攻撃チェーンの第一ステップとなる「ローダー」
ローダーは昔からサイバー犯罪に利用されてきました。複数のマルウェアをリモートからダウンロードして実行するといった比較的単純な機能であるため、ファイルサイズが小さくて済むという利点があるからです。難読化したり、様々な検知回避機能を実装したりしたとしても、これまでに説明してきたバックドアやインフォスティーラーに比べてファイルサイズが小さいということです。そのため、VBSやPowerShelll、Pythonなどのスクリプトに本体を埋め込むことが可能であり、オフィスファイルのマクロとして実装されます。また、ダウンロード先のファイルを置き換えたり設定ファイルを変更したりするだけで、ダウンロードされるマルウェアを自由に変更できるのも利点といえるでしょう。
このようにローダーは攻撃者にとって様々な利点があることから、マルウェア感染の尖兵としてよく利用されます。これが攻撃チェーンの最初のステップとなるわけです。ローダーに感染させるためには、様々な手法を駆使してユーザーにローダーを実行させなければなりません。つまり、ローダーはユーザーを巧妙に騙す手法がつまっているのです。こうした理由から、ローダーの感染手法を理解することは、マルウェアの感染を防ぐために有効な方法といえます。
なお、バックドアやインフォスティラーなどの高機能なマルウェアにはダウンロード機能があり、実際にマルウェアに感染したという被害も見られますが、今回はローダーがメインのマルウェアに限定してお話しします。
ヘルプデスクやGoogle Driveを悪用した巧妙な手口
具体的な例をいくつか紹介しましょう。まずはGuLoader(別名:CloudEyE、Vdropper)というローダーについて説明します。これらは2019年ごろから登場した比較的新しいマルウェアの種類で、次のようなマルウェアのロードに関与しています。
- Agent Tesla
- FormBook
- Remcos
- LokiBot
これらはVBSやPowershellなどのスクリプトに埋め込まれ、そのスクリプトから実行されるケースが多く見られます。Guloaderは、合法なプロセスを実行した後、そのプロセスの中身を空洞化してから不正なペイロードをロードして実行するProcess Hollowingと呼ばれる手法を使うことも。これによって、一見プロセスは問題ないように見えますが、実は中身がマルウェアだったという事態が発生するのです。Process Hollowingは、このように他のマルウェアを実行する場合に使われる欺瞞工作の一つですね。
Bazarloaderも特徴的なローダーの一つ。動的なドメイン生成手法であるDGA(Domain Generation Algorithm)を使っており、そこで生成されるドメイン名にbazarという文字列が並んでいたため、このような名称がつけられています。
【画像クリックで拡大】
また、このローダーには特徴的な感染手法が用いられています。実際にあった手法を2つご紹介しましょう。1つ目は、たとえばGoogle Driveにこのローダーを設置し、そこにアクセスするためのリンクを不正メールとして送るといったものです。
【画像クリックで拡大】
もう一つは、ヘルプ詐欺のような手口を利用したもの。ヘルプデスクへのアクセス方法が不正メールに記載されており、ユーザーがヘルプデスクにアクセスすると、ローダーをインストールして実行するようガイドされます。幸いにも日本語での案内はないので国内での被害はほとんどなかったようです。ただし、似たような手口として日本語でバックドアをインストールするように指示されるサポート詐欺があり、これに関しては国内で被害が発生したといわれています。このような詐欺の手法は、攻撃者が被害者ごとに電話対応する必要があるため効率的ではなく、主要な攻撃手法になるとは予想しづらいものの、警戒するに越したことはありません。
