0x02： Diving into 1st Stage Loaders part 1

Agetako

31 Aug 202407:00

Summary

TLDRこの動画では、マルウェア解析の初期段階に焦点を当て、最初のステージローダーについて詳しく解説しています。特に、悪意のあるWordドキュメントやPDF、Excelスプレッドシートがどのように感染の出発点となるかを探ります。マクロや脆弱性を利用した攻撃方法、例えばEquation Editor脆弱性を用いた手法についても説明され、攻撃の流れを明確に理解することができます。また、異なるマルウェアグループ間での協力や、マルウェアの異なるステージの取得方法についても触れています。

Takeaways

😀 初期ステージのマルウェア感染プロセスでは、最初に悪意のあるWord文書やPDF、スプレッドシートが使われることが多い。
😀 最初のローダー（初期ステージ）は、マクロや特定の脆弱性を利用して最終的なペイロードをダウンロードする。
😀 ローダーには、第二ローダーとして追加の実行可能ファイルが含まれている場合があり、これが最終的なペイロードをダウンロードする。
😀 最終ペイロードは通常、コマンド＆コントロールサーバーに接続し、DLLや実行可能ファイル形式で追加のプラグインをダウンロードする。
😀 感染の初期段階で、Word文書が最も一般的な攻撃ベクターとして使われ、マクロが重要な役割を果たす。
😀 マルウェアの攻撃者は、他のグループと協力して感染チェーンを拡張することがあり、これにより効率的な攻撃が可能になる。
😀 特に悪意のあるWord文書は、Equation Editorの脆弱性を悪用することで感染を引き起こすことがある。
😀 マルウェア分析では、まずWord文書のマクロや脆弱性を逆解析して初期段階の攻撃を確認する。
😀 EmotetやTrickbot、Rik Ransomwareなどの感染チェーンが例として挙げられ、これらがどのように連携しているかが観察される。
😀 Equation Editorの脆弱性は、マクロを有効にしなくても攻撃が発動するため、特に静かな方法での感染を可能にする。

Q & A

最初のステージローダーとは何ですか？
-最初のステージローダーは、通常、マルウェア感染の初期段階で使用されるもので、Word文書、PDF、スプレッドシートなどにマクロやエクスプロイト（脆弱性攻撃）を含むことがあります。これにより、最初の感染が始まり、さらに次のローダーやペイロードをダウンロードすることができます。
ローダーとは何ですか？
-ローダー（セカンドローダー）は、最初のステージローダーが次の段階をダウンロードするために使用されます。これには、実行可能なファイルが含まれており、コマンド＆コントロールサーバーに接続して最終的なペイロードをダウンロードする役割を果たします。
最終ペイロードのダウンロード後の動作はどうなりますか？
-最終的なペイロードは、通常、コマンド＆コントロールサーバーと再接続して追加のプラグイン（DLLファイルや実行可能ファイル）をダウンロードする場合があります。このペイロードは、システムをさらに感染させるためのツールや悪意のあるプログラムを提供します。
イセッドID（IcedID）とトリックボット（Trickbot）の関係について説明してください。
-イセッドID（IcedID）は、最初に感染を広げるマルウェアとして機能し、その後、トリックボット（Trickbot）というマルウェアをダウンロードします。トリックボットはさらに別のマルウェア（Rikランサムウェアなど）をダウンロードすることが一般的であり、このように、複数のマルウェアファミリーが協力して感染を広げることがあります。
マルウェアの拡散方法について、どのような手法がありますか？
-マルウェアは、スパムキャンペーン、標的型攻撃、エクスプロイトキット（脆弱性を利用した攻撃）など、さまざまな方法で拡散されます。例えば、悪意のあるWord文書やPDFが添付されたメールが送られ、ユーザーがそれを開くことで感染が始まります。
Equation Editorの脆弱性とは何ですか？
-Equation Editorは、Microsoft Wordの古いコンポーネントであり、特定の脆弱性が悪用されることがあります。この脆弱性を利用して、悪意のあるコードが実行され、システムに感染が広がる可能性があります。特に、マクロを有効にしなくても、悪意のあるコードが自動的に実行される場合があるため、非常に危険です。
Equation Editorの脆弱性を利用する方法は？
-Equation Editorの脆弱性は、バッファオーバーフローやスタックオーバーフローを利用することで悪用されます。これにより、特定のペイロード（悪意のあるコード）がシステムにダウンロードされ、実行されることがあります。これには、Shellcodeを使った攻撃が含まれます。
マクロを使用したマルウェア感染の流れはどのようになりますか？
-マクロが有効化されると、通常、PowerShellスクリプトがデコードされて実行され、次のステージのマルウェアがダウンロードされるか、コード内に埋め込まれたマルウェアが抽出されます。この方法は、VBS（Visual Basic Script）からPowerShellスクリプトへと移行するパターンが一般的です。
悪意のあるWord文書における異常な動作はどのようなものですか？
-悪意のあるWord文書では、通常の動作とは異なり、Equation Editorが実行され、その後、`un.exe`というファイルがダウンロードされることがあります。これらは正常な動作ではなく、マルウェア感染の兆候を示します。
初期段階で使用されるマルウェアの分析方法について教えてください。
-初期段階で使用されるマルウェア（例：Word文書やPDF）は、逆アセンブルやデバッガを使って解析されることが一般的です。これにより、どのようにマクロが悪用され、どのようなエクスプロイトやコードが実行されるかを理解することができます。また、Any.Runなどのサンドボックスツールを使用して、マルウェアの動作を観察することも有効です。