Inf0s3c Stealerは、名前の通り、インフォスティーラー型マルウェアです。
新たに確認されたこのマルウェアはいくつかの特徴的な点を持っています。
見てみましょう。
- 高度な難読化
このマルウェアはコードとしてはPythonで書かれているのですが、複数の手法を使って難読化を実施しています。
Pythonで書かれたコードをPyInstallerでexe形式にし、それをUPX圧縮を実施する、という方式です。
この結果として高度な難読化状態になっています。
出来上がった状態のマルウェアのファイルのエントロピーを調べると8.000となっていることが確認されています。
通常エントロピーは0から8の間の値をとり、高ければ高いほど規則性がなくランダムなバイト列になっているという指標です。
この指標でこのマルウェアは最大のエントロピーだったわけです。 - 高度な設置技法
マルウェアの設置方法には、いろいろなタイプがあります。
このマルウェアはユニークな方式を選択しています。
初期感染の時点では、まだマルウェア本体は動作可能な状態では配置されません。
スクリーンセーバーのファイル拡張子の状態でスタートアップフォルダーに設置されるのです。
これにより、感染の元となる活動を実施した時点では感染は完了せず、次回のWindowsOSの起動時に動作可能な状態のマルウェアとして設置されるようになっています。
これは配布されるファイルと感染後の活動の関連性を断ち切る一つの方法として作用し、問題に気がつくことができるチャンスを減らす効能を実現しています。 - ファイルサイズごまかし機能
セキュリティツールには様々な解析機能が搭載されています。
その一つに、サイズベースの検出ヒューリスティックがあります。
これに対尾することを狙ったものなのでしょう、このマルウェアにはファイルサイズを人為的に大きくするように設計された「ポンプ スタブ」機能が含まれています。 - 自己削除機能
マルウェアの中には自己削除機能を有するものは少なくありません。
このマルウェアも自己削除機能を持っています。
狙った情報の収集活動が完了しデータ送信を完了すると、自己削除を実施します。
これが気付きをより困難にしています。
これらの他にも、仮想マシンチェックやウイルス対策関連のWebサイトをブロックする機能など、複数の分析対策機能が搭載されています。
マルウェアの高度化は進んでいきます。
UNVEILING A PYTHON STEALER – INF0S3C STEALER
https://www.cyfirma.com/research/unveiling-a-python-stealer-inf0s3c-stealer/
| この記事をシェア |
|
|---|
