一見問題なさそうでも実はマルウェアに感染している? ユーザーを騙す悪名高き“3大ローダー”とは
第3回:マルウェアに感染させる役割を担うローダーを知る

サイバー攻撃への備えにおいては、攻撃を事前に防ぐことから「サイバー攻撃を予測し、耐え、回復する」レジリエンスを強化することを重要視する傾向へと変化しています。予測するためには、どのようなマルウェアによる攻撃があるのかを知り、攻撃されることを前提に対策を取ることが重要です。そこで本連載では、“レジリエンスを実現する”ことを念頭に、様々なマルウェアやサイバー脅威を紹介し、具体的な例を用いて機能や攻撃能力、アクターを解説。第3回目の本稿では、第1~2回目で説明してきたようなマルウェアに感染させる役割を持ったローダーと呼ばれるマルウェアについて詳しく説明します。
攻撃チェーンの第一ステップとなる「ローダー」
ローダーは昔からサイバー犯罪に利用されてきました。複数のマルウェアをリモートからダウンロードして実行するといった比較的単純な機能であるため、ファイルサイズが小さくて済むという利点があるからです。難読化したり、様々な検知回避機能を実装したりしたとしても、これまでに説明してきたバックドアやインフォスティーラーに比べてファイルサイズが小さいということです。そのため、VBSやPowerShelll、Pythonなどのスクリプトに本体を埋め込むことが可能であり、オフィスファイルのマクロとして実装されます。また、ダウンロード先のファイルを置き換えたり設定ファイルを変更したりするだけで、ダウンロードされるマルウェアを自由に変更できるのも利点といえるでしょう。
このようにローダーは攻撃者にとって様々な利点があることから、マルウェア感染の尖兵としてよく利用されます。これが攻撃チェーンの最初のステップとなるわけです。ローダーに感染させるためには、様々な手法を駆使してユーザーにローダーを実行させなければなりません。つまり、ローダーはユーザーを巧妙に騙す手法がつまっているのです。こうした理由から、ローダーの感染手法を理解することは、マルウェアの感染を防ぐために有効な方法といえます。
なお、バックドアやインフォスティラーなどの高機能なマルウェアにはダウンロード機能があり、実際にマルウェアに感染したという被害も見られますが、今回はローダーがメインのマルウェアに限定してお話しします。
ヘルプデスクやGoogle Driveを悪用した巧妙な手口
具体的な例をいくつか紹介しましょう。まずはGuLoader(別名:CloudEyE、Vdropper)というローダーについて説明します。これらは2019年ごろから登場した比較的新しいマルウェアの種類で、次のようなマルウェアのロードに関与しています。
- Agent Tesla
- FormBook
- Remcos
- LokiBot
これらはVBSやPowershellなどのスクリプトに埋め込まれ、そのスクリプトから実行されるケースが多く見られます。Guloaderは、合法なプロセスを実行した後、そのプロセスの中身を空洞化してから不正なペイロードをロードして実行するProcess Hollowingと呼ばれる手法を使うことも。これによって、一見プロセスは問題ないように見えますが、実は中身がマルウェアだったという事態が発生するのです。Process Hollowingは、このように他のマルウェアを実行する場合に使われる欺瞞工作の一つですね。
Bazarloaderも特徴的なローダーの一つ。動的なドメイン生成手法であるDGA(Domain Generation Algorithm)を使っており、そこで生成されるドメイン名にbazarという文字列が並んでいたため、このような名称がつけられています。

【画像クリックで拡大】
また、このローダーには特徴的な感染手法が用いられています。実際にあった手法を2つご紹介しましょう。1つ目は、たとえばGoogle Driveにこのローダーを設置し、そこにアクセスするためのリンクを不正メールとして送るといったものです。

【画像クリックで拡大】
もう一つは、ヘルプ詐欺のような手口を利用したもの。ヘルプデスクへのアクセス方法が不正メールに記載されており、ユーザーがヘルプデスクにアクセスすると、ローダーをインストールして実行するようガイドされます。幸いにも日本語での案内はないので国内での被害はほとんどなかったようです。ただし、似たような手口として日本語でバックドアをインストールするように指示されるサポート詐欺があり、これに関しては国内で被害が発生したといわれています。このような詐欺の手法は、攻撃者が被害者ごとに電話対応する必要があるため効率的ではなく、主要な攻撃手法になるとは予想しづらいものの、警戒するに越したことはありません。
この記事は参考になりましたか?
- この記事の著者
-
本城 信輔(ホンジョウ シンスケ)
サイバーリーズン合同会社 Japan CISO 本城 信輔(ほんじょう しんすけ)
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術に...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア