2019~活動が盛んなマルウェアローダーのLTです。

1. 知られざるLOADERマルウェアの
世界
ISACA名古屋支
部
理事 調査研究担当
長谷川 達也
2020.07 月例会LT
※発表内容は、個人の見解であり所属組織を代表するものではありません。 1

2. LOADER
• LOADする者 -----------------------------------------
何を？
• 聞いたことある呼称だと、DOWNLOADER --------- 他にもあるの？
• 知られてないだけで近年よくみます ---------------------- なん
で？
• 最近の流行
• まとめ
2

3. LOADER
•「マルウェア」をLOAD
• 進化とか変身の類で、機能（できること）を増やしていく
• 進化
• 同一プロセス オンメモリ/バイナリファイル
• 変身
• 別プロセス オンメモリ/実行ファイル
• iexplorer.exe/svchost.exeなど別プロセスにコードインジェクション
• ファイル形式でディスクに落とす
何をロードするの？
3

4. DOWNLOADER
• ダウンローダー
• よくメディアなどでも書かれているタイプ。
• メールに添付れているリ悪意のあるOfficeファイルとかURLをクリックしてマ
ルウェアファイルを落とす (Windowsだと実行可能なexeファイルなどが落
ちてくる)
• 他 LOADERと呼ばれたマルウェアファイル
• SmokeLoader GuLoader BuerLoader など
• LOADERと名前がついていないけど、実際はLOADER経由のもの
• 昨年のEmotet
• Dridex TSCookie PLUGX など
他にもあるの？
4

5. 名称 特徴 私的分類
Downloader 一般名称。〇〇のダウンローダーなどと言われる。 変身/ファイル
SmokeLoade
r
2011年登場。機能拡張をし続けている。 進化/ファイル/オンメモリ
BuerLoader 2019年登場。ロシア製。バンキングトロイなどを落としてくる 進化/オンメモリ
GuLoader 2020年登場。GoogleDrive/OneDriveを追加機能の取得に利用 変身/オンメモリ
Emotet 2015年登場、当時はバンキングトロイ機能のみ。201年ローダーとし
て大流行。Trickbotバンキングトロイ/Ryukランサムウェアなど
進化/オンメモリ
変身/ファイル
5

6. 知られてないだけで近年よくみます
•初期ファイルとしての自分自身に悪性コードを多く持たない
•従来のアンチウイルスソフトのパターンマッチングなどで検
知されにくい
•ファイルサイズも小さめ
•感染目的、正体を表さないステルス性能高め
•解析妨害機能 多数
•ただし、目的の機能を外から持ってこなければならない
なんで？
6

7. 最近の流行
7
GuLoader
コロナ関連のメールスパムなど
https://securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html
https://unit42.paloaltonetworks.jp/guloader-installing-netwire-rat/
https://www.lac.co.jp/lacwatch/report/20200611_002213.html

8. 8
NetWir
e
GuLoad
er
Remco
s
AgentTes
la
Azorult
ClipBank
er
バックドア
スティーラー
ランサムウェア
Hakbit
Nanoco
re
Formboo
k
Lokibot

9. GULOADERの仕組み
EXE
•Microsoft Visual Basic 5.0/6.0
•シェルコードの展開
RegAsm.exe
( or Dropfile)
•シェルコードがインジェクションされる
•潜伏ファイル、レジストリ作成挙動
•解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug)
RegAsm.exe
( or Dropfile)
•プロセスホロウィング手法
•別マルウェアデータをダウンロード
•XOR復号して実行
•別マルウェアがこのプロセス上で動く
9
例:azo_encrypted_XXXXXX.bin
Azorult, etc

10. GULOADERの正体
• イタリアのCloudEyeというクリプターをビルダー
として作成されている。ハッカーフォーラムで
宣伝されていた。
• Checkpointが2020年6月8日に暴露ブログ出したことにより、6月中旬ご
ろからスパッと新しいGuLoaderをみかけなくなった。CloudEyeに規制が
かかった可能性が高い。
• 7月に入ってからも全くみかけない。
10
https://research.checkpoint.com/2020/guloader-cloudeye/
https://www.securitycode.eu/

11. 11
CloudEye came back !?

12. まとめ
• ローダーという名前は誤解を生みやすい 日本語の 「の」 がやっかい
• MimikazのPowershellローダー
• Mimikaz機能をもつPowershell？ MimikazをロードするPowershell？
• Emotetのダウンローダー
• Emotetをダウンロードする？ Emotetが他のファイルをダウンロードする？
• マルウェアの名前に振り回されず、感染が疑われる際はIOC（Indicator Of
Compromise）で検索をかけよう。マルウェアファミリ名から検索しはじめるの
は△
• MD5/SHA256 ファイルハッシュ
• C&CサーバーのURL
• 潜伏固執する際のレジストリキー、ファイル名やパス
• Mutex
12

13. ご清聴ありがとうございました
• もっと深い話はまた別の機会に！
• さらなる学びの参考)
• マルウェアファミリ名辞典
• https://malpedia.caad.fkie.fraunhofer.de/
• マルウェアのトレンド増減
• https://any.run/malware-trends/
13