IPfuscation

ほぼこもセキュリティニュース By Terilogy Worx

IPfuscationは新しい難読化手法です。
Hiveランサムウェアグループによる利用が確認されています。
その内容はこんな感じです。

  • 64ビットのWindowsPortable実行可能ファイル(PE:Portable Executable)に埋め込んで使用される
  • 静的に解析するとそのデータの部分はASCIIで表現されたIPv4アドレスの配列のように見える
    配列の要素であるIPv4アドレスはC2のIPのリストであることを解析者に連想させますが、実際に調査してもそのようなものは含まれていないと思われます。
  • IPのリストをコンバーターにかけることでshellcodeを得ることができる
    IPのリストに見えたものはshellcodeをコード化したものでした。
  • 復号化して得られたものはダウンローダーである
    得られたものはSYSCALLでそのまま実行できるshellcodeである場合があります。
    そしてそのcodeは最終的にはCobalt Strikeステージャーになり、なんらかのペイロードを取り込みます。

単に難読化するだけでなく、解析されることを前提として研究者の解析のための時間を浪費させることまで狙ったのではないかと思われるような周到な戦略に思えます。
この手法の亜種としてIPv4の代わりにIPv6を使ったIPfuscationの亜種も観測されています。

防御側でまだ一般的な手法である静的シグネチャによる検出ですが、それだけでは十分でないということがこういったことからも考えられます。
こういった動きにも対応することを考える場合、なんらかの動的解析を採用していくことが必要なのかもしれません。

参考記事(外部リンク):IPfuscation is Hive’s New Technique to Evade Detection
cyware.com/news/ipfuscation-is-hives-new-technique-to-evade-detection-96c3c748/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。