BLOODALCHEMYはWindows環境向けの新しいバックドア型マルウェアです。
参照可能なマルウェアのソースコードは多くなってきていますのでそういったものをベースにして新しいものが作成される例が多くなっていますが、そういった流れとは異なるものとなっているようです。
どういったものなのでしょうか。
- 新作
BLOODALCHEMYの活動は観測され始めてからの時間が浅いです。 - オリジナル
マルウェアの多くの部分や特定の機能の部分など、別のマルウェアのコードに類似性が大きいマルウェアというものは多くあります。
そういった類似性から、それらのマルウェアがどの脅威アクターに帰属するかが解析されるようなことも少なくありません。
しかし現在の解析状況としては、BLOODALCHEMYの実装は全体的にオリジナルなものとなっているようです。
スクラッチで作成されたものと考えられます。 - モジュール機能
BLOODALCHEMYにはモジュール機能が含まれます。
このデザインは新しいマルウェアでは多くなっているスタイルです。
拡張が容易なモダンなスタイルといえます。 - 配置の自由度
マルウェアが動作している段階での権限の獲得状況にあわせて、マルウェアの配置される場所が調整される機能を持っています。
%ProgramFiles%、%ProgramFiles(x86)%、%Appdata%、%LocalAppData%\Programs、から選択されます。 - 実行の自由度
マルウェアの実行にも自由度があります。
メインまたは別のプロセススレッド内で動作させる、Windowsプロセスを作成してそこにシェルコードを挿入する、サービスとして動作させる、という機能があります。 - C2への通信の自由度
この部分の解析はまだ詳しく進んでいませんが、多くの通信プロトコルに対応できるとみられる内容の実装が含まれています。
DNS://、HTTP://、HTTPS://、MUX://、UDP://、SMB://、SOCKS5://、SOCKS4://、TCP://、といったものが利用できるようになりそうです。 - バックドアの機能
機能は現時点ではまだ十分には作り込まれていないようです。
4種の機能が実装済みであることが確認されています。
マルウェアツールセットを書き込み/上書きする、マルウェアバイナリを起動する、アンインストールして終了する、ホスト情報を収集する、です。
実装が進んでいくと、いずれ大きなキャンペーンで利用されることになることが懸念されます。
このマルウェアについても、継続的に情報収集することが必要に思えます。
参考記事(外部リンク):Disclosing the BLOODALCHEMY backdoor
www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor
| この記事をシェア |
|
|---|
