GootloaderからGootBot

ほぼこもセキュリティニュース By Terilogy Worx

Gootloaderは名前の示すようにローダー型マルウェアです。
Gootloaderは新しい脅威ではなく、2021年1月にはすでに活動が観測されていました。
これまで多くの変更を経てきており、次々に新しい戦略で検出の回避を試みます。
そんなGootloaderに、また新たな変更が確認されています。

  • 独自のペイロードを利用
    これまでのGootloaderは、いろいろなペイロードを持ち込む動きをしていました。
    次の段階のローダーとしてFONELAUNCHを、攻撃エミュレーションとしてCobalt Strikeを、IcedIDを持ってくる道具としてSNOWCONEを、といった具合に、いくつもの種類のペイロードを展開してきました。
    従来のペイロードは既存のツールの選択でした。
    しかし、最近の活動では、独自のペイロードの利用が確認されています。
    独自のペイロードは、GootBotです。
  • GootBotの形式
    GootBotは、C2とコマンドのやり取りが可能な暗号化されたPowerShellスクリプトです。
    復号化してしまえば、その構造は複雑ではありませんが、観測されている個体によっていくつもの別々のC2がハードコードされています。
    ここで見られるC2は、いずれも侵害されたどこかの組織のWordPressサイトです。
    C2が固定ではありませんので、このC2の情報を使って検出するという試みは簡単ではなさそうです。
    GootBotはPowerShellスクリプトとして実装されているのですが、環境変数を使ってコマンド自体のサイズを小さくする手法や、PowerShellスクリプトの引数を偽装する手法なども実装されています。
  • GootBotの用途
    GootBotは侵入後の横展開のためのツールとして使用されます。
    侵害された組織の環境で広く横展開が実施できた後どうなるのでしょう。
    ランサムウェアの被害へと繋がっていくことになります。

Gootloaderは、時間とともに次々に変化してきています。
検出の回避を目的にした変更活動が継続されています。
この脅威にはC2などの情報を単純なキーワードマッチによって検出するというような手法では対策しきれそうにありません。
根本的に方向性の異なる対策が必要になってきていると感じます。

参考記事(外部リンク):GootBot – Gootloader’s new approach to post-exploitation
securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。