BLOODALCHEMY

ほぼこもセキュリティニュース By Terilogy Worx

BLOODALCHEMYはWindows環境向けの新しいバックドア型マルウェアです。
参照可能なマルウェアのソースコードは多くなってきていますのでそういったものをベースにして新しいものが作成される例が多くなっていますが、そういった流れとは異なるものとなっているようです。
どういったものなのでしょうか。

  • 新作
    BLOODALCHEMYの活動は観測され始めてからの時間が浅いです。
  • オリジナル
    マルウェアの多くの部分や特定の機能の部分など、別のマルウェアのコードに類似性が大きいマルウェアというものは多くあります。
    そういった類似性から、それらのマルウェアがどの脅威アクターに帰属するかが解析されるようなことも少なくありません。
    しかし現在の解析状況としては、BLOODALCHEMYの実装は全体的にオリジナルなものとなっているようです。
    スクラッチで作成されたものと考えられます。
  • モジュール機能
    BLOODALCHEMYにはモジュール機能が含まれます。
    このデザインは新しいマルウェアでは多くなっているスタイルです。
    拡張が容易なモダンなスタイルといえます。
  • 配置の自由度
    マルウェアが動作している段階での権限の獲得状況にあわせて、マルウェアの配置される場所が調整される機能を持っています。
    %ProgramFiles%、%ProgramFiles(x86)%、%Appdata%、%LocalAppData%\Programs、から選択されます。
  • 実行の自由度
    マルウェアの実行にも自由度があります。
    メインまたは別のプロセススレッド内で動作させる、Windowsプロセスを作成してそこにシェルコードを挿入する、サービスとして動作させる、という機能があります。
  • C2への通信の自由度
    この部分の解析はまだ詳しく進んでいませんが、多くの通信プロトコルに対応できるとみられる内容の実装が含まれています。
    DNS://、HTTP://、HTTPS://、MUX://、UDP://、SMB://、SOCKS5://、SOCKS4://、TCP://、といったものが利用できるようになりそうです。
  • バックドアの機能
    機能は現時点ではまだ十分には作り込まれていないようです。
    4種の機能が実装済みであることが確認されています。
    マルウェアツールセットを書き込み/上書きする、マルウェアバイナリを起動する、アンインストールして終了する、ホスト情報を収集する、です。

実装が進んでいくと、いずれ大きなキャンペーンで利用されることになることが懸念されます。
このマルウェアについても、継続的に情報収集することが必要に思えます。

参考記事(外部リンク):Disclosing the BLOODALCHEMY backdoor
www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。