Mais conteúdo relacionado
ISACA名古屋支部2020年7月LT大会.pptx
- 4. DOWNLOADER
• ダウンローダー
• よくメディアなどでも書かれているタイプ。
• メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマ
ルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落
ちてくる)
• 他 LOADERと呼ばれたマルウェアファイル
• SmokeLoader GuLoader BuerLoader など
• LOADERと名前がついていないけど、実際はLOADER経由のもの
• 昨年のEmotet
• Dridex TSCookie PLUGX など
他にもあるの?
4
- 5. 名称 特徴 私的分類
Downloader 一般名称。〇〇のダウンローダーなどと言われる。 変身/ファイル
SmokeLoade
r
2011年登場。機能拡張をし続けている。 進化/ファイル/オンメモリ
BuerLoader 2019年登場。ロシア製。バンキングトロイなどを落としてくる 進化/オンメモリ
GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用 変身/オンメモリ
Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとし
て大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど
進化/オンメモリ
変身/ファイル
5
- 9. GULOADERの仕組み
EXE
•Microsoft Visual Basic 5.0/6.0
•シェルコードの展開
RegAsm.exe
( or Dropfile)
•シェルコードがインジェクションされる
•潜伏ファイル、レジストリ作成挙動
•解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug)
RegAsm.exe
( or Dropfile)
•プロセスホロウィング手法
•別マルウェアデータをダウンロード
•XOR復号して実行
•別マルウェアがこのプロセス上で動く
9
例:azo_encrypted_XXXXXX.bin
Azorult, etc
- 12. まとめ
• ローダーという名前は誤解を生みやすい 日本語の 「の」 がやっかい
• MimikazのPowershellローダー
• Mimikaz機能をもつPowershell? MimikazをロードするPowershell?
• Emotetのダウンローダー
• Emotetをダウンロードする? Emotetが他のファイルをダウンロードする?
• マルウェアの名前に振り回されず、感染が疑われる際はIOC(Indicator Of
Compromise)で検索をかけよう。マルウェアファミリ名から検索しはじめるの
は△
• MD5/SHA256 ファイルハッシュ
• C&CサーバーのURL
• 潜伏固執する際のレジストリキー、ファイル名やパス
• Mutex
12
Notas do Editor
- オンメモリとファイルレスは違う