UNAPIMONの作戦

ほぼこもセキュリティニュース By Terilogy Worx

UNAPIMONは、攻撃者の補助を行うマルウェアです。
いろいろな作戦のマルウェアがありますが、この作戦も強力です。
内容を見てみましょう。

  • 情報収集する
    まずは手始めに、環境の情報収集が実施されるところから始まります。

     

  • バックドアを開始する
    存在しないWindowsのサービスを起動しようとするスケジュールを使用するなどして、バックドアを開始します。
    この際には特権昇格も行われます。

     

  • フックを解除する
    動作を開始したマルウェアは、Windowsを構成する基本的なDLLの調査を開始します。
    ntdll.dll、user32.dll、kernel32.dll、msvcrt.dll、ole32.dllなどのDLLです。
    そして、これらに設置されたフックを解除します。

これだけなのです。
何が起こるのでしょうか。

マルウェアなどのアプリケーションの動作が存在することはどのように検出されるのでしょうか。
手法はいくつかあるのですが、代表的なものにAPIのフックがあります。
マルウェアが環境にあるAPIの機能を呼び出した際に、その特定のAPIが呼び出されたことをセキュリティ機構が検出するのです。
これがセキュリティ機構によるフックの設置です。

このフックが作用するために、マルウェアの活動は検出されてしまいます。
ならば、フックされている状態を解除してしまおう、という作戦です。
これがUNAPIMONの注目点でした。

フックを解除した状態であれば、システムのAPIを呼び出す機構を持つマルウェアを動作させても検出される可能性が下がります。
このような回避手法を搭載したのでした。

実に巧妙な作戦です。

参考記事(外部リンク):Earth Freybug Uses UNAPIMON for Unhooking Critical APIs
www.trendmicro.com/en_us/research/24/d/earth-freybug.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。