ニュース

日本と韓国を狙う巨大マルウェア、ゴミデータでファイルサイズ肥大化100MB超、検知を逃れる古典的な手口

 日本と韓国を狙った標的型攻撃グループの活動について、Kaspersky Labが同社公式ブログで分析を行っている。

 このグループが攻撃ツールの1つとして使用するマルウェアファミリー「XXMM」について、Kaspersky Labでは2017年初頭、Windowsサービスのホストプロセス名「svchost.exe」に似せた「srvhost.exe」という100MBを超えるファイル名のトロイの木馬の検体を入手。これを解析したところ、非常に大きなサイズの無意味なゴミデータがファイル末尾に追加されていた。

 ファイルサイズを大きくすることで、サンドボックスやアンチウイルス、YARAルールによる検知の回避と推測している。Pythonベースのオープンソースプログラムである「YARA」では、マルウェアを検知・解析・分類するために、文字列や条件、演算子、正規表現などを用いて記述したルールを用いる。このルールにおいて、スキャンプロセスのパフォーマンス向上を目的に、スキャン対象のファイルサイズを制限することがままあるといい、Kasperskyではこの点について考慮すべきとしている。

 こうしたファイルサイズの肥大化は古典的な手口で、かつてのポリモーフィック型のウイルスやワームもこの手口を多用していたほか、動画ファイルやISOファイルに偽装したマルウェアが、ファイル共有ソフトを介して拡散した例も確認されていたとのことだ。

 追加される無意味なデータは、乱数値に基づいて、攻撃の後半段階に動的に作成され、そのサイズは変化する。Kasperskyでは、同様に無意味なデータを追加した検体を20個以上発見したが、ゴミデータを除くと、固有の検体は6個だけだったという。また、50MBなどのサイズの違う検体が実際の攻撃で使用されたことを確認したほか、200MBの検体も発見したとのことだ。

ローダーモジュール+ゴミデータでサイズが100MBを超える検体の例

 XXMMの名前は、pdb文字列(C:Users123documentsvisual studio 2010Projectsxxmm2Releasetest2.pdb)に由来している。Kasperskyでは、コードの類似性やマルウェアの機能、暗号アルゴリズム、データ構造、モジュールの構成などの点から、今回の検体についてXXMMマルウェアの亜種と判断したという。

 この亜種は、暗号化されたバックドアモジュールを抱えており、バックドアモジュールには「wali」の文字列が埋め込まれていた。攻撃グループは「waliバックドア」と名付けているとのことだ。

「[wali]」セクションの文字列

 亜種自体はローダーモジュールで、waliバックドアを復号化して、特定プロセスのメモリ内へロードする。また、「waliローダー」をインストールする「waliドロッパー」も発見されている。追加されるゴミデータは、このwaliドロッパーにより生成されるとのことだ。

waliモジュールの構造