サイバーニュース.jp

世界のサイバーなニュースを配信

MLベースの検出アプローチでLummaStealerの技術的詳細を解明

カテゴリ:

, , , , , , , , ,

LummaStealerの再出現とNetskopeの対応

2025年初頭にLummaStealerは、通信、医療、銀行、マーケティングなど、世界中の様々な業界の被害者を標的とし、サイバー犯罪者によって広く利用されていました。5月に行われた大規模な法執行機関の作戦により、その活動は一時的に停止しましたが、静寂期間を経て、現在、LummaStealerの新たな亜種が出現しています。この再出現を受け、Netskopeは、新しいLummaStealerの亜種を検出するために同社が持つツールの1つを公開しました。

2025年1月、Netskope Threat LabsはLummaStealerのキャンペーンを観測し、その配信メカニズムとTTP(戦術、技術、手順)を文書化しました。この分析では、偽のキャプチャ、悪意のあるアーカイブ、多段階のアンパック技術が詳細に説明されています。最初の開示以来、脅威アクターは難読化レイヤーを洗練させ、検出をより困難にしています。この記事では、Netskope AI Labsが使用する、新しいLummaStealerサンプル(ハッシュ: 87118baadfa7075d7b9d2aff75d8e730)とML駆動の検出戦略に焦点を当てています。

MLを活用した検出アプローチ

NetskopeのAdvanced Threat Protectionプラットフォームは、静的シグネチャとAIおよび機械学習を搭載した動的なサンドボックスベースの分析を組み合わせています。同社の多層アーキテクチャは、インラインの高速スキャンとディープスキャンの両方でMLモデルを適用します。疑わしいファイルは隔離されたWindowsクラウドサンドボックスで実行され、詳細なランタイム動作が記録されます。

  • API呼び出しとDLLインタラクションを含むプロセスツリー
  • レジストリの変更
  • ファイル操作
  • ネットワーク活動

トランスフォーマーベースのモデルは、ツリーの階層的なプロセスツリーを、ツリーの配置エンコーディングによって強化されたノード埋め込みのシーケンスとして取り込みます。同時に、レジストリ書き込み、ファイル作成、アウトバウンド接続などのランタイム行動イベントがベクトル化されます。モデルのツリートランスフォーマー層は、複雑なノード間パターンを捉え、行動ベクトルは異常なアクションを強調します。これらの埋め込みを融合することで、システムは既知のサンプルへの過学習を防ぎながら、以前に検出されなかったマルウェアを特定することに優れています。

実行時、LummaStealerのサンプルは、そのプロセスツリーのフットプリントと行動ベクトルの両方で高い異常スコアをトリガーしました。これにより、Netskopeの特許取得済みのツリートランスフォーマーベースの検出の強度が確認され、新しい難読化レイヤーにもかかわらず、ファイルが悪意のあるものとして浮上しました。

LummaStealerのサンプル分析

分析されたサンプルは、Nullsoft Scriptable Install System(NSIS)インストーラです。NSIS形式は、脅威アクターが正当なインストーラを装ってカスタムスクリプトをバンドルし、起動することを可能にします。Detect It Easy(DIE)による検査でNSIS形式が確認され、埋め込まれたAutoItスクリプトが明らかになりました。7-Zipで抽出すると、2つのアイテムが出現しました。

  • [NSIS].nsi: 難読化されたNSISスクリプトで、難読化されたバッチファイルParish.m4aを呼び出します。
  • Parish.m4a: さらなるペイロードの塊を格納する偽装されたバッチファイルです。

NSISスクリプトはバッチファイルを呼び出し、バッチファイルは名前が変更されたautoit3.exeと関連するu.a3xスクリプトを抽出します。u.a3xファイルには、whileループとswitch-case難読化を使用する悪意のあるAutoItスクリプトが含まれています。

回避および分析妨害技術

このAutoItスクリプトには、以下のような主要な機能が含まれています。

  • 環境チェック: 既知のサンドボックスラベル(tzNfZtFbPfHELICZ)に対してCOMPUTERNAMEを、テストアカウントに対してUSERNAMEを検証します。
  • アンチデバッグ: 速度低下または計測された実行を検出するための時間ベースの改ざん検出。
  • アンチ分析: ダミードメインへのpingを試行し、成功した場合(アナリスト環境を示唆)、自己終了するか、トレイアイコンを非表示にします。
  • DLLアンフック: セキュリティフックをバイパスするために、重要なntdll.dll関数(例: NtCreateProcess)の元のバイトを復元します。

永続化とペイロードの展開

永続化は、CreateProcessWを介してcmd.exeを起動し、Windowsスタートアップフォルダに.urlショートカットを作成することで実現されます。これにより、ログイン時にJScriptラッパーが実行され、AutoItペイロードが再実行されます。

その回避およびアンチ分析技術のため、このサンプルは最初の提出時、VirusTotalで非常に低い検出率(9/73)を示しました。次の段階のペイロードはメモリ内でLZ圧縮されています。自己定義の復号ルーチンは、キーマッピング用と解凍用の2つの関数を使用します。最終的に、Windows API RtlDecompressFragmentWindowsがLZ形式(0x2)でメモリ内のPE実行ファイルをアンパックします。C2が非アクティブであったため、この段階のより深い分析は不可能でした。

Netskopeによる検出結果

NetskopeのAdvanced Threat Protectionは、以下の検出コードでこのサンプルをフラグ付けしました。

  • Win32.Exploit.Generic: 広範なシグネチャカバレッジ。
  • Gen.Detect.By.NSCloudSandbox.tr: サンドボックスベースの検出を示唆。

クラウドサンドボックスのスクリーンショットは、サンプル87118baadfa7075d7b9d2aff75d8e730が正常に検出されたことを確認し、洗練された新しい脅威に対するMLモデルの有効性を示しています。

結論と推奨事項

LummaStealerのオペレーターは進化を続け、正当なツールと多層的な難読化を利用して防御を回避しています。この再出現は、静的分析、動的サンドボックス、ML駆動の検出を統合した高度な脅威防御ソリューションの極めて重要な必要性を浮き彫りにしています。組織はまた、多くの感染経路がエンドユーザーのインタラクションから始まるため、ユーザー意識向上トレーニングを優先すべきです。

NetskopeはLummaStealerのキャンペーンを監視し続け、そのTTPが発展するにつれてタイムリーな更新を提供していくとのことです。

元記事: https://gbhackers.com/unveiling-lummatealer-technical-details-ml-based-detection-approach/

投稿をさらに読み込む