TicTacToe Dropperは、名前の通り、ドロッパー型マルウェアです。
動作を開始すると、動作環境にマルウェアを持ってきて動かします。
TicTacToe Dropperには、多くの種類のサンプルが確認されています。
細かな内部の実装が異なるということもあるのですが、そもそものドロップするマルウェアの種類が多数あります。
1回の感染で多数をドロップするということではなく、このサンプルはこれをドロップする、という具合です。
TicTacToe Dropperがドロップする最終的なマルウェアには、こういったものがあります。
Leonem、AgentTesla、SnakeLogger、RemLoader、Sabsik、LokiBot、Taskun、Androm、Upatre、Remcosなどです。
このTicTacToe Dropperの内部の実装にはいくつもの違いがありますが、これは頻繁な開発による変更があるということかもしれません。
基本的な内部構造は共通しています。
どんな動作や特徴があるのかというと、こういう感じです。
- 多段階にレイヤー化されたペイロードを展開する
- ドロッパーペイロードのファイル形式は、すべての .NET 実行可能ファイル/ライブラリになっている
- 多段階の抽出プロセスのなかに、少なくとも1つのSmartAssemblyソフトウェアを使用して難読化されたペイロードが含まれる
- 難読化されたペイロードを解凍するために、DLLファイルが何段階にもネストして使用される
- 最終ペイロードを含むすべてのペイロードステージは反射型DLLインジェクションによってロードされる
反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能になる。
ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的な動作となる。 - ほとんどのプライマリ.NETペイロードには、3~8文字の組み合わせからなる内部名があった
- 多くのサンプルには、配信された月の共通の文字列があった (例:Kolko_i_krzyzyk、MatrixEqualityTestDetail、Kakurasu など)
- サンプルの中には、自分自体のコピーを作成しようとするものもあった
このマルウェアは、フィッシング経由のisoファイルの配布から始まります。
これにより、Mark of the Webを回避できますし、最終のペイロードには多くの種類があります。
TicTacToe Dropperの部分も、開発が頻繁なようです。
これらが相まって、HASH的なアプローチでの対応は困難といえそうです。
このマルウェアがMaaSとして展開されていることはまだ確認されていませんが、観測状況から考えて、単独の脅威アクターの活動であるとは考えにくいものとなっています。
また厳しいマルウェアがMaaSとして展開されてきているということに思えます。
参考記事(外部リンク):TicTacToe Dropper
www.fortinet.com/blog/threat-research/tictactoe-dropper
| この記事をシェア |
|
|---|
