InnoLoaderは、名前の示す通りマルウェアローダーです。
マルウェアを侵害環境に取り込む部分を担当します。
どんな動きでしょうか。
- インストーラー
マルウェアの最初の体裁は、インストーラーです。
ユーザにインストーラーとしてダウンロードさせます。 - インストーラーの実行
インストーラーをダウンロードした人は、インストーラーを実行します。
実行すると、よくある流れでWizardにそってユーザに操作させます。
NextボタンとBackボタンとキャンセルボタンが並んだ、よくある画面構成です。
ユーザはすでにファイルをダウンロードして実行している人ですので、この画面を見て怪しむことはなさそうです。 - 通常のユーザなのか、研究者なのか
通常インストーラーをダウンロードした人は、インストーラーをダウンロードしてからそんなに長い時間をおくことなく、ダウンロードしたインストーラーを実行します。
なにかを手元環境にインストールしたいと思ってインストーラーをダウンロードしたのでしょうから、当然のことでしょう。
ダウンロードされてから一定の時間の経過していない状態でこのインストールを実行すると、マルウェアであるインストーラーは仕事を開始します。
連係動作するC2で毎回固有情報を含む内容がコンパイルされ、毎回結果的にHASHの異なるバイナリを生成し、それをダウンロードさせます。
セキュリティを研究する人は、マルウェアを収集します。
収集して入手したものを解析します。
解析に際し、サンドボックスなどでマルウェアを実際に実行することもあるでしょう。
しかし、マルウェアの入手からマルウェアの実行までの時間の長さは、通常のユーザよりも長いかもしれません。
この場合、このマルウェアは悪意ある動作を開始しません。
これは、このマルウェアに実装された防御機能の一つです。 - 複数回のダウンロードの対策
ダウンロードするたびに新しいバイナリを生成するのですが、その内容を実現するために利用されているのは、タイムスタンプや国情報とIPアドレスです。
これは生成したバイナリを異なるHASHにするために利用されますが、それだけの効能ではありません。
一度ダウンロードされた環境のIPアドレスはC2に記録されます。
記録されたダウンロード済みIPアドレスからのダウンロード要求があった場合、一定期間はマルウェアでない普通のファイルをダウンロードさせます。
研究者による調査行為への回避の機能として用意された機構だと考えられます。
悪性のファイルをHASHを使って検出する手法では、この脅威に対応することはできません。
この脅威にはどう対応できるでしょうか。
ファイルを入手する際には公式のサイトを使うということで対応することになるでしょう。
公式で配布されているファイルが公式のものであるかどうかは、もはや祈るしかありません。
New InnoSetup Malware Created Upon Each Download Attempt
https://asec.ahnlab.com/en/67502/
| この記事をシェア |
|
|---|
