悪名高いPredatorスパイウェアは、これまで考えられていた以上に高度で危険であることが、新たな研究で示された。
Predatorは、もともとCytroxによって開発された高度な商用スパイウェアである。Cytroxは2018年に、元イスラエル軍情報将校のTal Dilianに買収された。2019年、彼はPredatorを含む複数の監視ツールのマーケティング上の傘としてIntellexaを設立した。PredatorはIntellexaで最もよく知られた製品である。
これはほぼ例外なく各国政府および情報機関に向けて販売され、利用されている。現在、多くのアナリストは、より有名かもしれないNSO GroupのPegasusよりも、活発で適応的だと見なしている。CytroxとIntellexaはいずれも、米国政府によって制裁を科されている。
2024年12月、Google Threat Intelligence Group(GTIG)はPredatorのコードに関する研究を公開した。今回、Jamfは別のサンプルに関する新たな研究を公開し、Predatorの高度さを示す、これまで文書化されていなかった仕組みを詳述している。
それは、Predatorが単なるスパイウェアではなく自己診断ツールでもあり、個々の攻撃がなぜ失敗したのかという情報を開発者へ返すことを示している――自らの失敗から学習し、将来のバージョンが改良され、検知や解析に対してより堅牢化され得るのだ。
「(CSWatcherSpawner)アーキテクチャが注目に値するのは、チェック項目の幅広さだけでなく、展開に失敗した際にオペレーターへ正確な診断情報を提供する報告メカニズムにある」とJamfは報告している。
研究者らは、スパイウェアのアンチ解析要素によって起動されるエラーコードの分類体系を発見した。これらのコードは、攻撃を中止した理由(セキュリティ/解析ツールが稼働している、HTTPプロキシが設定されている、など)に関する情報を、マルウェアが痕跡を消して終了する前にC2インフラへ送信する。
注目すべきことに、エラーコードは連番のように見える一方で番号に欠番があり、Jamfは、欠けているコードがPredatorの将来バージョンのために予約されている可能性、バージョン固有である可能性、以前のバージョンから削除された機能である可能性、あるいは複数のIntellexaツール間で共有される中央の分類体系の一部である可能性を疑っている。理由が何であれ、この分類体系の利用とその中の欠番は、製品の適応的な性質を示している。「このエラーコードシステムは、失敗した展開をブラックボックスから診断イベントへと変える」とJamfは述べている。
すべてのエラー検知が未知だったわけではない。たとえばGoogleは、PredatorがAppleのDeveloper Modeを検知することを指摘していたが、Jamfは検知がどのように機能するのかをさらに踏み込んで説明している。Developer Modeは、セキュリティ研究者と開発者のためにiOS 16で特に導入された。「これを検知することで、Predatorは事実上こう言っているのだ。『開発者向け機能を有効にしているなら、あなたはおそらく通常の標的ではない』」。
Googleはまた、Predatorが米国とイスラエルでは実行を避けることも指摘していた。Jamfはそれがどのように行われているかを説明している。米国を除外するのは、おそらく米国の制裁によるものであり、米国当局からのより厳しい精査を避けるためだろう。イスラエルの除外は説明が容易ではないが、Dilianが、イスラエルのより広範なサイバー情報活動の規模、活動状況、能力について個人的に把握していることと関係している可能性がある。
Jamfの分析における新たな発見の一つは、クラッシュ報告に関連付けられたアンチ・フォレンジックのルーチンの発見である。Predatorの存在を露呈し得るクラッシュが発生すると、マルウェアは、同期されたり調査されたりする前に標的のクラッシュログを処理または削除する。この処理は特にメモリ・フォレンジックの証拠を狙っている。クラッシュログはエクスプロイト試行の検出に有用であり、Predatorはそれらを積極的に抑制する。
Jamfが発しているメッセージは、Predator、特にそのアンチ解析能力が、これまで理解されていた以上に高度だということだ。新たな詳細は、研究者がPredatorによる検知を回避する助けになるかもしれないが、おそらくこのバージョンまたは亜種に限られる。「is_corellium()スタブの存在は、彼らが我々のツールを、我々が彼らのツールを監視しているのと同じくらい注意深く監視していることを示している」。
翻訳元: https://www.securityweek.com/predator-spywares-granular-anti-analysis-features-exposed/
