はじめに:高度なクリプター「Asgard Protector」の脅威
SpyCloud Labsのアナリストが、アンチウイルス検出システムから悪意のあるペイロードを隠蔽するために広く使用されている高度なクリプターツール「Asgard Protector」の解析に成功しました。このクリプターは、現在最も普及している商品型インフォスティーラーであるLummaC2の販売業者の間で好まれる選択肢として特に悪名を馳せています。今回の分析により、マルウェア配布手法の進化する巧妙さを示す複雑な回避技術が明らかになりました。
クリプターは、悪意のあるペイロードを見かけ上無害なパッケージに包み込む保護シェルとして機能し、現代のサイバー犯罪活動において重要な要素となっています。Asgard Protectorは、2023年まで遡るXSSでの広告を通じて、アンダーグラウンドフォーラムでプレミアムサービスとしての地位を確立しています。このサービスは、IPロギング機能、アンチ仮想マシン検出、自動実行機能など、カスタマイズ可能な機能を備えた暗号化されたスタブを生成する自動化されたTelegramボットを通じて運営されています。
技術的アーキテクチャとインストールプロセス
Nullsoftパッケージの悪用
Asgard Protectorの初期配信メカニズムは、インストールスクリプトを含む自己解凍型アーカイブとして機能するNullsoftインストールバイナリを利用しています。このアプローチは、Nullsoftインストーラーが正規のソフトウェアベンダーによって一般的に使用されているため、即座に正当性を提供します。実行されると、バイナリはすべてのコンポーネントをシステムの一時ディレクトリ(%temp%)に抽出し、その後、インストールルーチンを担当するバッチファイルを見つけて実行します。
クリプターは、難読化技術として意図的なファイル拡張子の不一致を採用しています。重要なバッチファイルは、.pstのような拡張子で偽装され、無害なデータファイルのように見えながら、実行可能なスクリプトコードを含んでいます。この誤解は、自動スキャンシステムと初期トリアージを実行する人間のアナリストの両方を回避するのに役立ちます。
難読化とアセンブリ技術
インストールバッチスクリプトは、静的分析をセキュリティ研究者にとって困難にする大幅な難読化を示しています。しかし、SpyCloudの分析により、AutoIt実行可能バイナリの断片的なアセンブリを含む洗練された技術が明らかになりました。スクリプトは、埋め込まれたCABアーカイブからのファイルとハードコードされたマジックナンバー(MZ)ヘッダーを組み合わせることにより、このバイナリを再構築し、その後、findstrコマンドを使用して適切なPEヘッダー配置のための特定のファイルオフセットを特定します。
この再構築方法は二重の目的を果たします。アンチウイルスシグネチャをトリガーする可能性のある完全な実行可能ファイルを保存することを回避し、Windows PEファイル構造に関する高度な理解を示しています。再アセンブルされたAutoItバイナリは、その後、実際のマルウェアペイロードを含むコンパイル済みAutoItスクリプトを実行します。
メモリベースのペイロードインジェクションとサンドボックス回避
メモリベースのペイロードインジェクション
AutoIt環境が確立されると、Asgard Protectorは洗練されたメモリインジェクション技術を実装します。マルウェアペイロードはAutoItスクリプト内に暗号化されたまま残り、RC4アルゴリズムを使用してシステムメモリ内でリアルタイムに復号化されます。このアプローチにより、実際の悪意のあるコードがファイルシステム上に暗号化されていない形式で存在することがなくなり、フォレンジック分析とシグネチャベースの検出を大幅に複雑にします。
復号化されたペイロードは、LZNT1圧縮アルゴリズムを使用したRTLDecompressFragmentによってさらに処理され、クリプターのストレージフットプリントを削減しながら、別の難読化レイヤーを追加します。最終的なペイロードは通常、Windowsの主要なシェルプロセスであるexplorer.exeに注入され、このプロセスが通常ネットワーク接続とファイルシステムアクセスを維持するため、永続性と正当性の両方を提供します。
革新的なサンドボックス回避
