BlankGrabberは、インフォスティーラー型マルウェアです。
このマルウェアは新しいものではなく2023年頃から観測されているものですが、当時から継続的に拡張や変更が実施されています。
モジュール式のアーキテクチャを採用していることも関係しています。
情報取得の面だけでなく、検出を回避するための機能の方向でも拡張が実施されています。
そういった拡張の中の一つに、注目すべき技法が含まれていることがわかりました。
- 証明書インストールスクリプトみたいなもの
BlankGrabberではさまざまな検出回避の機構が実装されています。
そのひとつにこの機能が追加されています。
BlankGrabberは、正規のWindows組み込みユーティリティであるcertutil.exeを悪用して、証明書データと思われるものをデコードします。
実際には、エンコードされたコンテンツには、最終的な悪意のあるペイロードを復号化して実行するために構築された、コンパイル済みのRustベースのステージャーが含まれています。
動作を開始したステージャーは、その実行環境がなんらかのサンドボックスではないことを確認します。
検出の回避ですね。
サンドボックスではない、つまり、研究者による検証システムなどではなく実際のユーザが利用するシステムであると判定した場合は、侵害行為を開始します。
ステージャーの次の段階は、ペイロードの取得と展開です。 - リモート操作ツールと情報取得ツール
ステージャーが展開するツールは、リモート操作ツールと情報取得ツールです。
実際の中身の機能としては、XWormリモートアクセスクライアントとBlankGrabber窃盗プログラムなのですが、これらには正規のWindowsプロセスに似たランダムな名前が付けられます。
BlankGrabber窃盗プログラムは、ファイル名でごまかそうとするだけでなく、ファイルとしても難読化が実施されたものとなっています。
この難読化にはPyInstallerが使用されています。
BlankGrabberの機構そのものをPythonで記述し、それをPyInstallerでバイナリ化して実行可能にし、ついでに難読化もできた状態にしているというわけです。
この作戦はマルウェアの移植性を高めることにも役立っていることになりそうです。
このマルウェアはいろいろな入口でやってきます。
確認されている例としては、有償ツールのクラック版の配布、本物のユーティリティに見えるGitHubのリポジトリ、などです。
悪意あるファイルを配布サイトから人にダウンロードさせ、人に実行させます。
攻撃の始まり部分の入手と実行にはソフトウェアの脆弱性は使用されていません。
人の脆弱な部分を悪用した始まり方だといえるでしょう。
便利なツールを入手しようと思っただけなのに、データは盗まれるし、継続的なリモート接続も提供してしまうことになるのです。
気をつけるようにしましょう。
The Certificate Decoding Illusion: How Blank Grabber Stealer Hides Its Loader
https://www.splunk.com/en_us/blog/security/blankgrabber-trojan-stealer-analysis-detection.html
| この記事をシェア |
|
|---|
