Zloaderはローダー型マルウェアです。
その登場は古く、2015年までさかのぼります。
登場以降、様々な拡張を確認されていましたが、一度はぱったり観測されない状態になっていました。(関連記事:Zloaderにも新機能、デジタル署名されたZloader)
しかし、2023年に再び活動が開始されていました。
そして、最近になって、さらに新たな実装が加えられたものが確認されています。
内容を見てみましょう。
- API解決
マルウェアは悪意ある捜査を環境に対して行うため、環境のAPIを呼び出します。
しかし、そのまま呼び出す機構になっていると、セキュリティ対策ソフトウェアで検出されて対策されてしまいます。
このため、あの手この手で回避を試みます。
API解決機構の変更もこの類の機能です。
巡回冗長検査 (CRC) アルゴリズムを使用し、XOR演算し、大文字小文字変換します。
DLL名のインデックスも動的に計算します。 - インタラクティブシェル
文字通り、この機能は、脅威アクターに任意のバイナリやシェルコードの実行、データの窃取、プロセスの終了などの機能を提供するものです。
バイナリやコマンドの実行だけでなく、リモートからDLLバイナリをメモリに取り込み、そのままメモリ上でDLLを実行することもできます。
さらに名前でプロセスを見つけて、指定のプロセスIDのプロセスの状態を確認し、指定のプロセスIDのプロセスを停止できます。 - DNSトンネリング
C2との通信においてもいくつもの変更が実施されていますが、その一つがDNSトンネリングです。
DNSの通信の中身を使ってコマンドのやり取りを行うのですが、その内容の構築や解釈には独自の機構を使用します。
そして、これまでの他のマルウェアのように単にコマンドを送るとか結果を受け取るというようなことではなく、DNSトンネリングを使ってセッションを確立する機能までも含んでいます。
DNSトンネリングの機能の範囲で、セッションを開始し、コマンドを渡し、実行結果を送信することができます。
どの機能も強力です。
そして、侵害活動の高機能化と、さらなる回避活動のための機能の拡張が継続されています。
このZloaderは入り口部分を担います。
入口の後の侵害の本番は脅威アクター次第ですが、ランサムウェアも送り込む大きな候補の一つとなります。
脅威アクターの武器は継続的に更新されていきます。
Inside Zloader’s Latest Trick: DNS Tunneling
https://www.zscaler.com/blogs/security-research/inside-zloader-s-latest-trick-dns-tunneling
| この記事をシェア |
|
|---|
