このモジュール型Windows RATは、メモリ内実行とライブのオペレーター制御を用いて永続性を維持し、機密データを持ち出す。
Point Wildのセキュリティ研究者は、複数段階の感染チェーンを用いて侵害されたシステム上に永続的なメモリ常駐アクセスを確立し、機密データを窃取する新たなWindowsマルウェアキャンペーンを公表した。
分析によると、このマルウェアは実行と永続化に標準のWindowsコンポーネントを利用し、ディスクに書き込まれる痕跡の数を抑えている。同社のLat61チームが分析したこの活動には、ライブで対話的なオペレーター制御をサポートする、.NETベースのモジュール型リモートアクセス型トロイの木馬(Pulsar RAT)が関与している。
研究者らはブログ投稿で、このマルウェアがメモリ内実行とLiving-off-the-land手法に依存しているため、ファイルベースの検知ツールの有効性が制限されると指摘した。
「このマルウェアは、アンチVM、アンチデバッグ、プロセスインジェクション検知などの高度な解析妨害技術に加え、広範な認証情報の収集、監視機能、リモートシステム制御を備えている」と彼らは述べた。「盗まれたデータは、DiscordのWebhookおよびTelegramボットを介してZIPアーカイブとして持ち出される」
初期侵入とメモリ常駐実行
感染チェーンは、小さなバッチスクリプトから始まり、ユーザーごとのレジストリRunキーを通じて永続化を確立する。完全な実行ファイルを展開するのではなく、このスクリプトはPowerShellベースのローダーを起動し、従来のエンドポイントセキュリティツールによる即時検知の可能性を低減する。
このPowerShellローダーは、Donutを用いて生成されたシェルコードをデコードして実行する。Donutは、.NETアセンブリを位置独立のシェルコードに変換するために一般的に使用されるオープンソースのフレームワークだ。このシェルコードはペイロードを直接メモリに注入し、ポータブル実行ファイルをディスクに書き込む必要を回避する。
初回実行後に完全にメモリ内で動作することで、このマルウェアはファイルベースのスキャンや静的解析の有効性を制限する。Point Wildの研究者は、攻撃が通常のWindowsアクティビティに溶け込むため、振る舞いベースまたはメモリ重視のテレメトリが必要だと指摘した。
ロードされると、マルウェアは、作戦の中核となる実行フレームワークとして機能する、強く難読化された.NETコンポーネントを展開する。
RATの機能とスティーラー機能
.NETペイロードは、オペレーターが侵害されたシステムと直接やり取りできるリモートアクセス型トロイの木馬を実装している。定期的なチェックインに依存する多くの一般的なRATとは異なり、このマルウェアはライブのコマンド処理をサポートし、攻撃者がほぼリアルタイムで指示を出し、応答を受け取れるようにする。
この対話的な設計により、オペレーターは侵害ホスト上で観測した内容に基づいて、偵察、ファイル操作、コマンド実行、永続化の管理を動的に実行できる。
RAT機能に加えて、このマルウェアには機密性の高いシステムデータを収集する情報窃取コンポーネントが含まれている。公表内容ではスティーラーを特定のマルウェアファミリーに帰属させてはいないが、研究者は、これがRATと並行して動作し、オペレーターがシステムに積極的に関与している間もデータ収集を継続できると指摘した。
永続化、回避、緩和
永続性はレジストリベースの自動実行エントリによって維持され、妨害された場合でも実行を再確立できるマルウェアの能力によって強化される。.NETペイロード全体にわたる難読化の使用は、リバースエンジニアリングをさらに複雑化し、解析を遅らせる。
Point Wildは、このキャンペーンの有効性が、Living-off-the-landバイナリ、メモリ内ペイロード、難読化されたマネージドコードを規律正しく実行している点に由来すると強調した。これらが組み合わさることで、検知は困難になる。
研究者は、この活動の検知にはファイルベースの指標に頼るのではなく、プロセスとメモリの挙動を監視する必要があると述べた。具体的には、不審なPowerShell実行、実行中プロセスへのシェルコード注入、レジストリRunキーによる不審な永続化を監視することが含まれる。侵害が疑われた場合、対話的な活動を封じ込め、データ窃取を抑えるために、迅速なホスト隔離とライブ対応が強調された。
