横展開するPIPEDANCE

PIPEDANCEはバックドア型マルウェアです。
バックドアなのでいろいろな機能を侵害先で実行できるわけですが、その様子がすこし他のものと異なります。

• 名前付きパイプ
  名前付きパイプが随所で使用されます。
  名前付きパイプはプロセス間のデータ転送のための技法のひとつです。
  多くのマルウェアはいわゆる通信プロトコルを展開に使用しますが、PIPEDANCEは名前付きパイプを使用します。
  名前付きパイプによる通信は、通信を構成するプロセスの間で双方向での通信を可能にします。
• プロセスに注入
  PIPEDANCEは自分自身をプロセスとして開始しません。
  正規のアプリケーションに自身を注入する形式で存在します。
  注入されるアプリケーションは、Cabinetファイルのパッケージ化に使用されるmakecab.exe、XP以降のWindowsに標準で含まれているtypeperf.exe、Windows Timeサービスの設定ツールのw32tm.exe、Windowsのブートエントリの設定ツールのbootcfg.exe、サーバ環境の性能の監視などの用途でディスク情報を収集するdiskperf.exe、ファイルコピーツールのesentutl.exeなどです。
  これらのアプリケーションは普通に存在するものです。これらがランダムに選択されて注入されます。
• コマンド実行機能
  バックドアとして使用することのできる多数の機能を搭載しています。
  ファイルの列挙、コマンド実行、指定プロセスの停止など、20以上の機能を搭載しています。
  機能によっては、その実行結果をマルウェア間で通信することになるのですが、その通信にも名前付きパイプが使用されます。

注入されて動作するツールは、みたところ、どれも通常はネットワーク通信を実施しないものに思えます。
通常ネットワーク通信を実行しないはずのプロセスが、ネットワーク通信を実施しているということが検出できれば、この脅威が環境に存在していることが検出できそうです。
さて、それはどうやったら実現できるのでしょう。
環境のメタデータを収集し、それらを使って脅威ハンティングをするという取り組みであれば、発見できるのかもしれません。

参考記事（外部リンク）：Twice around the dance floor – Elastic discovers the
PIPEDANCE backdoor
www.elastic.co/jp/security-labs/twice-around-the-dance-floor-with-pipedance