概要

Qilin ランサムウェアグループは、高度に洗練された感染チェーンを開発し、300 以上のエンドポイント検出および応答 (EDR) ソリューションを対象としています。この攻撃では、悪意のある「msimg32.dll」ファイルが展開され、従来のアンチウイルス防御をバイパスし、ペイロードを完全にメモリ内で実行します。

初期感染

攻撃は、正当なアプリケーションが意図せず悪意のある「msimg32.dll」ファイルを側面読み込みするときに始まります。この不正 DLL は、正常な要求をすべて Windows ディレクトリにある実際のライブラリに転送することで、すぐに疑いを避けることができます。

感染チェーン

悪意のある DLL が成功裏に読み込まれると、マルウェアはその初期化関数から隠れたペイロードを直接トリガーし、複雑な回避プロセスを開始します。このマルウェアは、セキュリティイベントのログ記録を抑制し、標準のユーザーモードフックを無効にするカスタムローダーを使用しています。

ペイロードの実行

マルウェアは、システムの言語設定をチェックして基本的なジオフェンシングを実施します。ポスト・ソビエト諸国で一般的に使用される言語が検出された場合、プロセスは意図的にクラッシュし、これらの特定のシステムへの感染を避けることができます。

悪意のあるカーネルドライバ

最終段階がアクティブになると、マルウェアは管理者権限に昇格します。その後、2 つの異なるカーネルレベルのヘルパードライバーをロードして、基本的なセキュリティツールから内部的に機能を停止させます。

• rwdrv.sys: 正常に署名されたドライバ「ThrottleStop.sys」に変更され、物理システムメモリへの直接読み書きアクセスを提供します。
• hlpdrv.sys: カスタムの悪意のあるドライバーで、保護された EDR プロセスを終了し、アンチウイルスソフトウェアを無効にします。

これらのドライバを使用して、マルウェアはハードコードされたターゲット EDR ドライバのリストを反復処理し、プロセス作成やイメージローディングなどの重要なシステムイベントに対する監視コールバックを無効にします。

EDR ソフトウェアの無効化

マルウェアは Windows コード整合性の強制を一時的に無効にして、特定のカーネル検証関数を上書きすることで、システム構造を自由に変更します。これにより、致命的なクラッシュやセキュリティ警告がトリガーされません。

結論

EDR ソフトウェアが成功裏に無効化された後、マルウェアはこれらの元の整合性チェックを復元し、フォレンジック痕跡を減らします。これにより、Qilin ランサムウェアは検出されずに進行することができます。

---

元記事: https://gbhackers.com/qilin-ransomware-deploys-malicious-dll/