これまで未確認だった新しい犯罪グループが確認されています。
名前はGhostEmperorです。
このGhostEmperorは、こういう特徴を持っています。
- Cheat Engineの手法の悪用
詳細は後述します。 - Windows Driver Signature Enforcementメカニズムのバイパス
Cheat Engineの手法の悪用の結果がこれです。 - Windowsカーネルモードのルートキット
GhostEmperorはWindowsカーネルモードのルートキットを使います。
自分の存在を隠す行為が、より高度なレベルで実現可能な実装形式です。 - リモートコントロールアクセス
ルートキットは、ターゲットとするサーバーへのリモートコントロールアクセスを提供します。
どれもいつも通り危険な感じがしますが、このマルウェアの注目する部分は、Cheat Engineの悪用の部分です。
Cheat Engineを知っていますか?
名前からして良くない感じがします。
名前を直訳すると「騙し装置」でしょうか。
これの誕生の経緯は確認していませんが、一般にはゲームで他の人をだしぬいて自分が得をするようなことをするために使われているツールです。
ググると記事がたくさん出てきますが、誤解を恐れずに簡単に言いますと、起動しているプロセスの任意のレジスタの内容を書き換えることができるツールです。
ゲームをプレイしているときに、ゲームの中の特定のキャラクターの所持金を多くしてしまおう、とかそういうことに使われます。
このツールの手法が今回悪用され、結果として得られた効能がWindows Driver Signature
Enforcementメカニズムのバイパスだったという話です。
このツールの場合、もともとの使い方を正規の使い方といっていいのかよくわかりませんが、使う道具は使い方によってこうも効能が変わるのかと驚かされます。
安全なソフトウェアという言い方がありますが、いろいろな意味で安全なものを提供できるようにしていかねばならないと思いました。
参考記事(外部リンク):GhostEmperor, a new Chinese-speaking threat actor targets
Southeast Asia
securityaffairs.co/wordpress/120721/apt/ghostemperor-chinese-speaking-threat-actor.html
| この記事をシェア |
|
|---|
