通常のビジネスの領域では、分業化がどんどん進んでいきます。
マルウェアの領域においても、分業化は進んできています。
悪意のあるソフトウェアを全体的にマルウェアと称しますが、その姿は一塊ではありません。
ウイルス、ランサムウェア、ワーム、トロイの木馬、スパイウェア、アドウェア、など、実装の方向性でさまざまな動作が展開されます。
また、悪意ある動作の内容の方でなく、感染の段階で分けることもあります。
初期感染、ローダー、ペイロード、といった具合です。
いろいろな種類の、あるいは、いろいろな段階のマルウェアが日々生まれてきているのですが、今日は新しく勢力を拡大していると思われるローダーのお話です。
WikiLoader、GootLoader、BatLoader、GuLoader、XLoader、ChromeLoader、ZLoader、Ceeloader、MosaicLoader。
話題になったローダーというだけでも、たくさんあります。
これらはほんの一部です。
しかし、やはり、どの領域でも人気は偏る傾向があるのか、シェアでいうと3つくらいのものの利用が多いようです。
そんななか、ここのところ人気の高まっているローダーがでてきています。
それがHijackLoaderです。
どんなものでしょうか。
- HijackLoaderが運ぶもの
Danabot、SystemBC、RedLine Stealerなどのマルウェアを運んでいることが観測されています。 - モジュール分割されたHijackLoader
ペイロード部分が多段化されたマルウェアは多くなってきています。
ひとつのコードに悪事を働く機構を一括で実装するのではなく、いくつもの部品に分けて実装することで、開発効率は上がるでしょうし、検出も難しくなるのでしょう。
この分割という取り組みがHijackLoaderでも採用されています。
HijackLoaderは多数のモジュールを順次読み込みながら活動します。分割されたモジュールの数は10以上にも達します。 - HijackLoaderの回避機構
回避機構の実装されたマルウェアは増えていますが、HijackLoaderも回避機構を搭載しています。
仕込まれたリストを使ってアンチウイルス機構などの存在を検出します。
これまでの良くある回避機構は、なんらかのセキュリティ対策機構を検出すると一定の回避行動をとる、というものは多数見られました。
しかし、HijackLoaderでは、このあたりも少し異なります。
検出したセキュリティ対策機構によって、回避行動の内容を変更する動きが確認できています。
アバストなら実行を40秒遅延する、Emsisoftなら接続テストを実行しない、などです。 - 使い分けられるshellcode
ローダーの最終段階は届けようとしているマルウェアのペイロードの実行です。
ペイロードの実行にはshellcodeが使用されます。
このshellcodeの動作も多くの種類のペイロードに対応できるようになっています。
ペイロードのファイルタイプ、注入方法などによって動作が使い分けられます。
HijackLoaderは現状ではコードの品質はそこまで高くないようですし、シェアもそこまで高くなっていません。
しかし少しずつ拡大してきているようですし、大きなシェアを持つマルウェアが収束するなどの事態となった際に、その代替として大きくシェアが広がるようなことも考えられます。
今後の動きに注意が必要なマルウェアがまた一つ増えたという感じがします。
参考記事(外部リンク):Technical Analysis of HijackLoader
A new evasive malware downloader with a modular architecture
www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
| この記事をシェア |
|
|---|
