次々に手法を変化させるBatloader

Batloaderは名前の通りローダーです。
マルウェアを使って侵害行為を実施する際の最初の活動の部分で使用されます。
初期アクセスファミリーなどと呼ばれることのあるものです。
Batloaderはどんなものなのでしょうか。

• 2020年ごろから観測
  Batloaderは新しいものではありません。
  2020年頃からその活動は観測されています。

   

• 場所
  いろいろな地域や国で観測されています。
  2022年第4四半期のある統計では、欧米での活動が多く、全体の約6割が米国で観測されています。

   

• 機能
  多くの高度な機能を搭載しています。
  アンチサンドボックス機能、被害者判別機能、C2と通信してマルウェアを送り込む機能、セキュリティソフトのサービス停止機能、権限昇格機能、アンチウイルス回避機能、などです。

では、このBatloaderはどのような手法で侵害先の環境に入ってくるのでしょうか。

最初の頃に観測されていたBatloaderは、MSIを悪用する手法を選択していました。
MSIはMicrosoft Windows Installerを使ってソフトウェアをインストールすることのできるファイル形式です。
有名なソフトウェアのフィッシングサイトを公開し、有名なソフトウェアのMSIのインストーラーのなかに悪意のあるコードを埋め込みます。
段階的にマルウェアを構成する機構が動作し、Batloaderが設置されます。

次に観測されたBatloaderは、JavaScriptファイルを使った方式に変更されました。
そのJavaScriptは非常にサイズが小さく、内部の構造に怪しい部分はありません。
怪しい部分はまさにそのJavaScriptが通信することになるC2のURLだけになっています。
このため、マルウェアなどの検出をファイルの中の構造から検出する類の方式をとっているセキュリティ機構では検出することができないものとなっています。

さらにその後、Batloaderの方式が変更されています。
今度もまたMSIを使う方式でした。
ただ前にMSIを使った時とはその内容が異なっていて、MSIのカスタム機能から呼び出されるのはPyArmorで難読化されたPythonスクリプトでした。

いずれの時期においてもこれらは内容としてはBatloaderです。
しかしその初期アクセスを実現する手法の部分は短い期間に何度も変更されています。
今回の変更の例では、2022年11月後半と、2022年12月中旬に変更されていました。

防御側はさまざまなマルウェアに名前を付け、それらの内容を解析し、対策を講じていきます。
しかしマルウェアを展開している側も黙って解析されるのを待っているわけではありません。
次々に手法を変化させながら攻撃を仕掛けてきます。
XXXXというマルウェアはXXXXXXという手法で攻撃してくることがわかったのでXXXXXXXXXの手法で対策した、もう大丈夫だ、などというように考えて安心することはできそうにありません。
防御側も日々新しい情報を基に対応していく体制を維持していくことが重要となりそうです。

参考記事（外部リンク）：Batloader Malware Abuses Legitimate Tools, Uses Obfuscated
JavaScript Files in Q4 2022 Attacks
www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html