サイバーニュース.jp

世界のサイバーなニュースを配信

PDFSIDERマルウェア、アンチウイルスおよびEDR防御を回避するために悪用される

カテゴリ:

概要

セキュリティ研究者たちは、EDR(Endpoint Detection and Response)システムを回避するためにDLLサイドローディングを悪用する、洗練されたバックドア型マルウェア「PDFSIDER」の新たな亜種を特定しました。この脅威は、回避メカニズムと暗号化されたコマンド&コントロール(C2)機能を組み合わせ、侵害されたシステムへの隠れたアクセスを維持する高度なAPT(Advanced Persistent Threat)戦術を示しています。

PDFSIDERマルウェアの感染経路

PDFSIDERの感染経路は、有効な証明書で署名された正規の実行可能ファイルを含むZIPアーカイブを配信するスピアフィッシングキャンペーンから始まります。このペイロードは、Miron Geek Software GmbHが開発したPDF作成およびファイル変換用の生産性ソフトウェアであるPDF24 Creatorになりすまします。被害者がこのEXEファイルを実行すると、画面に表示されることなく静かに初期化され、マルウェアの感染シーケンスが開始されます。

高度な回避メカニズム:DLLサイドローディング

攻撃はPDF24ソフトウェアの既知の脆弱性を悪用し、DLLサイドローディングを通じて悪意のあるペイロードを展開します。この技術では、悪意のあるcryptbase.dllが正規のPDF24.exeアプリケーションの隣に配置され、正規のプロセスが本来のシステムライブラリではなく、攻撃者のDLLをロードするように仕向けます。この手法により、疑わしいDLLインジェクションの試みを監視する従来のEDR検出メカニズムを効果的にバイパスします。

技術的特徴とC2通信

PDFSIDERは、成功裏に実行されるとWinsock接続を初期化し、システム情報の収集を開始します。マルウェアは主にメモリ内で動作し、ディスク上の痕跡を最小限に抑えることでフォレンジックの可視性を低下させます。コマンド実行は、CREATE_NO_WINDOWフラグを使用し、コンソールウィンドウを表示せずにcmd.exeを介して構築された匿名パイプを通じて行われます。マルウェアは包括的なシステム情報を抽出し、一意のシステム識別子を生成し、収集したデータを攻撃者のインフラストラクチャに送信します。これにより、攻撃者はインタラクティブな機能を備えたリモートコマンドシェルを確立し、任意のシェルコマンド実行と出力の持ち出しを可能にします。

重要な技術的指標として、AES-256-GCM認証付き暗号化用に設定された埋め込み型Botan 3.0.0暗号ライブラリが挙げられます。マルウェアはGalois/Counter ModeでAEAD(Authenticated Encryption with Associated Data)を実装し、すべての送受信通信が暗号化され認証されることを保証します。この洗練された暗号実装は、攻撃者が金銭目的ではなく、スパイ活動に焦点を当てた操作に典型的な、コマンドチャネルの完全性と機密性の維持を優先していることを示唆しています。すべての機密データはメモリ内で排他的に復号化され、暗号化されていないアーティファクトがディスクに到達するのを防ぎます。このアプローチは、セキュリティ監視ツールやインシデントレスポンダーによる検出を大幅に困難にします。

脅威アクターは、リースされたVPSサービスを通じてC2インフラストラクチャをプロビジョニングし、DNSポート53を通じて暗号化された持ち出しデータを転送することで、正規のDNS通信の中に悪意のあるトラフィックを隠蔽しています。

高度な回避メカニズム

PDFSIDERは、サンドボックス、仮想マシン、分析ラボを検出するために設計された多段階の環境検証ルーチンを組み込んでいます。マルウェアはGlobalMemoryStatusEx関数を利用してシステムRAM容量を評価し、仮想環境によく関連付けられる不十分なメモリを持つシステムでは早期終了をトリガーします。さらに、マルウェアはデバッガー検出メカニズムを実装しており、制御されたセキュリティ分析プラットフォームではなく、正規の運用環境でのみ実行されることを保証します。

組織が取るべき対策

PDFSIDERは、正規のアプリケーションの悪用とメモリ常駐型の実行を通じて、従来のセキュリティツールがどのように回避されるかを示す洗練された脅威です。組織は、行動監視昇格されたプロセス実行制御、および暗号異常検出を実装する必要があります。この事件は、複数の検出レイヤーを組み合わせたアプリケーションパッチ適用と多層防御戦略の重要性を強調しています。脅威アクターは、AIを活用したコード分析ツールによってますます容易になる正規のソフトウェア脆弱性を利用し、エンタープライズネットワーク内で永続的かつ隠れたアクセスを維持し続けています。

侵害の痕跡(IOCs)

  • ファイル名: About.dll, MD5ハッシュ: e0e674ec74d323e0588973aae901b5d2, ステータス: クリーン
  • ファイル名: Cryptbase.dll, MD5ハッシュ: 298cbfc6a5f6fa041581233278af9394, ステータス: 悪意あり
  • ファイル名: Language.dll, MD5ハッシュ: 80e4a29270b828c1f97d9cde9475fcbd, ステータス: クリーン
  • ファイル名: NotifyIcon.dll, MD5ハッシュ: 96ff508f9be007062b1770691f489e62, ステータス: クリーン
  • ファイル名: Pdf24.exe, MD5ハッシュ: a32dc85eee2e1a579199050cd1941e1d, ステータス: クリーン
  • ファイル名: Settings.dll, MD5ハッシュ: 9f9dd5a432b4dde2160c7a7170e0d069, ステータス: クリーン

元記事: https://gbhackers.com/pdfsider-malware/

投稿をさらに読み込む