XMRigは、暗号資産のマイニング型マルウェアです。
標的システムに侵入後、ユーザーの許可なくクリプトマイニングを行います。
当初はオープンソースの暗号資産Moneroマイニングツールとして公開されましたが、脅威アクター達による改修によりサイバー攻撃に広く悪用されています。
これまでのところでは、脅威活動の最後の部分の目的として利用されたりすることが多くありました。
そのXMRigが、大きく拡張されていることが確認されています。
- Wormable
XMRigにWormableな特性が追加実装されました。
自己増殖するマルウェアというわけです。
自律的な拡散 (Self-propagating)と呼ばれたりしますが、ユーザが不審なリンクをクリックしたり、メールの添付ファイルを開いたりする必要なく、ネットワーク内の脆弱なマシンを探し出して攻撃・感染します。
これまでは他のマルウェアの機能によって侵害活動を開始し、その最終目的の一つとして利用されることの多かったXMRigが、自分自身で感染・拡散できる機能を持ってしまいました。 - モジュール型設計
WormableになったXMRigは、モジュール型となりました。
感染のための管理機能を提供する部分と、各種の特徴的な機能群とを別々に分離しました。
高負荷なマイニング処理などと感染のための活動を分離することで、マルウェア特有の「挙動」や「コードの特徴」から、未知の脅威を検知するセキュリティ手法であるヒューリスティック解析による検出を回避する効能が期待される分割と考えられます。 - 特徴的なコマンドラインオプション
Wormable XMRigにはいくつかのコマンドラインオプションが実装されています。
なにも指定しないと、インストール動作となります。
「002 Re:0」と指定すると、初期感染動作となります。
「barusu」と指定すると、自己破壊動作となります。
barusu、ですか。そうですか。 - 自己監視機能
このマルウェアは単にマイニングを開始するだけではありません。
マイニング動作が継続されているかを自分で確認し、動作が継続できていないことを検出すると再度マイニング動作を開始させる機能を持っています。 - 自爆機能:「Nuclear」オプション
自己監視機能を持っていてmainぐを再開できる機能があるのですが、それだけでなく何度もそれが発動した際に、自爆する機能も搭載しています。
感染先の環境の機能で捕捉されて解析されることを回避するための機構ということでしょうか。
これらの他にも、外部ストレージデバイスの接続を検出して自己増殖する機能なども実装されています。
容易に入手・利用できる汎用的状態となったマルウェアは、さらに拡張されていきます。
特定の脅威に対していつまでも同じ対策で対応するという体制では期待する効能を期待できないということかもしれません。
Technical Deep Dive: The Monero Mining Campaign
https://www.trellix.com/blogs/research/technical-deep-dive-the-monero-mining-campaign/
| この記事をシェア |
|
|---|
