。〇〇のダウンローダーなどと言われる。変身/ファイル SmokeLoader 2011年登場。機能拡張をし続けている。進化/ファイル/オンメモリ BuerLoader
2019年登場。ロシア製。バンキングトロイなどを落としてくる進化/オンメモリ GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用変身/オンメモリ Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとして大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど進化/オンメモリ変身/ファイル 5

知られてないだけで近年よくみます •初期ファイルとしての自分自身に悪性コードを多く持たない •従来のアンチウイルスソフトのパターンマッチングなどで検知されにくい •ファイルサイズも小さめ •感染目的、正体を表さないステルス性能高め •解析妨害機能多数 •ただし、目的の機能を外から持ってこなければならないなんで？
6

最近の流行 7 GuLoader コロナ関連のメールスパムなど https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/ https://www.lac.co.jp/lacwatch/report/20200611_002213.html

8 NetWire GuLoader Remcos AgentTesla Azorult ClipBanker バックドアスティーラーランサムウェア
Hakbit Nanocore Formbook Lokibot

GULOADERの仕組み EXE • Microsoft Visual Basic 5.0/6.0 • シェルコードの展開 RegAsm.exe
( or Dropfile) • シェルコードがインジェクションされる • 潜伏ファイル、レジストリ作成挙動 • 解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug) RegAsm.exe ( or Dropfile) •プロセスホロウィング手法 •別マルウェアデータをダウンロード •XOR復号して実行 •別マルウェアがこのプロセス上で動く 9 例:azo_encrypted_XXXXXX.bin Azorult, etc

GULOADERの正体 • イタリアのCloudEyeというクリプターをビルダーとして作成されている。ハッカーフォーラムで宣伝されていた。 • Checkpointが2020年6月8日に暴露ブログ出したことにより、6月中旬ごろからスパッと新しいGuLoaderをみかけなくなった。CloudEyeに規制がかかった可能性が高い。 •
7月に入ってからも全くみかけない。 10 https://research.checkpoint.com/2020/guloader-cloudeye/ https://www.securitycode.eu/

11 CloudEye came back !?

まとめ • ローダーという名前は誤解を生みやすい日本語の「の」がやっかい • MimikazのPowershellローダー • Mimikaz機能をもつPowershell？
MimikazをロードするPowershell？ • Emotetのダウンローダー • Emotetをダウンロードする？ Emotetが他のファイルをダウンロードする？ • マルウェアの名前に振り回されず、感染が疑われる際はIOC（Indicator Of Compromise）で検索をかけよう。マルウェアファミリ名から検索しはじめるのは △ • MD5/SHA256 ファイルハッシュ • C&CサーバーのURL • 潜伏固執する際のレジストリキー、ファイル名やパス • Mutex 12

ご清聴ありがとうございました • もっと深い話はまた別の機会に！ • さらなる学びの参考) • マルウェアファミリ名辞典 • https://malpedia.caad.fkie.fraunhofer.de/ •
マルウェアのトレンド増減 • https://any.run/malware-trends/ 13

知られざるLOADERマルウェアの世界

知られざるLOADERマルウェアの世界

hackeT

More Decks by hackeT

Other Decks in Research

Featured

Transcript

知られざるLOADERマルウェアの世界 ISACA名古屋支部理事調査研究担当長谷川達也 2020.07 月例会LT ※発表内容は、個人の見解であり所属組織を代表するものではありません。

LOADER • LOADする者 ----------------------------------------- 何を？ • 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの？ •

LOADER •「マルウェア」をLOAD • 進化とか変身の類で、機能（できること）を増やしていく • 進化 • 同一プロセスオンメモリ/バイナリファイル •

名称特徴私的分類 Downloader 一般名称。〇〇のダウンローダーなどと言われる。変身/ファイル SmokeLoader 2011年登場。機能拡張をし続けている。進化/ファイル/オンメモリ BuerLoader

最近の流行 7 GuLoader コロナ関連のメールスパムなど https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/ https://www.lac.co.jp/lacwatch/report/20200611_002213.html

8 NetWire GuLoader Remcos AgentTesla Azorult ClipBanker バックドアスティーラーランサムウェア

GULOADERの仕組み EXE • Microsoft Visual Basic 5.0/6.0 • シェルコードの展開 RegAsm.exe

11 CloudEye came back !?

まとめ • ローダーという名前は誤解を生みやすい日本語の「の」がやっかい • MimikazのPowershellローダー • Mimikaz機能をもつPowershell？

ご清聴ありがとうございました • もっと深い話はまた別の機会に！ • さらなる学びの参考) • マルウェアファミリ名辞典 • https://malpedia.caad.fkie.fraunhofer.de/ •