AhnLab Security Emergency response Center(ASEC)は、韓国国内開発業者のインストーラーによって生成されるマルウェアに関して紹介した。
インストーラーと一緒にマルウェアが配布される場合、ユーザーはマルウェアが実行されたことを認知し難く、正常なプログラムにインジェクションされて Fileless で動作する特性により、シグネチャベースの AV(Anti-Virus)製品はこのようなマルウェアの検知が困難である。
しかし、エンドポイントで発生する疑わしい振る舞いをすべて記録して報告する EDR(Endpoint Detection & Response)は、このようなマルウェアの防御回避手法の進化に合わせて下記のように疑わしい振る舞いを検知するため、セキュリティ担当者が認知することができる。
攻撃者は正常なプログラムであるメモ帳(notepad.exe)にインジェクションを実行して追加マルウェアをダウンロードしたり、正常なプロセスである Powersehll.exe を利用して不正な振る舞いを行う。
上記のように、マルウェアの製作者はユーザーの認知を困難にするため、正常なインストールを実行しながらシグネチャ検知を回避するための変種を製作したり、正常なプロセスを利用した Fileless で感染を行う。しかし、EDR は上記のような疑わしい振る舞い自体を検知し、脅威に関するフローをユーザーに可視化して提供している。
IOC
MD5
– e84750393483bbb32a46ca5a6a9d253c:不正なインストーラー
– eefbc5ec539282ad47af52c81979edb3:不正なインストーラー (31254396_hzczvmfw_….vpn1.1.1.exe)
– 10298c1ddae73915eb904312d2c6007d:不正なインストーラー (31254396_LO38iuSd_….Setup1.2.1.exe)
– b4481eef767661e9c9524d94d808dcb6:不正なインストーラー (31254396_a7z34P10_….Install2.1.7.exe)
– 70257b502f6db70e0c75f03e750dca64:不正なインストーラー (167775112_v17MGr85_167775039_EvimzM59_….VPNSetup1.0.4.4.exe)
– 1906bf1a2c96e49bd8eba29cf430435f:不正なインストーラー (167774990_A5TinsS6_….VPNInstaller1.0.4_230710.exe)
– 499f0d42d5e7e121d9a751b3aac2e3f8:不正なインストーラー (31254396_ORZNvfG9_….Fax1.0.0.exe)
– b66f351c35212c7a265272d27aa09656:不正な VPN プログラム
– ea20d797c0046441c8f8e76be665e882:不正な VPN プログラム
– 73f83322fce3ef38b816bef8fa28d37b:暗号化された Sliver C2 (sans.font2)
– 5eb6821057c28fd53b277bc7c6a17465:MeshAgent (preMicrosoft.exe)
– 95dac8965620e69e51a1dbdf7ebbf53a:MeshAgent (Microsoft.exe)
– 23f72ee555afcd235c0c8639f282f3c6:MeshAgent (registrys.exe)
– 27a24461bd082ec60596abbad23e59f2:Web カメラキャプチャマルウェア (m.exe)
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:マルウェアの情報