偽のpayloadを使うRaspberry Robin

Raspberry Robinは以前から観測されているマルウェアです。
Raspberry RobinはUSBドライブを介して拡散するマルウェアで、いわゆるドロッパーです。
これまでもいろいろな他のマルウェアの配布に利用されてきていることが確認されています。
Bumblebee、IcedID、TrueBot、どれも聞き覚えがあるのではないでしょうか。

そんなRaspberry Robinに新しい動作が確認されています。

• 初期感染
  これはRaspberry Robinとしては従来通りです。
  USBメモリなどのデバイスを経由して感染を開始します。

   

• 難読化と階層化
  これも従来から実装されています。
  何段階にも階層化され、何層にもわたって難読化され、通常の方法での解析を難しくするように実装されています。

   

• 解析の検出
  このマルウェアは動作の中で動作環境の検出を行います。
  検出結果としてサンドボックス内で実行されていることを検出すると、回避行動を開始します。

   

• 新しい回避機能
  解析が行われていると考えられる環境で動作していることが分かった場合、回避行動を開始します。
  マルウェアは偽のpayloadを環境に設置し、動作させます。
  この偽のpayloadはマルウェアです。
  マルウェアではありますが、低機能になっています。
  低機能といってもいくつかの機能が実装されています。

   

• 偽のpayloadの機能
  これはPEファイルが埋め込まれたシェルコードと、MZヘッダーとPE署名が削除されたPEファイルの2つの追加レイヤーを持ちます。
  そして、感染マーカーをレジストリから探す動きをし、動作環境の情報を収集します。
  そしてさらにBrowserAssistantという名前のアドウェアをダウンロードして実行し、いかにもこれが狙った動きだったように見せようとします。
  偽のpayloadのための機能がここまで込み入っています。

   

• 本体の設置
  偽のpayloadを展開する必要がないと判断すると、目的のマルウェアを設置します。
  この本体も設置するまでに多くの段階を経由します。
  それらの層は難読化されていて容易には解析できません。

   

• 本体の機能
  本体はさらに高機能です。
  マルウェアの実行権限が管理権限を持たない場合、特権エスカレーション手法を使用して管理者特権を取得します。
  ユーザー アカウント制御機構をバイパスし、自分のコピーを動作させます。
  そしてTorブラウザ機能を環境に設置します。
  Torブラウザ機能はC2との通信に使用されます。
  並行してシステムに接続されているUSBデバイスを検出し、自分自身をコピーします。
  ワームのように動きます。

現時点のこのRaspberry Robinでは、犯罪者側は実際上の大きな収益を得ていないと考えられます。
ではこのRaspberry Robinの活動にはどういった意味合いがあるのでしょうか。
もしかしたら、ABテスト的に新しい戦術の有効性の検証を行っているのかもしれません。
本当のところはわかりませんが。

参考記事（外部リンク）：Raspberry Robin Malware Targets Telecom, Governments
www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html