LegionLoaderは、名前の示す通り、ローダー型マルウェアです。
最初に確認されたのは2019年でした。
新しいマルウェアではありませんが、多くの活動が観測されています。
- トロイでの配布
始まり方はドライブバイダウンロードです。
LummaC2、Rhadamanthys、StealCなどのChrome拡張機能とともにスティーラーを配信しています。
ユーザーは偽のインストーラーをホストするWebサイトにアクセスするように誘導され、最終的にはMEGAへのリンクを含むRapidShare経由でペイロードが配信されます。 - サンドボックス回避
被害者の端末にたどりついたマルウェアは実行されて動作を開始しますが、いきなりは悪意ある活動を開始することはありません。
まずはダイアログを表示してユーザにクリックさせることで、サンドボックスで自動解析されることを回避しようとします。 - 解析回避
マルウェアは、その悪意ある活動を隠すために、多くの使用しないAPI呼び出しを実行します。
APIハンマーリングと呼ばれる手法です。
短い期間で侵害行為とは関係の低い大量のAPI呼び出しを行うことで、解析を困難にすることを狙った手法です。 - 多段階の暗号化
マルウェアはバイナリを入手して悪意ある活動に使用しますが、そのバイナリは何段階にもわたって暗号化されています。
また復号化のために必要となるキーはそのまま入手されたりする形式ではなく、計算によって導き出されたものを使用するような機構の部分も含んでいます。
この動きも解析の難しさにつながる特徴です。 - DNSを使った接続先解決
C2接続を実施する際、LegionLoaderはDNSを使用します。
ただ、単に接続したいC2の名前解決を行うということではなく、DNSで入手した文字列を使って取り出した文字列を復号化するとC2に接続するためのURLを取り出すことができるという形式になっています。 - 取得したものの実行
取得するものの形式は複数種あります。
各種処理を経て入手したものがバッチフィル形式の場合、それはShellExecuteA関数を使用して実行されます。
そして、入手したものがDLLの場合、rundll32.exeを使用して実行されます。
このマルウェアに感染した状態では、そのPCでいくつもの活動を実現できてしまいます。
電子メール内容の変更、Webブラウザの閲覧アクティビティの監視、被害者の認証情報でのサイトの閲覧、スクリーンのキャプチャ、暗号資産の残高確認や引き出しなどの金融操作などです。
ファイルの入手と利用には注意が必要です。
Advancing Through the Cyberfront, LegionLoader Commander
https://trac-labs.com/advancing-through-the-cyberfront-legionloader-commander-6af38ebe39d4
| この記事をシェア |
|
|---|
