サイバーニュース.jp

世界のサイバーなニュースを配信

GuLoaderがポリモーフィック型マルウェアと信頼されたクラウドインフラを活用し検出を回避

カテゴリ:

概要:進化するマルウェアGuLoaderの脅威

2019年後半から活動しているGuLoader(別名CloudEye)は、巧妙なマルウェアダウンローダーです。その主な機能は、リモートアクセス型トロイの木馬(RAT)や情報窃取型マルウェアといった二次的なマルウェアを侵害されたシステムにダウンロード・インストールすることです。

検出回避戦略:信頼されるクラウドサービスの悪用

GuLoaderの最も効果的な検出回避戦略の一つは、Google DriveやMicrosoft OneDriveのような正規のクラウドサービスを利用することです。セキュリティツールが疑わしいサーバーを容易にブロックできるのに対し、GuLoaderはこれらの信頼されたプラットフォームに悪意のあるペイロードを格納します。これにより、組織やアンチウイルスソフトウェアが通常信頼するドメインを利用するため、評判ベースのフィルタリングシステムを迂回できます。Zscaler ThreatLabzによる最近の技術分析では、GuLoaderが高度な技術、特にポリモーフィックコードと信頼されたクラウドホスティングを駆使して、従来のセキュリティ検出をすり抜けるよう進化していることが明らかになりました。GuLoaderは実行時にこれらの正規URLにアクセスして隠されたペイロードをダウンロードし、通常のネットワークトラフィックに紛れ込みます。

検出を欺くポリモーフィックコード

セキュリティアナリストが標準的な「フィンガープリント」やシグネチャを作成して検出するのを防ぐため、GuLoaderはポリモーフィックコードを使用します。これは、同じ機能を実行しながらコードの外観が絶えず変化することを意味します。GuLoaderは、movxoraddsubといったアセンブリ命令を組み合わせて、実行時に必要な定数を動的に構築します。例えば、単に定数値(例:数字の5)をコードに直接書き込むのではなく、一連の数学演算を用いて動的に計算します。これにより、基盤となるコードがイテレーションごとに異なって見えるため、静的検出シグネチャは効果がなくなります。

高度な検出回避:例外ベースの制御フロー(クラッシュ戦術)

GuLoaderが採用する最も複雑な技術は、例外ベースの制御フローです。通常のソフトウェアでは、「ジャンプ」命令を使用してコードのあるセクションから別のセクションへ移動しますが、GuLoaderは分析ツールを混乱させるために意図的にプログラムを「破壊」します。標準的なジャンプの代わりに、GuLoaderは意図的にコンピューターエラー(例外)を引き起こします。エラーが発生すると、カスタムの「例外ハンドラー」(エラーを修正するように設計されたコード)が制御を引き継ぎます。このハンドラーは、コードがどこに移動すべきだったかを計算し、プログラムをそこにリダイレクトします。この例外ハンドラーには、ジャンプ先のメモリアドレスにソフトウェアブレークポイントの存在を検証する追加のアンチデバッグメカニズムも含まれています。自動化されたセキュリティツールから見ると、これはプログラムがクラッシュしたように見えるため、マルウェアの真の実行パスを追跡することが極めて困難になります。

クラッシュ戦術の進化

  • 2022年: ハンドラーをトリガーするためにシンプルなソフトウェアブレークポイント(割り込み)を使用していました。
  • 2023年: 「シングルステップ」および「アクセス違反」例外を使用し始めました。これは、許可されていない場所にデータを書き込もうとすることでリダイレクトをトリガーします。
  • 2024年〜2025年: 最新バージョンでは、「不正命令」例外を使用します。マルウェアは意図的にCPUが理解できないコマンドを実行しようとします。その後、クラッシュハンドラーはハードコードされたキーを使用して、次に進むべき場所を解読します。

内部データの保護

GuLoaderは、コマンド&コントロール(C2)サーバーのアドレスなどの内部データを保護しています。これには動的なXOR暗号化が使用されます。これらの文字列を構築するコードがポリモーフィックであるため、アナリストはファイルを単純に見てURLを読み取ることはできません。

結論:継続的な脅威と今後の課題

GuLoaderは、絶え間ない適応により依然として強力な脅威であり続けています。主要なクラウドプロバイダーの信頼を悪用し、複雑な「自己クラッシュ」メカニズムでそのフローを隠すことで、多くの標準的な防御ツールを無効化します。Zscalerのセキュリティ研究者は、これらの新しい亜種を難読化解除するための専門的なスクリプトをリリースしていますが、マルウェアの継続的な進化は、予測可能な将来において挑戦であり続けることを示唆しています。

侵害の痕跡(IOCs)

  • 90de01c5ff417f23d7327aed517ff7f285e02dfe5dad475d7f13aced410f1b95 (Version 2022)
  • 274329db2d871d43eed704af632101c6939227d36f4a04229e14603f72be9303 (Version 2022)
  • 4be24d314fc9b2c9f8dbae1c185e2214db0522dcc480ba140657b635745e997b (Version 2023)
  • 0bcc5819a83a3ad0257a4fe232e7727d2f3d04e6f74c6d0b9e4dfe387af58067 (Version 2023)
  • 7fccb9545a51bb6d40e9c78bf9bc51dc2d2a78a27b81bf1c077eaf405cbba6e9 (Version 2024)
  • 53bad49e755725c8d041dfaa326e705a221cd9ac3ec99292e441decd719b501d (Version 2024)

元記事: https://gbhackers.com/guloader-leverages-polymorphic-malware/

投稿をさらに読み込む