Mystic Stealerはインフォスティーラー型のマルウェアです。
新しいものがどんどん出てきます。
このMystic Stealerは2023年4月頃から活動が観測されています。
どんなものなのでしょうか。
- ターゲット環境
Windowsが標的となっています。
広い範囲のバージョンが対象で、Windows XPからWindows11までです。
古いバージョンのWindowsでは32bit版も含まれます。 - 仮想環境回避
研究されることを回避する目的で仮想環境を検出する機構が搭載されています。
現在のMystic StealerではCPUIDを使った判定が実装されています。 - 実行除外地域
CIS諸国ではこのマルウエアは動作しません。
CISはCommonwealth of Independent Statesです。 - 古いバージョンの実行禁止機構
C2の指定する日付よりも古いマルウェアは実行されないという機構が実装されています。
古いマルウェアが動作してしまうことで研究者による研究が進んでしまうことを恐れているということに思えます。 - 設定変更機能
このMystic Stealerは販売されていて購入者が設定変更して悪事に使用できるようになっています。
マルウェア本体部分の変化にあわせるように、C2のコンソールも変化していっています。
ちなみにこのマルウエアのC2のコンソールはDjangoで作成されています。
DjangoはPythonで実装されたWebアプリケーションフレームワークです。 - ローダー機能
初期のMystic Stealerには未搭載だったのですが、途中からローダー機能が追加されました。
これによりマルウェアは一度感染すると感染した環境で活動を継続したままその機能を変更できるようになりました。 - 複数のC2
マルウェアに指定できるC2のアドレスは4か所となっています。
一部のC2がテイクダウンされても動作が継続できるように、というようなことなのでしょうか。 - C2との通信
C2との通信には、オリジナルのプロトコルが使われます。
プロトコルはバイナリです。
C2からの指示はバイナリですし、マルウェアから流出させる情報は暗号化されたバイナリです。
C2との通信には16287/tcp、15555/tcp、15556/tcp、13219/tcpが使われます。
変化していくことも考えられますが、現時点ではこれらのポートが使用されます。
冗長化されたC2、自己を変更できるローダー機能、そして古いバージョンの実行禁止機構などが組み合わさることによって、全体としてとても厄介なマルウェアに仕上がっています。
どのようにこれに対応していくことができるでしょうか。
基本的な対策となりますが、入ってくる方向だけでなく、出ていく方向の通信も細かく制限するように設定されたファイアウォールの利用が有効に思えます。
とはいっても、ノマドのようなスタイルで活動する人も依然として多いと思いますので簡単なことではなさそうです。
参考記事(外部リンク):Mystic Stealer The New Kid on the Block
www.zscaler.jp/blogs/security-research/mystic-stealer
| この記事をシェア |
|
|---|
