次々に手法を変化させるBatloader

ほぼこもセキュリティニュース By Terilogy Worx

Batloaderは名前の通りローダーです。
マルウェアを使って侵害行為を実施する際の最初の活動の部分で使用されます。
初期アクセスファミリーなどと呼ばれることのあるものです。
Batloaderはどんなものなのでしょうか。

  • 2020年ごろから観測
    Batloaderは新しいものではありません。
    2020年頃からその活動は観測されています。

     

  • 場所
    いろいろな地域や国で観測されています。
    2022年第4四半期のある統計では、欧米での活動が多く、全体の約6割が米国で観測されています。

     

  • 機能
    多くの高度な機能を搭載しています。
    アンチサンドボックス機能、被害者判別機能、C2と通信してマルウェアを送り込む機能、セキュリティソフトのサービス停止機能、権限昇格機能、アンチウイルス回避機能、などです。

では、このBatloaderはどのような手法で侵害先の環境に入ってくるのでしょうか。

最初の頃に観測されていたBatloaderは、MSIを悪用する手法を選択していました。
MSIはMicrosoft Windows Installerを使ってソフトウェアをインストールすることのできるファイル形式です。
有名なソフトウェアのフィッシングサイトを公開し、有名なソフトウェアのMSIのインストーラーのなかに悪意のあるコードを埋め込みます。
段階的にマルウェアを構成する機構が動作し、Batloaderが設置されます。

次に観測されたBatloaderは、JavaScriptファイルを使った方式に変更されました。
そのJavaScriptは非常にサイズが小さく、内部の構造に怪しい部分はありません。
怪しい部分はまさにそのJavaScriptが通信することになるC2のURLだけになっています。
このため、マルウェアなどの検出をファイルの中の構造から検出する類の方式をとっているセキュリティ機構では検出することができないものとなっています。

さらにその後、Batloaderの方式が変更されています。
今度もまたMSIを使う方式でした。
ただ前にMSIを使った時とはその内容が異なっていて、MSIのカスタム機能から呼び出されるのはPyArmorで難読化されたPythonスクリプトでした。

いずれの時期においてもこれらは内容としてはBatloaderです。
しかしその初期アクセスを実現する手法の部分は短い期間に何度も変更されています。
今回の変更の例では、2022年11月後半と、2022年12月中旬に変更されていました。

防御側はさまざまなマルウェアに名前を付け、それらの内容を解析し、対策を講じていきます。
しかしマルウェアを展開している側も黙って解析されるのを待っているわけではありません。
次々に手法を変化させながら攻撃を仕掛けてきます。
XXXXというマルウェアはXXXXXXという手法で攻撃してくることがわかったのでXXXXXXXXXの手法で対策した、もう大丈夫だ、などというように考えて安心することはできそうにありません。
防御側も日々新しい情報を基に対応していく体制を維持していくことが重要となりそうです。

参考記事(外部リンク):Batloader Malware Abuses Legitimate Tools, Uses Obfuscated
JavaScript Files in Q4 2022 Attacks

www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。