変更され続けるGootloader

ほぼこもセキュリティニュース By Terilogy Worx

Gootloaderは新しい脅威ではありません。
Gootkitという別名もありますのでどちらかを目にしたことがある方も少なくないかもしれません。
2021年1月にはすでに活動が観測されていました。
そしてセキュリティ対策研究者によって研究と対策が実施されてきています。
しかし研究と対策を実施するのはセキュリティ対策研究者だけではありませんでした。
Gootloaderの開発者側も研究と対策を継続しています。
Gootloaderの変化のいくつかを見てみましょう。

  • FONELAUNCHランチャーの複数のバリエーションの使用
    FONELAUNCHは、Gootloaderによってレジストリに書き込まれるペイロードの1つです。
    これは、エンコードされたペイロードをレジストリからメモリにロードする .NETベースのローダーです。
    この部分の改造が何度も行われており、少なくとも3種存在していることが確認されています。
    これらの改造を経て、FONELAUNCHはDLL、.NETバイナリ、PEファイルなど、さまざまな形式のペイロードを配布および実行できるようになりました。
    FONELAUNCH自身もレジストリに書かれていますが、いずれのFONELAUNCHも、レジストリに隠されたデータを読み取ってデコードして配置します。

     

  • 新しい追加ペイロードの配布
    GootloaderはFONELAUNCHを持ち込みますが、別のペイロードも持ち込みます。
    脅威をエミュレーションできるCobalt Strike、GZIPLOADERであるSNOWCONEも持ち込みます。
    SNOWCONEは悪名高いバンキング型トロイの木馬であるIcedIDを持ち込むことでも知られています。

     

  • Gootloaderダウンローダーおよび感染チェーンの変更
    Gootloaderの感染はいずれも侵害されたサイトに設置された悪意のあるZIPアーカイブのダウンロードから始まります。
    その後複雑で長い手順で感染を進めるのですが、その感染手順にも大きく変更が加えられています。
    手順を追っていくと別のものなのではないかと思える内容となっています。
    いくつもの手立ての難読化と合わせてこういった取り組みが解析をより困難なものにしています。

始まってしまうとGootloaderは強力に侵害環境で感染活動を展開します。
しかしいずれのGootloaderも、始まりは侵害されたサイトに設置された悪意のあるZIPアーカイブです。
そのZIPアーカイブは、巧妙にSEO対策されて配布範囲を拡大します。
Webサイトを利用する際に評判情報を利用することや利用者が意識して公式サイトを利用するようにすることなどは一定の対策として期待できるのではないでしょうか。

参考記事(外部リンク):Welcome to Goot Camp: Tracking the Evolution of GOOTLOADER
Operations

www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。