HardBitはランサムウェアグループです。
HardBitは2022年から活動が確認されています。
活動を通じて使用するソフトウェアを変更してきていて、現在はHardBit4.0となっています。
どのような点が変化してきているのでしょうか。
- パスフレーズ保護による難読化
HardBitにはいくつかの難読化が施されています。
改行を減らす、変数名を意味のないものにする、なんらかの変換を行わないと解釈できないようにする、などいくつもの手法がありますが、ここではまた違った方向の方法が使用されています。
それはパスフレーズです。
実行時にランサムウェアをそのまま実行しても、ランサムウェアとしての機能は動作しないような構造になっています。
実行時にパスフレーズを渡した場合にだけ、ランサムウェアとしての機能が動作するようになっています。
研究者がマルウェアを実際に動作させて環境の変化からマルウェアの動作内容を解析するような手法を選択しようとする場合、これは意図した結果を得られなくしてしまいます。
パスフレーズによる難読化といえます。 - NeshtaによるPack
NeshtaはHardBitよりも古くから使用されているウイルスです。
これは、正規のファイルに感染し感染環境で永続化する動きを実行します。
HardBitはこのNeshtaをドロッパーとして使用しています。
これはHardBitに限った話ではなく、他の脅威アクターも選択することのある手法になってきています。
HardBitの実装は継続的に変化してきています。
これまで大きな被害にあっていないから大丈夫だろうというのは勘違いで、単に運が良かっただけなのかもしれません。
防御側も継続的な改善で対応する必要があると認識する必要がありそうです。
Hardening of HardBit
https://www.cybereason.com/blog/hardening-of-hardbit
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- コラム:MITRE ATT&CK(マイターアタック)でセキュリティカバレージを可視化しよう 第1回 MITRE ATT&CKの概要
- 本連載は「MITRE ATT&CK(マイターアタック)」および、「MITRE ATT&CKフレームワーク(マイターアタックフレームワーク)」に興味をもつ方に向けて...
-
サイバー領域
- GitGuardianのBlog翻訳:トヨタ、GitHubでシークレットキーを誤って公開し、データ流出被害に
- 10月7日、トヨタは同社が提供するサービス「T-Connect」のソースコードのコピーが5年にわたって外部から参照できる状態にあったことを発表。ソースコードには、29万件を超える...