PDFSIDERは情報収集とバックドアの設置を実施するマルウェアです。
最近確認されたマルウェアなのですが、これは大きく展開されているというよりも一部の限られた領域でのみ活動しているものだと考えられています。
内容を見てみましょう。
- はじまりはメール
多くのマルウェアがそうであるように、PDFSIDERもはじまりはメールです。
ZIPアーカイブを添付したメールとして作成され、被害者候補に届けられます。 - 添付の中身は正規アプリケーション
フィッシングメールに添付されたZIPファイルの中にはいくつかのファイルが含まれます。
EXEファイル、DLLファイルなどです。
EXEは現時点でも有効な署名を持つ正規のアプリケーションです。
このアプリケーションには脆弱性があり、DLLサイドローディングが可能です。
脅威アクターはこのアプリケーションと一緒に、通常なら別のPATHから読み込まれるはずのファイル名を持つ悪意ある内容のDLLをZIPに含めて配布しているため、このEXEを実行すると脅威アクターの用意したDLLがメモリに読み込まれます。 - インメモリ実行
PDFSIDERは、読み込まれるとメモリ内で実行を進めます。
動作の痕跡をファイルの形式で保存しませんので、従来のセキュリティ製品での検出は困難です。 - 情報収集
動作を開始したPDFSIDERは、被害者のシステムの情報を収集し、攻撃者に送信します。
収集動作にはCMD.exeを使ったコマンド実行を行いますが、このCMD.exeに対してコンソール表示を無効化するように指示するコマンドオプションが指定されているため、画面には何も表示されません。 - 暗号化された情報
PDFSIDERは、処理するすべての受信データと送信データをメモリ内で暗号化・復号化するように動作します。
暗号化処理にはAES-256/GCMが使用されます。
AES-256/GCMは、AES(Advanced Encryption Standard)という強力な共通鍵暗号方式を、GCM(Galois/Counter Mode)という暗号利用モードで実装し、さらに256ビットの鍵長を使った「認証付き暗号化(AEAD)」方式です。
暗号化と同時にデータの改ざんを検知する認証タグを生成するため、機密性と完全性を高いレベルで同時に保護でき、高速で安全なデータ保護に広く使われています。 - アンチVMとデバッガー検出
PDFSIDERは、アンチVM機構を搭載しています。
システムの合計RAM容量を評価し、RAM容量の少ないシステム(一般的にサンドボックスや仮想環境に関連する)では早期に終了します。
さらに、デバッガーの存在をチェックも実施します。
PDFSIDERは、かなり練りこまれたマルウェアと考えられます。
現在、このマルウェアは限られた領域でのみ観測されています。
現時点の状況から考えるとこのマルウェアは標的型攻撃に使用されているものと考えられます。
通常のアンチウイルスやEDRなどのセキュリティ製品での防御は期待することが難しい内容になっています。
この被害にあいそうな状況で頼りになるのは自分しかいないと思われます。
いくら注意してもしすぎることはないというところです。
PDFSIDER Malware – Exploitation of DLL Side-Loading for AV and EDR Evasion
https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion
| この記事をシェア |
|
|---|
