そのホワイトリストは信用できますか?

新しいものは次々に出てきます。
今日の注目は、「SaintBot」です。
これは比較的新しいもので、2021年の1月くらいから観測されるようになったものです。

これそのものがそんなに新しい設計や手法などを採用しているということではないのですが、最近の流行りの特徴をきっちりとおさえた設計になっています。

  • 多段設計になっている
  • Windows Defenderを無効化する手順を持っている
  • 難読化が施されている
  • 次の段階のダウンロードのURLをハードコーディングするのではなく、C2から入手してダウンロードする
  • 更新機能がある
  • いろいろ作業した後、自分自身は消えてなくなる

で、嫌なのは、こういった中で使われる悪意あるファイルをダウンロードしてくる際のURLだったりします。
DiscordやSlackって、あるじゃないですか。
こういったサービスコンテンツの置かれているCDNにマルウェアの部品を置いてしまうんです。

こういった有名で多くの人が利用しているサービスのURLは、いろいろなセキュリティサービスでホワイトリストの中に入っていたりします。
このため、より一層悪事が途中でばれてしまうことが回避できそうだ、ということなのです。

とても嫌な感じですね。
ホワイトリストをやめるのはできる気がしないし、ホワイトリストのマッチング文字列長を長くすると処理が重くなるし、ホワイトリストのサイズも大きくなるし。
どうすればいいんだ、っていう感じです。

守る側のリソースはいつも圧迫されてしまう感じがします。
コツコツとやっていくしかないんですかね。

参考記事(外部リンク):Alert — There’s A New Malware Out There Snatching Users’
Passwords

thehackernews.com/2021/04/alert-theres-new-malware-out-there.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。