変更され続けるGootloader

Gootloaderは新しい脅威ではありません。
Gootkitという別名もありますのでどちらかを目にしたことがある方も少なくないかもしれません。
2021年1月にはすでに活動が観測されていました。
そしてセキュリティ対策研究者によって研究と対策が実施されてきています。
しかし研究と対策を実施するのはセキュリティ対策研究者だけではありませんでした。
Gootloaderの開発者側も研究と対策を継続しています。
Gootloaderの変化のいくつかを見てみましょう。

• FONELAUNCHランチャーの複数のバリエーションの使用
  FONELAUNCHは、Gootloaderによってレジストリに書き込まれるペイロードの1つです。
  これは、エンコードされたペイロードをレジストリからメモリにロードする .NETベースのローダーです。
  この部分の改造が何度も行われており、少なくとも3種存在していることが確認されています。
  これらの改造を経て、FONELAUNCHはDLL、.NETバイナリ、PEファイルなど、さまざまな形式のペイロードを配布および実行できるようになりました。
  FONELAUNCH自身もレジストリに書かれていますが、いずれのFONELAUNCHも、レジストリに隠されたデータを読み取ってデコードして配置します。

   

• 新しい追加ペイロードの配布
  GootloaderはFONELAUNCHを持ち込みますが、別のペイロードも持ち込みます。
  脅威をエミュレーションできるCobalt Strike、GZIPLOADERであるSNOWCONEも持ち込みます。
  SNOWCONEは悪名高いバンキング型トロイの木馬であるIcedIDを持ち込むことでも知られています。

   

• Gootloaderダウンローダーおよび感染チェーンの変更
  Gootloaderの感染はいずれも侵害されたサイトに設置された悪意のあるZIPアーカイブのダウンロードから始まります。
  その後複雑で長い手順で感染を進めるのですが、その感染手順にも大きく変更が加えられています。
  手順を追っていくと別のものなのではないかと思える内容となっています。
  いくつもの手立ての難読化と合わせてこういった取り組みが解析をより困難なものにしています。

始まってしまうとGootloaderは強力に侵害環境で感染活動を展開します。
しかしいずれのGootloaderも、始まりは侵害されたサイトに設置された悪意のあるZIPアーカイブです。
そのZIPアーカイブは、巧妙にSEO対策されて配布範囲を拡大します。
Webサイトを利用する際に評判情報を利用することや利用者が意識して公式サイトを利用するようにすることなどは一定の対策として期待できるのではないでしょうか。

参考記事（外部リンク）：Welcome to Goot Camp: Tracking the Evolution of GOOTLOADER
Operations
www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations