そのホワイトリストは信用できますか?

新しいものは次々に出てきます。
今日の注目は、「SaintBot」です。
これは比較的新しいもので、2021年の1月くらいから観測されるようになったものです。

これそのものがそんなに新しい設計や手法などを採用しているということではないのですが、最近の流行りの特徴をきっちりとおさえた設計になっています。

  • 多段設計になっている
  • Windows Defenderを無効化する手順を持っている
  • 難読化が施されている
  • 次の段階のダウンロードのURLをハードコーディングするのではなく、C2から入手してダウンロードする
  • 更新機能がある
  • いろいろ作業した後、自分自身は消えてなくなる

で、嫌なのは、こういった中で使われる悪意あるファイルをダウンロードしてくる際のURLだったりします。
DiscordやSlackって、あるじゃないですか。
こういったサービスコンテンツの置かれているCDNにマルウェアの部品を置いてしまうんです。

こういった有名で多くの人が利用しているサービスのURLは、いろいろなセキュリティサービスでホワイトリストの中に入っていたりします。
このため、より一層悪事が途中でばれてしまうことが回避できそうだ、ということなのです。

とても嫌な感じですね。
ホワイトリストをやめるのはできる気がしないし、ホワイトリストのマッチング文字列長を長くすると処理が重くなるし、ホワイトリストのサイズも大きくなるし。
どうすればいいんだ、っていう感じです。

守る側のリソースはいつも圧迫されてしまう感じがします。
コツコツとやっていくしかないんですかね。

参考記事(外部リンク):Alert — There’s A New Malware Out There Snatching Users’
Passwords

thehackernews.com/2021/04/alert-theres-new-malware-out-there.html