デジタル署名されたZloader

何回か大きな話題になったZloaderがまた観測されています。
今回のZloaderにも、新機能が追加されています。
2021年の8月頃に観測されていた新しいZloaderには、Windows Defenderを無効にする機能の追加されていました。
今回はデジタル署名されたものとして帰ってきています。

デジタル署名は公開鍵暗号方式を応用した技術で、そのファイルが改ざんされていないことを証明するために利用されたりするものです。
何でもそうですが、安全のための技法は正しく利用することで安全を手に入れることができるものとなりますが、正しく利用されていない場合は注意が必要です。

これまでのものと同じように、Zloaderは何段階もの手順を経て感染活動を実現します。
そのなかのステップに悪意あるDLLを使った部分がありますが、そのDLLはマイクロソフトのデジタル署名がされた状態となっているのです。
デジタル署名の検証にはいくつかの段階があるのですが、そのいくつかの部分は、標準では無効化された状態となっています。
このため、現在の標準の範囲のデジタル署名の検証では、今回の悪意あるDLLのデジタル署名の正当性が検証できないのです。

いろいろな安全化機構が利用されていますが、それらも完全ではありません。
なんらかの前提のもとに成り立っています。
たとえばあるEDRは、デジタル署名がされているファイルの検証は実施しない仕様となっていたりします。
このEDRを否定することはできないでしょう。
すべての前提を取り払ってEDRがすべての問題の検査を実施するように実装されたと仮定すると、きっとそのEDRは肥大化し実用に耐えないものとなってしまうように思われます。

私たちは、できることを一つずつ積み上げて安全化していくしかないのかもしれません。

参考記事（外部リンク）：Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk
research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/