Grandoreiroは2016年くらいから活動が観測されているバンキング型トロイの木馬です。
これまで悪名の高いバンキング型マルウェアが多数登場してきていますが、その中のひとつです。
活動期間が長くなると、なかにはマルウェア側の変更が追い付かなくなり、活動が先細ることになるものも少なくないのですが、Grandoreiroは毎年内容に変更を加えていて、新しいトリックで検出を回避しようとしてきています。
2024年もその傾向は変わりなく継続しています。
どんな変更があるか、いくつか見てみましょう。
- CAPTCHAの搭載
人であることを確認してからコンテンツを利用させようとする機構の一つに、CAPTCHAというものがあります。
この機構で保護されたサイトを利用したことがある人は多いのではないでしょうか。
Grandoreiroは検査機構による自動的な分析を回避するためにCAPTCHAを搭載してきています。 - サンドボックス回避の搭載
セキュリティ対策製品で利用される検査用のツールはたくさんあります。
そういったものが動作する環境でマルウェアが動作すると動きを解析されることになります。
Grandoreiroは実に150種以上のサンドボックスとして利用されるソフトウェアの存在を検出します。
この種のソフトウェアがあることが確認されると、マルウェアの本体はダウンロードされません。 - 多層暗号化による静的分析保護
いくつかの異なる手法でマルウェア自身を暗号化してくるマルウェアは存在します。
Grandoreiroもそうでした。
しかし、2024年以降のGrandoreiroは、さらにここを拡張してきています。
悪意ある機構を取り出す手順は非常に長くなっています。
置換アルゴリズムによって難読化解除する、140759バイトの長い文字列をマジックストリングとして使用してXORと条件付き減算に基づき復号化する、base64デコードする、AES-256デコードする、といった具合です。
さらに、そのAESにはCTS機構が使われます。
CTSはCiphertext Stealingです。この機構を使うことで分析を複雑で困難なものにすることができてしまいます。
通常、CTSは利用側にも負担が大きいため、これまで悪用されている例はありませんでしたが、今後はこういった機構を採用してくるマルウェアも一般化してくるかもしれません。 - 複合DGA
C2として使用するFQDNをDomain generation algorithmによって生成することは、たびたび選択される手法になっています。
しかし、Grandoreiroは、これを複雑化して使用していることが確認されています。
3つの異なるDGAを使用し、その生成結果をマジックキーで結合してC2のFQDNとします。
従来の通常のDGA検出機構での検出は容易ではないかもしれません。 - Cloud VPS
Cloud VPSとGrandoreiroが呼んでいる機構があります。
これは、平たく言えば、踏み台です。
マルウェアで攻撃する際に攻撃者の環境から直接アクセスするのではなく、Cloud VPSを経由して通信を行います。
このCloud VPSはGrandoreiroが用意する機構で簡単に切り替えることができる仕組みになっています。
このため、攻撃調査者が調査中にGrandoreiroのCloud VPSにまでたどり着いたとしても、そのときには攻撃者はすでに別のCloud VPSを利用した状態に移行してしまっているというようになってしまいます。
バンキング型マルウェアというジャンルは新しいものではありません。
ランサムウェアを使用する活動が多くなってきている状況においては少数派かもしれません。
しかし、競合相手の少なくなった領域を攻めてくる攻撃者は確実にいます。
そういったものの一つがGrandoreiroであると思えます。
新しい脅威への対策はもちろん重要ですが、従来型の脅威への対策も継続して必要ということなのでしょうね。
Grandoreiro, the global trojan with grandiose goals
https://securelist.com/grandoreiro-banking-trojan/114257/
| この記事をシェア |
|
|---|
