ブラウザ内の所謂「エラー修正」をクリックするだけで、計算システム全体が完全に侵害される可能性があり、新興の「DeepLoad」マルウェアはこの転覆のスピードを鮮明に示しています。単一の提案されたディレクティブを実行することで、システムをデジタル掠奪者の支配下に完全に屈服させるのに十分であり、明白な痕跡も物質的な形跡も残しません。
ReliaQuestの先駆者は企業要塞内でDeepLoadを採用した運動力のある攻撃を記録しました。このキャンペーンは単一の巧妙な戦略に依存していません。むしろ、シーケンス全体が従来の防御の番人を回避するために綿密に振り付けられています。コマンドの単一の呼び出しは、永続的なアクセス、認証情報の流出、およびシステム内の秘密の埋め込みに変わります。
爆撃は「ClickFix」の工夫で始まります。顧客には機能不全の説得力のあるお知らせが示され、異常を手動で「修復」するよう誘惑されます。個人がWindows「実行」ダイアログにコマンドを入力すると、アーキテクチャは自動的に有毒なコードを呼び出して実行します。その後、DeepLoadは永続性を確保するためにスケジュールされたマンデートを偽造し、ネイティブのmshta.exeユーティリティをハイジャックして攻撃の次のフェーズに移ります。
プライマリペイロードは迷路のようなPowerShellスクリプト内に格納されています。コードは意図的に数千の無意味な変数で飽和されており、ファイル精査装置が悪意のある本質を分離できないようにします。運用ロジックは小さなフットプリントを占め、システムの揮発性メモリ内で直接ペイロードを復号化します。ディスクに何も書き込まれていないため、古典的なアンチウイルス番人は署名を露出することに失敗します。
スクリプトの振り付けは人工知能の統合を示唆しています。このようなパラダイムは、コードのアーキテクチャの急速な変態を促進し、防御システムが適応する前に悪性プログラムの新たな反復の伝播を促します。
点火時に、DeepLoadはWindowsロック画面を制御するLockAppHost.exeプロセス内に自身を隠します。通常、このようなプロセスは疑いを引き起こさず、セキュリティツールによってめったに質問されません。マルウェアはそのアーキテクチャをプロセスメモリに直接注入し、非同期プロシージャコール機構を介して実行します。その結果、感染は日常的なシステム活動として偽装されます。
認証情報の流出は瞬時に開始されます。DeepLoadはキーストロークを傍受し、ブラウザから埋もれたパスワードを収穫し、顧客の操作を監視するための有毒な拡張機能を立派にします。さらに、隔離されたfilemanager.exeモジュールは運用可能なままで、プライマリローダーが阻止されるべき場合でも、攻撃者の接点にテレメトリをストリーミングします。
いくつかの事例では、感染は取り外し可能なメディアを介して伝播しました。フラッシュドライブを挿入すると、DeepLoadは数十のアーカイブを記述し、ユビキタスソフトウェアのインストーラとして偽装しました。補助コンピュータでそのようなファイルを開くだけで、感染チェーンを複製するのに十分です。
所謂浄化に続いても、システムは汚染されたままである可能性があります。DeepLoadはWindows Management Instrumentationサブスクリプション機構を活用し、コンピュータの「修復」から数日後にマルウェアが自律的に復活することを可能にします。記録されたある事例では、顧客の介入なしに3日間の休止の後に感染が再発生しました。
最大の苦難は、標準的な防御措置の相対的な無益さにあります。マルウェアはメモリ内に存在し、合法的なプロセスの外衣をかぶるため、静的ファイル分析は無効です。検出には、システム動作の警戒的な監視が必要です:実行ポリシーをバイパスするPowerShellの点火、疑わしいmshta.exe通信、およびLockAppHost.exeなどのプロセス内の異常な活動。
DeepLoadはより敏捷でメタモルフィックな攻撃へのシフトを象徴しています。このようなパラダイムの下では、防御は停滞したファイルの狩りではなく、システム内の運動力のある行動の分析に錨を下ろさなければなりません。そうでなければ、単一の不注意なクリックは、敵対者に永続的なアクセスと、あらゆる認証情報を略奪するために必要な一時的な贅沢を与えることができます。