Asgard Protectorの最も革新的な側面は、そのサンドボックス検出方法論です。従来の環境フィンガープリンティングに依存するのではなく、クリプターは存在しないはずのランダムに生成されたドメイン名をpingすることでネットワーク接続テストを実行します。正規の環境では、これらのpingは応答を受信しないため、マルウェアは続行できます。しかし、セキュリティ製品がネットワークトラフィックを傍受してシミュレートするサンドボックス環境では、これらのpingが応答を受信する可能性があり、マルウェアに人工的な環境であることを即座に警告します。このような応答を検出すると、Asgard Protectorは実行を終了し、セキュリティ研究者がペイロードサンプルと行動分析データを取得するのを防ぎます。
ペイロード配布統計と検出方法
ペイロード配布統計
VirusTotalからの1,200を超えるAsgard ProtectorサンプルのSpyCloudの分析は、マルウェアファミリー全体での顕著な使用パターンを明らかにしています。LummaC2が約69%の暗号化されたサンプルを占め、このインフォスティーラーとクリプターサービスとの間の強い関係を示しています。Rhadamanthysは11%で2番目に一般的なペイロードであり、ACRStealer、QuasarRAT、Vidar、Autorun Stealerなどの他の様々なマルウェアファミリーがそれに続きます。未識別のサンプルの割合が低い(2%未満)ことは、Asgard Protectorが実験的またはカスタムペイロードではなく、主に確立されたマルウェアファミリーにサービスを提供していることを示唆しています。
分析からの興味深い発見は、複数のアンチウイルスベンダーがAsgard Protectorサンプルを、同様の機能を備えた別のクリプターであるCypherITと誤って識別していることです。この誤認識は、共有コードベースまたは自動分類システムを混乱させるために意図的に模倣された技術を示唆しています。このような分類エラーは、効果のないシグネチャ更新と不完全な脅威ハンティングの取り組みにつながる可能性があります。
Asgard Protectorの検出
その洗練された回避技術にもかかわらず、Asgard Protectorは、セキュリティチームが活用できる検出可能な行動パターンを示しています。クリプターのインストールプロセスには、検出には十分に異常な特定のコマンドシーケンスが含まれます。
- マルウェアは、特定のアンチウイルスプロセス(「bdservicehost」、「SophosHealth」、「AvastUI」、「AVGUI」など)を識別するために、一貫して
tasklistの後にfindstrコマンドを使用します。さらに、「opssvc」や「wrsa」などのパターンを使用してセキュリティサービスプロセスを検索します。 - バイナリ再構築プロセスには、特定のパラメータを持つ特徴的な
extrac32コマンドと、PEヘッダーを特定するためのfindstr操作が含まれます。
これらのコマンドパターンは、プロセス実行監視に焦点を当てた行動検出システムにとって信頼できる指標となります。
企業セキュリティへの影響
Asgard Protectorが示す洗練度は、サイバー犯罪者が高度な持続的脅威グループに伝統的に関連付けられていた技術をますます採用している、サイバー脅威ランドスケープの広範な進化を反映しています。クリプターとLummaC2の統合は、ほとんどの従来のエンドポイントセキュリティソリューションを回避できる手ごわい組み合わせを生み出します。
組織は、シグネチャベースの検出と行動分析、メモリスキャン、ネットワークトラフィック検査を組み合わせた多層的なアプローチを通じて、これらの進化する脅威に対処するためにセキュリティ戦略を適応させる必要があります。Asgard Protectorが採用するサンドボックス回避技術は、マルウェアによって容易にフィンガープリントされない多様な分析環境を実装することの重要性も強調しています。
主要な防御推奨事項には、この分析で特定された特定のコマンドパターンの監視、メモリベースのマルウェア検出機能の実装、およびクリプターサービスの急速な進化を考慮した最新の脅威インテリジェンスの維持が含まれます。セキュリティチームは、アンチウイルス誤分類の影響も考慮し、ベンダー提供のシグネチャを超えて、特定の環境に合わせたカスタム行動ルールを含む検出機能を確保する必要があります。