AhnLab Security Emergency response Center(ASEC)は、下記のブログで .NET パッカーの種類および拡散動向レポートを公開した。レポートで確認できるように、.NET パッカーの大半はパッカーを通じて隠している実際の不正な EXE をローカルに生成せず、正常なプロセスにマルウェアを注入して動作させる。
.NET パッカーは Remcos、FormBook、ScrubCypt、AsyncRAT など、様々なマルウェアを配布する際の初回配布ファイルまたは中間段階のローダーの役割として悪用されている。.NET パッカーに隠されている不正なファイルが C2 コマンドによって制御されるバックドアタイプの場合は、検知が困難になる可能性がある。これはバックドアがコマンドを受信していない休眠状態の場合、C2 通信の他に変わった振る舞いがない場合があるためである。
AhnLab EDR 製品では .NET パッカーが使用されたマルウェアが、プロセスハロウイングを実行する振る舞いの記録が残るため、これを侵入と認知して追跡し、C2 を確保することができる。そのため、二次被害発生の防止に大変役に立つ。下記の図はプロセスハロウイングを実行する .NET パッカーを検知した図である。
[図1]は Remcos マルウェアを配布する .NET パッカー(Malware_exe.exe)マルウェアが、EDR で検知されたダイアグラム画面である。この .NET パッカー(Malware_exe.exe)は、内部の Remcos マルウェアで正常なプロセス(AddinProcess32.exe)にハロウイング手法を実行する。このハロウイングの主体および対象は[図2]で確認できる。ハロウイングをすることで、Remcos マルウェアはユーザー環境にファイルで生成されず、AddinProcess32.exe で動作する。正常なプロセス(AddinProcess32.exe)で動作する Remcos マルウェアは[図3]のように C2 通信のみを実行する。このようにバックドアが C2 を通じてコマンドを受信していない休眠状態の場合、C2 通信の他に変わった振る舞いはないが、ハロウイングの振る舞いによって侵入を認知することができる。
[図1] EDR 検知ダイアグラム
[図2] EDR 検知ダイアグラム(プロセスハロウイング)
[図3] EDR 検知ダイアグラム(C2 通信)
AhnLab EDR 検知時点のタイムラインでも、ハロウイングおよび C2 通信に関する内容が確認できる。[図4]のように、ハロウイングを実行する .NET パッカーマルウェアのハロウイング実行主体および実行対象プロセスに関する内容を確認でき、[図5]のようにハロウイングされた正常なプロセス(AddinProcess32.exe)で動作する Remcos マルウェアの C2 通信も確認できる。
[図4] EDR 検知ダイアグラム(プロセスハロウイング)
[図5] EDR 検知ダイアグラム(C2 通信)
AhnLab V3、EDR 製品では、プロセスハロウイング手法を使用する .NET パッカーの脅威について、以下のような検知名で検知している。
[ファイル検知]
Trojan/Win.Fileless(2023.05.11.01)
[ビヘイビア検知]
Injection/EDR.Hollowing.M11084
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知