PDFSIDERは、DLLサイドローディングと暗号化されたコマンド&コントロール通信を通じて、最新のエンドポイント検知・対応(EDR)システムを回避するよう設計された高度なバックドア型マルウェアである。
脅威アクターは、正規のPDFソフトウェアの脆弱性を悪用するスピアフィッシングキャンペーンを通じてこのマルウェアを積極的に配布しており、検知可能な痕跡を最小限に抑えつつ、侵害されたシステムへの永続的なリモートアクセスを確立している。
PDFSIDERキャンペーンは、PDF24アプリであると称するトロイの木馬化された実行ファイルを含むZIPアーカイブを添付した、標的型スピアフィッシングメールによって開始される。
Miron Geek Software GmbHによる正規のPDF24 Creatorソフトウェアが、実際の攻撃チェーンの隠れ蓑として利用される。被害者がEXEファイルを実行すると、非アクティブに見えるが、直ちにバックグラウンドで悪意ある操作を開始する。
このマルウェアはDLLサイドローディングと呼ばれる重要な手法を悪用しており、攻撃者は正規のPDF24.exeアプリケーションの隣に悪意あるDLLを配置する。
通常の実行中、PDF24.exeは正規のシステムライブラリではなく攻撃者のcryptbase.dllを読み込み、完全なコード実行を可能にする。
この手法はWindowsの基本的な挙動を悪用しており、親プロセスが正規に見えるため検知が困難になる。
EXEファイルには有効なデジタル署名が付与されており、悪意ある性質をさらに偽装して、署名ベースのセキュリティ制御を回避する。
AI搭載のコーディングツールの台頭により、脆弱なソフトウェアの発見が加速し、攻撃者はこれまで以上に効率的に正規アプリケーションを特定して悪用できるようになっている。
PDFSIDERが実行権限を得ると、Botan 3.0.0暗号ライブラリとGCMモードのAES-256を用いて、暗号化されたコマンド&コントロールチャネルを確立する。
このマルウェアはほぼ完全にメモリ上で動作し、従来のアンチウイルスが検知し得るディスク上の痕跡を最小化する。
すべてのデータ通信はAEAD認証により暗号化され、流出時におけるコマンドの完全性と機密性の両方を保護する。
マルウェアはネットワーク通信のためにWinsockを初期化し、ユーザー名、コンピューター名、プロセス識別子などを含む包括的なシステム情報を収集する。
コマンドはCREATE_NO_WINDOWフラグを用いた非表示のcmd.exeプロセスを通じて実行され、ユーザーに可視のコンソールが表示されないようにする。
このステルス実行は暗号化通信と相まって、金銭目的のサイバー犯罪というより、国家支援型の諜報活動のトレードクラフトに近い。
PDFSIDERは、サンドボックスおよび仮想マシンでの実行を回避するための高度な環境検知を実装している。
マルウェアはGlobalMemoryStatusExを使用して利用可能なRAMを確認し、メモリが少ないシステムでは早期終了を引き起こす。
さらにIsDebuggerPresentによるデバッガ検知により、解析環境内での実行を防止し、セキュリティ研究者が制御された条件下でマルウェアを調査することを効果的に阻止する。
組織は、実行ファイルの実行に対して厳格な制御を実装すべきであり、とりわけ正規ソフトウェア更新を名乗るものには注意が必要である。
ユーザー向けの意識向上トレーニングでは、メール添付ファイルや、予期しないPDFソフトウェアのインストール要求に対する慎重さを強調すべきである。
ポート53のDNSクエリのネットワーク監視と、暗号化トラフィック分析を組み合わせることで、PDFSIDERのC2通信を検知できる可能性がある。
EDRソリューションは、DLLサイドローディングの試行を検知し、非システムディレクトリからcryptbase.dllが読み込まれる挙動を監視するよう設定すべきである。
この分析はResecurityによって実施され、マルウェアの配布メカニズム、技術的機能、ならびに解析回避手法を記録している。
報告書には、侵害指標(IOC)の包括的なセット、MITRE ATT&CK手法へのマッピング、そして実行可能な防御推奨事項も含まれており、プロフェッショナルなサイバーセキュリティ・インテリジェンス出版物と整合する形式で提示されている。
翻訳元: https://cyberpress.org/pdfsider-malware-bypass-antivirus-edr-defenses/