出典:The History Collection by Alamy Stock Photo
長年にわたり活動しているVidarインフォスティーラーは、新たな難読化技術で進化を遂げています。
これは、サイバーセキュリティベンダーAryakaの研究者によるもので、先週、マルウェア・アズ・ア・サービスVidarを使った新たなキャンペーンに関する調査結果を発表しました。このマルウェアは、ここ数週間で再び登場しています。2018年後半に初めて追跡されたVidarは、インフォスティーラーであり、アフィリエイトが侵害された環境から認証情報、オペレーティングシステムの詳細、クッキー、機密性の高い金融データ、各種認証トークンなどを取得できるようにします。
以前の亜種と比較して、研究者らは述べていますこの最新バージョンは「暗号化されたコマンド&コントロール(C2)チャネル、Living-off-the-Land Binaries(LOLBins)の悪用、隠密な情報流出手法を通じて、より高度なステルス性と持続性を示している」と述べています。
Vidarインフォスティーラーの過去と現在
Vidarは、当初Arkeiマルウェアの派生として始まり、その後数年で独自の強力なプラットフォームへと進化しました。7年以上にわたり存在感を維持してきた理由について、研究者たちは、このマルウェアの導入の容易さ、多用途性、プラグイン互換性、そして全体的な強力さを挙げています。
このマルウェアはソーシャルエンジニアリングによって拡散されることが多く、アフィリエイトが標的にリンクをクリックさせたり、悪意あるバイナリを含む添付ファイルをダウンロードさせたりするフィッシングメールを作成します。また、侵害されたウェブサイトや悪意あるウェブサイト、さらに正規ソフトウェアを装ったマルバタイジングキャンペーンを通じても拡散します。
「この多角的な戦略により、Vidarは幅広いターゲットに到達でき、ユーザーの信頼を悪用し、正規のコンテンツを巧妙に模倣することで、基本的な防御を頻繁に回避しています」とAryaka Threat Research LabのBikash Dash氏とVaradharajan Krishnasamy氏は記しています。
あらゆるレベルでの防御回避
技術的な観点では、ユーザーが誤って感染すると、まずPowerShellスクリプトが実行され、Vidarのバイナリやその他の実行用コンポーネントを準備するスクリプトが読み込まれます。感染のあらゆる段階に難読化が組み込まれています。
「ペイロードを隠密に取得するために、このスクリプトは複数の回避技術を統合したカスタムDownload-Reliable() PowerShell関数を使用します。マルウェアは、トラフィックを『PowerShell』として偽装し、正規のものに見せかけることでステルス性と持続性を両立しつつ、指数バックオフとジッターを使って繰り返しの接続を目立たなくしています」とDash氏とKrishnasamy氏は記しています。「通信中のエラーは静かに抑制され、ログを減らし防御側の注意を避けます。信頼性を確保するため、不安定な環境でもダウンロードを何度も再試行します。同時に、ディレクトリやファイル名をランダム化し、各インスタンスが異なるように見せてシグネチャベースの検知を困難にしています。」
さらに、Windows Defenderの例外を追加したり(このマルウェアは主にWindowsマシンを標的とします)、WindowsのAntimalware Scan Interface(AMSI)機能の回避を試みるスクリプトを追加したりして、防御を回避しようとします。
巧妙な手口として、Vidarはユーザーログオン時に「非表示ウィンドウかつ実行ポリシーをバイパス」したスケジュールタスクを作成し、再起動のたびにマルウェアを起動させつつ、ステルス性を維持します。さらに巧妙なのは、多くの最新ブラウザがパスワード保護に使うCryptProtectMemory APIにフックし、データが暗号化される前にVidarが作動できるようにする点です。
最後に、Vidarがデータ流出に使用するコマンド&コントロール(C2)サーバーはTLSで暗号化されています。
Vidarインフォスティーラーから身を守るには
Aryakaの研究者がレポートで説明しているように、Vidarは高度に進化し広範囲に拡散しているインフォスティーラーであり、「個人ユーザーと企業環境の両方に重大なリスクをもたらします」。
ユーザーは、新たなソーシャルエンジニアリング手法に精通しておくべきです。Vidarのアフィリエイトは通常、「慎重に作成された」キャンペーンでマルウェアを拡散します。研究者たちはまた、強化されたプロセス監視、ネットワーク異常検知、タイムリーな脅威インテリジェンス、厳格なPowerShell実行ポリシーを含む多層防御戦略を推奨しています。DNSフィルタリング、メール・ウェブゲートウェイ、ファイアウォール、エンドポイント検知・対応(EDR)などの他のセキュリティ機能も有効かもしれません。
Dark Readingは、追加コメントのためVidarに連絡しました。