UULoaderは、名前が示す通り、ローダー型マルウェアです。
目的の攻撃ツールを侵害先に持ち込むために使用されます。
どのような手口を使ってくるのでしょうか。
- 見た目はインストーラー
配布時の形式はmsi形式です。
msiはMicrosoft Installerです。
アプリケーションのインストーラーとして作成される形式です。
このマルウェアは正規アプリケーションの悪質なインストーラーの形で配布されています。 - 実行ファイルは悪意のないファイル
持ち込まれるバイナリ群の中には実行ファイルとDLLがあります。
この実行ファイルは悪意のないものとなっています。
しかし、DLLサイドローディングの脆弱性をもつものです。 - ファイルヘッダーの除去
通常、多くのOSでは、ファイルの内容を全部読み取ることなく内容が確認できるように、ファイルの先頭にファイルの種別を判別するためのヘッダーが書き込まれています。
PDFファイルなら「%PDF-」から始まる、などです。
これがあることでファイル名に依存することなく、ファイルの種別を判定することが可能となってしまいます。
しかし、このマルウェアの展開の中で使用される主要ファイルは、このファイルヘッダーが取り除かれた状態になっています。
このため、セキュリティ製品によってはスキャン対象から外れてしまうようなことも想定できます。
防御の回避機構として使用されている作戦なのでしょう。 - おとり機能
入手したときに偽装していたものがChromeのインストーラーだった場合、おとり機能にはChromeのインストーラーが用意されています。
マルウェアの展開を行う際に前面でこのインストーラーが動作しますので、実際に起こってしまっていることに気がつきにくい状況を作り出します。 - 難読化された悪意のあるファイル
持ち込む攻撃ツールはファイルに収めた状態で展開されるのですが、そのファイルは難読化されています。
そして、この攻撃ツールが正常に動作するために補わなければならない取り除かれていたファイルヘッダーを再構成するための仕組みも一緒に持ち込まれます。
このローダーが持ち込む攻撃ツールは、Gh0stRatなどのリモートアクセスツールや、Mimikatzなどの攻撃に使用できるツールです。
UULoaderは、DLLサイドローディングで動作する攻撃ツールのローダーという内容となっています。
このマルウェアそのものは新しいものですが、このように正規のインストーラーを偽装したファイルから脅威が開始されるという手法は新しいものではありません。
いろいろな気をつけるべきことがありますが、ファイルの入手元が正規のサイトであるのかということを注意することは重要と再認識します。
タイポスクワッティングサイトの増加は、今もなお続いています。
この流れに対抗する防御機構の導入が必要ということなのかもしれません。
Meet UULoader: An Emerging and Evasive Malicious Installer.
https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/
| この記事をシェア |
|
|---|
