TokyoBlackHatNews

gbhackers.com 5分で読了

SLOTAGENT マルウェアがAPI呼び出しと文字列を隠して分析を回避

2026年初頭に日本からパブリックマルウェアリポジトリにアップロードされた不審なZIPアーカイブを分析した結果、SLOTAGENTという名称の未知のリモートアクセストロイの木馬(RAT)が発見されました。

このマルウェアは高度な回避技術と柔軟なエクスプロイト後の機能を示しており、進化する脅威状況への注目すべき追加です。

ZIPファイルには悪意のある実行ファイル WindowsOobeAppHost.AOT.exe が含まれており、DLLファイル WindowsOobeAppHost.AOT.dll をロードして実行チェーンをトリガーします。DLLは __managed__Main という名前の関数をエクスポートし、マルウェアのコアロジックを開始します。

SLOTAGENTは分析を複雑にするマルチステージロードメカニズムを採用しています。実行時に、ローダーは動的にWindows API関数を解決し、XOR操作とROR11ビット回転に基づくカスタムAPIハッシングアルゴリズムを使用します。

マルウェアは実行中に導出されたキーを活用して、db.config という名前のファイルに保存されたデータをRC4暗号化を使用して復号化します。復号化されたペイロードは NtCreateThreadEx などの低レベルWindows APIを使用してシェルコードとして実行されます。

2026年初頭、IIJは日本からパブリックマルウェアリポジトリにアップロードされたZIPファイルに含まれる未知のマルウェアを発見しました

シェルコード内にはXORエンコードされたDLLペイロードが埋め込まれています。このペイロードは特定のメモリオフセットに位置する16バイトキーを使用してデコードされ、その後リフレクティブにメモリにロードされます。

Image

最終ペイロードはSLOTAGENT RAT自体で、内部的には agent_tcp.dll と呼ばれています。

コマンド・アンド・コントロール通信

アクティブになると、SLOTAGENTはハードコードされたコマンド・アンド・コントロール(C2)サーバー 43.156.59[.]110:699 とTCP経由で通信を確立します。構造化されたHTTP風通信を模倣する独自プロトコルを使用します。

マルウェアはデータをステージで送信します:

  • 4バイトの長さフィールド。
  • /api/v1/stream/data などのパス文字列。
  • JSON形式のペイロード。
  • メッセージの終わりをマークするデリミター。

初期通信中、SLOTAGENTはシステム名、ユーザー名、IPアドレス、MACアドレス、OSバージョン、プロセスID、特権レベルなどの詳細なホスト情報を収集して送信します。また、追跡または難読化に使用される可能性のあるランダムバイトシーケンスも含まれます。

Image
  • BMP形式のスクリーンショットキャプチャ。
  • ファイルのアップロードとダウンロード(チャンク転送を含む)。
  • リモートシェルの実行。
  • システムとプロセスの列挙。
  • ファイルシステムのナビゲーションと操作。
  • プロセスのメモリダンプ。
  • Cobalt Strikeと同様のBeacon Object Files (BOF)の実行。
  • フォレンジック対策用のタイムスタンプ改ざん(タイム・ストンピング)。
  • “destroy”コマンド経由での自己削除とクリーンアップ。

シェルコードにはXORエンコードされたSLOTAGENT(DLLファイル)が含まれており、実行後にオフセット0x297に位置する16バイトキーを使用してXORデコードされ、その後リフレクティブにロードされます。

Image

これらの機能は、SLOTAGENTがスパイ活動とエクスプロイト後の操作の両方に設計されていることを示しています。

アンチ分析技術

SLOTAGENTはリバースエンジニアリングに対する複数の防御層を組み込んでいます。APIハッシング以外にも、TEA風アルゴリズムに基づく文字列暗号化を使用します。

SLOTAGENTは実行中に複数のWindows API関数を呼び出しますが、これらのAPI関数のアドレスはDJB2ベースのアルゴリズムを使用したAPIハッシングを使用して実行時に動的に解決されます。

Image

防御者をサポートするために、研究者はこれらの文字列を静的に復号化できるIDA用Pythonスクリプトをリリースし、マルウェア分析と脅威ハンティングのワークフローを大幅に改善しました。

コマンド名を含む重要な文字列は暗号化されており、実行時にのみ復号化されるため、静的分析は効果的ではありません。

このスクリプトはGitHubで公開されており、インシデント対応者がSLOTAGENT感染を特定するのに役立つことができます。

SLOTAGENTの発見は、RATマルウェアがステルス、モジュール性、アンチ分析耐性に向かった継続的な進化を強調しています。

BOF実行と階層化された暗号化の使用は、それを最新の攻撃フレームワークと一致させ、標的型攻撃での使用の可能性を示唆しています。

組織は、異常なアウトバウンドTCP接続を監視し、暗号化されたペイロード実行パターンを検査し、行動検出を活用して同様の脅威を特定することが推奨されています。

IOCs

SHA256 説明
e62bbb6d100cac48018170a991f34dddfcbd0ca2b8f020800f97c85ef690e41b 実行に必要なファイルを含むZIPアーカイブ
97e0714ee7279feb558aa38ab9d4c279731d3000c501aff7ad5c2967c3cb987f 暗号化されたSLOTAGENT( db.config)
c1681d3aae736585c1dd656fe3ad66dafd3712ad4125e09fc97a4f1e5f367548 SLOTAGENTローダー( WindowsOobeAppHost.AOT.dll)
a9c46b67ff938930b16b377df9ddf86f3a56ef9876267387f30299a069c98472 SLOTAGENT(メモリで実行)

翻訳元: https://gbhackers.com/slotagent-malware-hides-api/

ソース: gbhackers.com
#Beacon Object Files #C2通信 #Cobalt Strike #RAT #SLOTAGENT #マルウェア #リバースエンジニアリング #分析回避 #暗号化 #難読化

関連記事

Vimeoがハッカーによるユーザーデータベースアクセス後のデータ漏洩を確認

LofyStealerはNode.jsローダーとブラウザインジェクションを介してマインクラフトプレイヤーを標的にしています

CISAがWindows Shellゼロデイが攻撃で悪用されていることを警告