WARMCOOKIEは、バックドア型マルウェアです。
最初に確認されてから約1年が経過しています。
このマルウェアも時間の経過とともに機能が拡張されてきています。
以前に比較して変化した部分を見てみましょう。
- 複数のコマンド実行機能
このWARMCOOKIEはバックドア型マルウェアですので、コマンド実行機能を持っています。
よくあるバックドア型マルウェアには、なんらかの1つの種類のコマンド実行機能が実装されます。
しかしWARMCOOKIEは異なりました。
最初からだったわけではないのですが現時点ではコマンド実行機能が4つ実装されています。- PEファイルの実行
拡張子で言うとexeファイルです。 - DLL実行
- PowerShell スクリプトの実行
拡張子で言うと「.ps1」ファイルです。 - StartエクスポートによるDLL実行
- PEファイルの実行
- 文字列バンク機能
送り込まれたマルウェアを設置する際に、どのような場所に置くかがマルウェア設置者の検討事項となります。
よりそれっぽいPATHに置くほうが見つからずにこっそり活動することができるのでこの点は重要です。
現在のWARMCOOKIEはこの部分を文字列バンク機能でカバーしました。
マルウェア内部にそれっぽい文字列が大量に入った配列を持っています。
そして設置時にそのなかからランダムで文字列を選び、その選んだ文字列を使って設置場所を決めるのです。
検出したい側としては厳しい機能となっています。 - コードの最適化
以前のWARMCOOKIEは、大きな視点で見るとスパゲッティなコード状態となっていました。
マルウェアに限った話ではないのですが、このような構造のまま多機能化を実行するととても保守性が下がってしまいます。
WARMCOOKIEは拡張を繰り返し行う中でこの構造を変化させ、現時点では多くのインラインロジックを削減し、プログラムの可読性、パフォーマンス、保守性が改善されました。
動作内容の多様性や文字列バンクなどの効能によって、WARMCOOKIEは現在も検出しにくい脅威として活動が継続してしまっています。
またコードの最適化も実施され、今後の拡張性も高い状態となってきています。
このマルウェアの周辺のいろいろな要素が研究者たちの活動で壊滅に追い込めたりはできていますが、これからもこのWARMCOOKIEの活動は続いてしまいそうです。
今後も注意が必要なマルウェアとして認識する必要がありそうです。
WARMCOOKIE One Year Later: New Features and Fresh Insights
https://www.elastic.co/security-labs/revisiting-warmcookie
| この記事をシェア |
|
|---|
