デジタル署名されたZloader

ほぼこもセキュリティニュース By Terilogy Worx

何回か大きな話題になったZloaderがまた観測されています。
今回のZloaderにも、新機能が追加されています。
2021年の8月頃に観測されていた新しいZloaderには、Windows Defenderを無効にする機能の追加されていました。
今回はデジタル署名されたものとして帰ってきています。

デジタル署名は公開鍵暗号方式を応用した技術で、そのファイルが改ざんされていないことを証明するために利用されたりするものです。
何でもそうですが、安全のための技法は正しく利用することで安全を手に入れることができるものとなりますが、正しく利用されていない場合は注意が必要です。

これまでのものと同じように、Zloaderは何段階もの手順を経て感染活動を実現します。
そのなかのステップに悪意あるDLLを使った部分がありますが、そのDLLはマイクロソフトのデジタル署名がされた状態となっているのです。
デジタル署名の検証にはいくつかの段階があるのですが、そのいくつかの部分は、標準では無効化された状態となっています。
このため、現在の標準の範囲のデジタル署名の検証では、今回の悪意あるDLLのデジタル署名の正当性が検証できないのです。

いろいろな安全化機構が利用されていますが、それらも完全ではありません。
なんらかの前提のもとに成り立っています。
たとえばあるEDRは、デジタル署名がされているファイルの検証は実施しない仕様となっていたりします。
このEDRを否定することはできないでしょう。
すべての前提を取り払ってEDRがすべての問題の検査を実施するように実装されたと仮定すると、きっとそのEDRは肥大化し実用に耐えないものとなってしまうように思われます。

私たちは、できることを一つずつ積み上げて安全化していくしかないのかもしれません。

参考記事(外部リンク):Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk
research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。